[原创]浅析2345安全卫士hook"框架"-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]浅析2345安全卫士hook"框架"

发表于: 2015-9-24 07:10 22985

[原创]浅析2345安全卫士hook"框架"

antirk

2015-9-24 07:10

22985

昨日闲着无聊随手下了个2345安全卫士, 想简单看看其功能大概什么样, 随后就发现了些有趣的东西.
本篇就写下其最有毒的 hook”框架”,

软件主程序版本: 1.6.0.8746 ==> 官网最新版
2345port.sys: 1.6.0.547
2345cport.sys 1.6.0.547

nt!KiFastCallEntry+0xb8:
8053e618 33db            xor     ebx,ebx
8053e61a 0b99700f0000    or      ebx,dword ptr [ecx+0F70h]
8053e620 740a            je      nt!KiFastCallEntry+0xcc (8053e62c)
8053e622 52              push    edx
8053e623 50              push    eax
8053e624 ff1564405580    call    dword ptr [nt!KeGdiFlushUserBatch (80554064)]
8053e62a 58              pop     eax   //> service number
8053e62b 5a              pop     edx  //> argument address
8053e62c e857acd605      call    862a9288  //> 2345hook point
8053e631 e88bf28b5f      call    dfdfd8c1
8053e636 cd0e            int     0Eh
8053e638 c9              leave
8053e639 8a0c18          mov     cl,byte ptr [eax+ebx]
8053e63c 8b3f            mov     edi,dword ptr [edi]
8053e63e 8b1c87          mov     ebx,dword ptr [edi+eax*4]
8053e641 e9524fe705      jmp     863b3598   //>360 hook point
8053e646 8bfc            mov     edi,esp
8053e648 3b35549a5580    cmp     esi,dword ptr [nt!MmUserProbeAddress (80559a54)]
8053e64e 0f83a8010000    jae     nt!KiSystemCallExit2+0x9f (8053e7fc)
8053e654 f3a5            rep movs dword ptr es:[edi],dword ptr [esi]
8053e656 ffd3            call    ebx
8053e658 8be5            mov     esp,ebp
8053e65a 8b0d24f1dfff    mov     ecx,dword ptr ds:[0FFDFF124h]
8053e660 8b553c          mov     edx,dword ptr [ebp+3Ch]
8053e663 899134010000    mov     dword ptr [ecx+134h],edx


!chkimg nt -d
8053e62c-8053e631  6 bytes - nt!KiFastCallEntry+cc (+0x3b634)
[ ff 05 38 f6 df ff:e8 57 ac d6 05 e8 ]
8053e636-8053e637  2 bytes - nt!KiFastCallEntry+d6 (+0x0a)
[ 0c 33:cd 0e ]

cmp     reg, 77584BBh
jnz     reloc_handle  //>跳到重定位处理流程
...junk code
  
reloc_handle
        push    eax  //> 这两个指令 随机可有可无
        call    $+5
  mov     eax, true_handle  //>真实地址
  mov     [esp+2Ch+var_2C], eax  //>修改返回地址
  mov     eax, edx
  retn

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#调试逆向

上传的附件：

1.jpg （71.38kb，63次下载）
2.jpg （61.16kb，17次下载）
3.jpg （55.30kb，17次下载）
4.jpg （61.30kb，3次下载）
5.jpg （45.63kb，15次下载）
6.jpg （69.71kb，11次下载）
2345hook分析.doc （2.77MB，172次下载）
2345driver.rar （67.36kb，84次下载）

