[原创]x64内核中的HOOK技术. 拦截进程,拦截线程,拦截模块(思路)-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]x64内核中的HOOK技术. 拦截进程,拦截线程,拦截模块(思路)

发表于: 2018-2-5 23:39 25120

[原创]x64内核中的HOOK技术. 拦截进程,拦截线程,拦截模块(思路)

TkBinary

2018-2-5 23:39

25120

查看主题内容

收藏・104

免费・2

支持

最新回复 (49) ◀ 1 2
苍穹之下雪币： 66 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 1 关注私信	苍穹之下 26 楼谢谢分享。看不懂。但是感觉很厉害 2018-2-8 21:11 0
fior 雪币： 203 活跃值： (30) 能力值： ( LV3，RANK：20 ) 在线值：发帖 23 回帖 43 粉丝 0 关注私信	fior 27 楼可以通过改变CreateInfo的信息改变启动流程吗，还是说里面大部分参数只是只读的 2018-2-14 11:06 0
狂神疯子雪币： 14 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	狂神疯子 28 楼谢谢分享。 2018-2-14 18:22 0
冰雄雪币： 1485 活跃值： (1135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 224 粉丝 52 关注私信	冰雄 29 楼 x64照样可以hook ssdt 2018-2-14 20:15 0
wx_韩禹雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wx_韩禹 30 楼无法拦截nt层啊 2018-2-17 19:25 0
CkDebug 雪币： 136 活跃值： (16) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 47 粉丝 1 关注私信	CkDebug 31 楼琪哥666,已经膜拜完毕.. 2018-2-18 17:04 0
流哥雪币： 140 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 146 粉丝 1 关注私信	流哥 32 楼楼主可以去看看 m5home 2018-2-24 09:55 0
moods 雪币： 36 活跃值： (36) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	moods 33 楼 xp下怎么拦截进程创建呢，没有ex函数 2018-2-24 14:36 0
Archar 雪币： 78 活跃值： (1875) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 62 粉丝 3 关注私信	Archar 34 楼不全啊 2018-2-24 16:17 0
TkBinary 雪币： 881 活跃值： (9856) 能力值： ( LV13，RANK：385 ) 在线值：发帖 25 回帖 416 粉丝 211 关注私信	TkBinary 5 35 楼 moods xp下怎么拦截进程创建呢，没有ex函数 HOOK 2018-2-25 20:29 0
TkBinary 雪币： 881 活跃值： (9856) 能力值： ( LV13，RANK：385 ) 在线值：发帖 25 回帖 416 粉丝 211 关注私信	TkBinary 5 36 楼 Archar [em_4]不全啊弄了一部分.初学内核. 2018-2-25 20:30 0
TkBinary 雪币： 881 活跃值： (9856) 能力值： ( LV13，RANK：385 ) 在线值：发帖 25 回帖 416 粉丝 211 关注私信	TkBinary 5 37 楼 fior 可以通过改变CreateInfo的信息改变启动流程吗，还是说里面大部分参数只是只读的[em_31] 基本上就是给你控制了, 在创建还没创建玩,内核会调用这个. 所以由你进行操控. 2018-2-25 20:31 0
MaMy 雪币： 12 活跃值： (423) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 282 粉丝 2 关注私信	MaMy 38 楼拦截模块加载,修改 ret是真没用,,因为那个地方不是最早的.. 依稀记得这个应该是无解的,只能X掉进程 2018-2-26 14:16 0
心有猛虎雪币： 223 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 1 关注私信	心有猛虎 39 楼感谢分享，学习。MARK。 2018-3-15 15:52 0
BiaoGeKX 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	BiaoGeKX 40 楼既然提供了api，不用驱动可以直接用嘛 2018-3-28 21:01 0
只想睡个好觉雪币： 1914 活跃值： (72) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 38 粉丝 2 关注私信	只想睡个好觉 41 楼我在PsSetLoadImageNotifyRoutine中使用ZwReadFile会出错，是为什么呢？？ 2018-10-3 12:09 0
TkBinary 雪币： 881 活跃值： (9856) 能力值： ( LV13，RANK：385 ) 在线值：发帖 25 回帖 416 粉丝 211 关注私信	TkBinary 5 42 楼只想睡个好觉我在PsSetLoadImageNotifyRoutine中使用ZwReadFile会出错，是为什么呢？？没有深入内核了,你的问题无法回答.抱歉. 你看看是不是参数错误.或者别的问题. 2018-10-4 17:00 0
Lyxk 雪币： 147 活跃值： (871) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 39 粉丝 6 关注私信	Lyxk 43 楼高端技术,值得学习！！ 2018-10-5 11:38 0
只想睡个好觉雪币： 1914 活跃值： (72) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 38 粉丝 2 关注私信	只想睡个好觉 44 楼其实这个不是HOOK吧。只是微软提供的通知与回调的接口吧 2018-10-26 16:53 0
fengyunabc 雪币： 3738 活跃值： (3872) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 522 粉丝 26 关注私信	fengyunabc 1 45 楼感谢分享！ 2018-10-26 17:11 0
jackertom 雪币： 523 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	jackertom 46 楼模块回调 oep写入ret局性很强 2019-3-30 20:40 0
花弄影h 雪币： 908 活跃值： (169) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 26 粉丝 6 关注私信	花弄影h 47 楼 mark 2019-4-1 08:43 0
慢热型雪币： 603 活跃值： (4223) 能力值： ( LV3，RANK：20 ) 在线值：发帖 36 回帖 110 粉丝 99 关注私信	慢热型 48 楼 mark 2019-7-20 09:25 0
shenchiyua 雪币： 96 活跃值： (64) 能力值： ( LV2，RANK：10 ) 在线值：发帖 85 回帖 284 粉丝 1 关注私信	shenchiyua 49 楼 x64 ring3 win7 hook ntcreatethreadex发现还是有些线程创建拦截不了是还要hook个函数吗？ 2020-2-11 18:55 0
LSnali 雪币： 223 活跃值： (52) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	LSnali 50 楼只想睡个好觉我在PsSetLoadImageNotifyRoutine中使用ZwReadFile会出错，是为什么呢？？可能是Irql，可能一个是DISPATCH_LEVEL，一个是PASSIVE_LEVEL 2021-2-2 18:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