收藏・23

免费・3

支持

最新回复 (43) 1 2 ▶
哟哟哟哟雪币： 107 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 205 粉丝 0 关注私信	哟哟哟哟 2 楼朕已阅花指令是动态的么另外要是加了VMP你还好分析么 2015-9-24 07:53 0
yxwdjsw 雪币： 155 活跃值： (132) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 1 关注私信	yxwdjsw 3 楼牛，上次看到好像2345招聘30w年薪，这下他们有的忙了 2015-9-24 07:58 0
zyccrazy 雪币： 79 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 193 粉丝 0 关注私信	zyccrazy 4 楼假如代码被vm 还怎么分析 2015-9-24 08:13 0
天涯一鸿雪币： 1040 活跃值： (1293) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 1 关注私信	天涯一鸿 5 楼不知道楼上的人是怎么想的，民用商业软件驱动里面加VM，还是在挂钩kifastcall挂钩点里面加，也是跟IOS9一样成功解决WINDOWS运行速度太快的BUG…… 2015-9-24 08:47 0
karlx 雪币： 140 活跃值： (125) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 130 粉丝 3 关注私信	karlx 1 6 楼看乐了。。。 2015-9-24 09:05 0
yjd 雪币： 2882 活跃值： (1267) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 778 粉丝 1 关注私信	yjd 7 楼果然是流氓公司。国内软件还是少用-_-!!。 2015-9-24 09:13 0
TKnifeSoul 雪币： 53 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	TKnifeSoul 8 楼哈哈，乐了~ 2015-9-24 10:42 0
antirk 雪币： 14 活跃值： (31) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 14 粉丝 1 关注私信	antirk 9 楼确实流氓打破了杀软和谐友爱共同发展的格局哈哈另外就是又把kifastcall的挂钩点提前了一小步~ 2015-9-24 10:46 0
jren 雪币： 65 活跃值： (545) 能力值： ( LV4，RANK：50 ) 在线值：发帖 20 回帖 97 粉丝 1 关注私信	jren 10 楼学习学习 2015-9-24 11:02 0
mydh 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	mydh 11 楼要pdb么... 你分析的不全... 你的和谐友爱就是每天两字节么，我在帮你们找事干，不然天天无聊不是么... 2015-9-24 11:16 0
antirk 雪币： 14 活跃值： (31) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 14 粉丝 1 关注私信	antirk 12 楼大哥就是2345的人员把, 本篇只是从技术角度分析客观评价而已没恶意如果哪里说的不对或者我黑你们请指出. 分析只是分析关键部分我感兴趣的部分不要在语言上争高下...要不就成水贴了我说的和谐友爱是指这些杀软可以共存装上你们我虚拟机的其他杀软直接无效了那不太合乎常理把另外我附上sys文件有空的同学自己看下就知道啦 , 防止说我黑你们 2015-9-24 11:58 0
我只会易雪币： 69 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 171 粉丝 0 关注私信	我只会易 13 楼虽然有跳过代码直接看评论的习惯。只能说666666666666 2015-9-24 12:25 0
xSpy 雪币： 138 活跃值： (306) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 86 粉丝 1 关注私信	xSpy 2 14 楼恶意的不兼容，在没有达到绝对数量时，第一个死的就会是自己。 2015-9-24 12:53 0
t真三雪币： 78 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 47 粉丝 1 关注私信	t真三 15 楼 ***，你装那么多杀软干什么?,推广游戏?, 和谐共处，大家一起推广游戏~，你的时间非常值钱，我是陈小春，是兄弟就来贪玩雷霆吧 2015-9-24 13:13 0
kanxue 雪币： 47147 活跃值： (20420) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 539 关注私信	kanxue 8 16 楼请大家文明用语，勿进行人身攻击，就事论事地进行技术讨论。 2015-9-24 13:57 0
antirk 雪币： 14 活跃值： (31) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 14 粉丝 1 关注私信	antirk 17 楼真三哥比较诙谐, 看你这样回我感觉您可能是2345的工作人员. 怎么说呢大家都是搞技术的真的对事不对人如果分享文章你骂他骂那技术还怎么进步. 谁还会分享。在我心里搞技术的人都是老实低调有素养的。不谈技术我觉得最起码做人的人品还是要有的。还有我看前辈们分析360 Q管等驱动时,也没见谁过来喷他们啊, 怎么到2345这就变啦我好无辜 2015-9-24 14:24 0
mydh 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	mydh 18 楼我只是净化一下人们的心灵，期待下一次净化 2015-9-24 14:30 0
mydh 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	mydh 19 楼那不是我们这的人...赖人的行为是可耻的就一个驱动，单步跑一遍就完事了，有啥可分析的... 只是稳定性的问题而已 2015-9-24 14:34 0
antirk 雪币： 14 活跃值： (31) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 14 粉丝 1 关注私信	antirk 20 楼嗯这样才好嘛好好说话说什么都行啦。另外我没赖人啊, 我只是说可能是. 我是学法律专业的, 说话还是谨慎的。(那人直接人身攻击我还说我是搞游戏推广的这才是不好的) 嗯再次感谢大牛提点~ 2015-9-24 15:06 0
elapseyear 雪币： 326 活跃值： (56) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 112 粉丝 0 关注私信	elapseyear 21 楼收下来看看。 2015-9-24 15:16 0
t真三雪币： 78 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 47 粉丝 1 关注私信	t真三 22 楼 ***，老子怎么攻击你了，老子就问下你装多个杀软干什么 2015-9-24 16:51 0
t真三雪币： 78 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 47 粉丝 1 关注私信	t真三 23 楼不跟***说话 2015-9-24 16:52 0
antirk 雪币： 14 活跃值： (31) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 14 粉丝 1 关注私信	antirk 24 楼前面骂我煞笔你忽略了？也不用跟我说话, 不尊重我的人也不会得到我的尊重. 你随便说我又不少块肉, 都是成年人别搞的跟小孩一样.斤斤计较 2015-9-24 17:05 0
心Ⅰ碎雪币： 400 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	心Ⅰ碎 25 楼我是陈小春，是兄弟就来贪玩雷霆吧 2015-9-24 17:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