TkBinary

发帖

416

回帖

385

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (49) ◀ 1 2
苍穹之下雪币： 66 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 1 关注私信	苍穹之下 26 楼谢谢分享。看不懂。但是感觉很厉害 2018-2-8 21:11 0
fior 雪币： 203 活跃值： (30) 能力值： ( LV3，RANK：20 ) 在线值：发帖 23 回帖 43 粉丝 0 关注私信	fior 27 楼可以通过改变CreateInfo的信息改变启动流程吗，还是说里面大部分参数只是只读的 2018-2-14 11:06 0
狂神疯子雪币： 14 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	狂神疯子 28 楼谢谢分享。 2018-2-14 18:22 0
冰雄雪币： 1485 活跃值： (1135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 224 粉丝 52 关注私信	冰雄 29 楼 x64照样可以hook ssdt 2018-2-14 20:15 0
wx_韩禹雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wx_韩禹 30 楼无法拦截nt层啊 2018-2-17 19:25 0
CkDebug 雪币： 136 活跃值： (16) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 47 粉丝 1 关注私信	CkDebug 31 楼琪哥666,已经膜拜完毕.. 2018-2-18 17:04 0
流哥雪币： 140 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 146 粉丝 1 关注私信	流哥 32 楼楼主可以去看看 m5home 2018-2-24 09:55 0
moods 雪币： 36 活跃值： (36) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	moods 33 楼 xp下怎么拦截进程创建呢，没有ex函数 2018-2-24 14:36 0
Archar 雪币： 78 活跃值： (1875) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 62 粉丝 3 关注私信	Archar 34 楼不全啊 2018-2-24 16:17 0
TkBinary 雪币： 881 活跃值： (9856) 能力值： ( LV13，RANK：385 ) 在线值：发帖 25 回帖 416 粉丝 211 关注私信	TkBinary 5 35 楼 moods xp下怎么拦截进程创建呢，没有ex函数 HOOK 2018-2-25 20:29 0
TkBinary 雪币： 881 活跃值： (9856) 能力值： ( LV13，RANK：385 ) 在线值：发帖 25 回帖 416 粉丝 211 关注私信	TkBinary 5 36 楼 Archar [em_4]不全啊弄了一部分.初学内核. 2018-2-25 20:30 0
TkBinary 雪币： 881 活跃值： (9856) 能力值： ( LV13，RANK：385 ) 在线值：发帖 25 回帖 416 粉丝 211 关注私信	TkBinary 5 37 楼 fior 可以通过改变CreateInfo的信息改变启动流程吗，还是说里面大部分参数只是只读的[em_31] 基本上就是给你控制了, 在创建还没创建玩,内核会调用这个. 所以由你进行操控. 2018-2-25 20:31 0
MaMy 雪币： 12 活跃值： (423) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 282 粉丝 2 关注私信	MaMy 38 楼拦截模块加载,修改 ret是真没用,,因为那个地方不是最早的.. 依稀记得这个应该是无解的,只能X掉进程 2018-2-26 14:16 0
心有猛虎雪币： 223 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 1 关注私信	心有猛虎 39 楼感谢分享，学习。MARK。 2018-3-15 15:52 0
BiaoGeKX 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	BiaoGeKX 40 楼既然提供了api，不用驱动可以直接用嘛 2018-3-28 21:01 0
只想睡个好觉雪币： 1914 活跃值： (72) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 38 粉丝 2 关注私信	只想睡个好觉 41 楼我在PsSetLoadImageNotifyRoutine中使用ZwReadFile会出错，是为什么呢？？ 2018-10-3 12:09 0
TkBinary 雪币： 881 活跃值： (9856) 能力值： ( LV13，RANK：385 ) 在线值：发帖 25 回帖 416 粉丝 211 关注私信	TkBinary 5 42 楼只想睡个好觉我在PsSetLoadImageNotifyRoutine中使用ZwReadFile会出错，是为什么呢？？没有深入内核了,你的问题无法回答.抱歉. 你看看是不是参数错误.或者别的问题. 2018-10-4 17:00 0
Lyxk 雪币： 147 活跃值： (871) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 39 粉丝 6 关注私信	Lyxk 43 楼高端技术,值得学习！！ 2018-10-5 11:38 0
只想睡个好觉雪币： 1914 活跃值： (72) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 38 粉丝 2 关注私信	只想睡个好觉 44 楼其实这个不是HOOK吧。只是微软提供的通知与回调的接口吧 2018-10-26 16:53 0
fengyunabc 雪币： 3738 活跃值： (3872) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 522 粉丝 26 关注私信	fengyunabc 1 45 楼感谢分享！ 2018-10-26 17:11 0
jackertom 雪币： 523 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	jackertom 46 楼模块回调 oep写入ret局性很强 2019-3-30 20:40 0
花弄影h 雪币： 908 活跃值： (169) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 26 粉丝 6 关注私信	花弄影h 47 楼 mark 2019-4-1 08:43 0
慢热型雪币： 603 活跃值： (4223) 能力值： ( LV3，RANK：20 ) 在线值：发帖 36 回帖 110 粉丝 99 关注私信	慢热型 48 楼 mark 2019-7-20 09:25 0
shenchiyua 雪币： 96 活跃值： (64) 能力值： ( LV2，RANK：10 ) 在线值：发帖 85 回帖 284 粉丝 1 关注私信	shenchiyua 49 楼 x64 ring3 win7 hook ntcreatethreadex发现还是有些线程创建拦截不了是还要hook个函数吗？ 2020-2-11 18:55 0
LSnali 雪币： 223 活跃值： (52) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	LSnali 50 楼只想睡个好觉我在PsSetLoadImageNotifyRoutine中使用ZwReadFile会出错，是为什么呢？？可能是Irql，可能一个是DISPATCH_LEVEL，一个是PASSIVE_LEVEL 2021-2-2 18:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复