antirk

发帖

回帖

RANK

关注

私信

他的文章

[原创]浅析2345安全卫士hook"框架" 22986

关于我们

联系我们

企业服务

看雪公众号

最新回复 (43) 1 2 ▶
哟哟哟哟雪币： 107 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 205 粉丝 0 关注私信	哟哟哟哟 2 楼朕已阅花指令是动态的么另外要是加了VMP你还好分析么 2015-9-24 07:53 0
yxwdjsw 雪币： 155 活跃值： (132) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 1 关注私信	yxwdjsw 3 楼牛，上次看到好像2345招聘30w年薪，这下他们有的忙了 2015-9-24 07:58 0
zyccrazy 雪币： 79 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 193 粉丝 0 关注私信	zyccrazy 4 楼假如代码被vm 还怎么分析 2015-9-24 08:13 0
天涯一鸿雪币： 1040 活跃值： (1293) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 1 关注私信	天涯一鸿 5 楼不知道楼上的人是怎么想的，民用商业软件驱动里面加VM，还是在挂钩kifastcall挂钩点里面加，也是跟IOS9一样成功解决WINDOWS运行速度太快的BUG…… 2015-9-24 08:47 0
karlx 雪币： 140 活跃值： (125) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 130 粉丝 3 关注私信	karlx 1 6 楼看乐了。。。 2015-9-24 09:05 0
yjd 雪币： 2882 活跃值： (1267) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 778 粉丝 1 关注私信	yjd 7 楼果然是流氓公司。国内软件还是少用-_-!!。 2015-9-24 09:13 0
TKnifeSoul 雪币： 53 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	TKnifeSoul 8 楼哈哈，乐了~ 2015-9-24 10:42 0
antirk 雪币： 14 活跃值： (31) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 14 粉丝 1 关注私信	antirk 9 楼确实流氓打破了杀软和谐友爱共同发展的格局哈哈另外就是又把kifastcall的挂钩点提前了一小步~ 2015-9-24 10:46 0
jren 雪币： 65 活跃值： (545) 能力值： ( LV4，RANK：50 ) 在线值：发帖 20 回帖 97 粉丝 1 关注私信	jren 10 楼学习学习 2015-9-24 11:02 0
mydh 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	mydh 11 楼要pdb么... 你分析的不全... 你的和谐友爱就是每天两字节么，我在帮你们找事干，不然天天无聊不是么... 2015-9-24 11:16 0
antirk 雪币： 14 活跃值： (31) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 14 粉丝 1 关注私信	antirk 12 楼大哥就是2345的人员把, 本篇只是从技术角度分析客观评价而已没恶意如果哪里说的不对或者我黑你们请指出. 分析只是分析关键部分我感兴趣的部分不要在语言上争高下...要不就成水贴了我说的和谐友爱是指这些杀软可以共存装上你们我虚拟机的其他杀软直接无效了那不太合乎常理把另外我附上sys文件有空的同学自己看下就知道啦 , 防止说我黑你们 2015-9-24 11:58 0
我只会易雪币： 69 活跃值： (71) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 171 粉丝 0 关注私信	我只会易 13 楼虽然有跳过代码直接看评论的习惯。只能说666666666666 2015-9-24 12:25 0
xSpy 雪币： 138 活跃值： (306) 能力值： ( LV8，RANK：130 ) 在线值：发帖 10 回帖 86 粉丝 1 关注私信	xSpy 2 14 楼恶意的不兼容，在没有达到绝对数量时，第一个死的就会是自己。 2015-9-24 12:53 0
t真三雪币： 78 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 47 粉丝 1 关注私信	t真三 15 楼 ***，你装那么多杀软干什么?,推广游戏?, 和谐共处，大家一起推广游戏~，你的时间非常值钱，我是陈小春，是兄弟就来贪玩雷霆吧 2015-9-24 13:13 0
kanxue 雪币： 47147 活跃值： (20420) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 539 关注私信	kanxue 8 16 楼请大家文明用语，勿进行人身攻击，就事论事地进行技术讨论。 2015-9-24 13:57 0
antirk 雪币： 14 活跃值： (31) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 14 粉丝 1 关注私信	antirk 17 楼真三哥比较诙谐, 看你这样回我感觉您可能是2345的工作人员. 怎么说呢大家都是搞技术的真的对事不对人如果分享文章你骂他骂那技术还怎么进步. 谁还会分享。在我心里搞技术的人都是老实低调有素养的。不谈技术我觉得最起码做人的人品还是要有的。还有我看前辈们分析360 Q管等驱动时,也没见谁过来喷他们啊, 怎么到2345这就变啦我好无辜 2015-9-24 14:24 0
mydh 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	mydh 18 楼我只是净化一下人们的心灵，期待下一次净化 2015-9-24 14:30 0
mydh 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	mydh 19 楼那不是我们这的人...赖人的行为是可耻的就一个驱动，单步跑一遍就完事了，有啥可分析的... 只是稳定性的问题而已 2015-9-24 14:34 0
antirk 雪币： 14 活跃值： (31) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 14 粉丝 1 关注私信	antirk 20 楼嗯这样才好嘛好好说话说什么都行啦。另外我没赖人啊, 我只是说可能是. 我是学法律专业的, 说话还是谨慎的。(那人直接人身攻击我还说我是搞游戏推广的这才是不好的) 嗯再次感谢大牛提点~ 2015-9-24 15:06 0
elapseyear 雪币： 326 活跃值： (56) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 112 粉丝 0 关注私信	elapseyear 21 楼收下来看看。 2015-9-24 15:16 0
t真三雪币： 78 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 47 粉丝 1 关注私信	t真三 22 楼 ***，老子怎么攻击你了，老子就问下你装多个杀软干什么 2015-9-24 16:51 0
t真三雪币： 78 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 47 粉丝 1 关注私信	t真三 23 楼不跟***说话 2015-9-24 16:52 0
antirk 雪币： 14 活跃值： (31) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 14 粉丝 1 关注私信	antirk 24 楼前面骂我煞笔你忽略了？也不用跟我说话, 不尊重我的人也不会得到我的尊重. 你随便说我又不少块肉, 都是成年人别搞的跟小孩一样.斤斤计较 2015-9-24 17:05 0
心Ⅰ碎雪币： 400 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	心Ⅰ碎 25 楼我是陈小春，是兄弟就来贪玩雷霆吧 2015-9-24 17:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复