[原创]x64内核中的HOOK技术. 拦截进程,拦截线程,拦截模块(思路)-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]x64内核中的HOOK技术. 拦截进程,拦截线程,拦截模块(思路)

2018-2-5 23:39 23989

[原创]x64内核中的HOOK技术. 拦截进程,拦截线程,拦截模块(思路)

TkBinary

2018-2-5 23:39

23989

查看主题内容

收藏・104

点赞・2

打赏

最新回复 (49) ◀ 1 2
苍穹之下雪币： 66 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 1 关注私信	苍穹之下 2018-2-8 21:11 26 楼 0 谢谢分享。看不懂。但是感觉很厉害
fior 雪币： 203 活跃值： (30) 能力值： ( LV3，RANK：20 ) 在线值：发帖 23 回帖 25 粉丝 0 关注私信	fior 2018-2-14 11:06 27 楼 0 可以通过改变CreateInfo的信息改变启动流程吗，还是说里面大部分参数只是只读的
狂神疯子雪币： 14 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	狂神疯子 2018-2-14 18:22 28 楼 0 谢谢分享。
冰雄雪币： 1484 活跃值： (1135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 231 粉丝 49 关注私信	冰雄 2018-2-14 20:15 29 楼 0 x64照样可以hook ssdt
wx_韩禹雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wx_韩禹 2018-2-17 19:25 30 楼 0 无法拦截nt层啊
CkDebug 雪币： 134 活跃值： (16) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 49 粉丝 1 关注私信	CkDebug 2018-2-18 17:04 31 楼 0 琪哥666,已经膜拜完毕..
流哥雪币： 140 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 147 粉丝 1 关注私信	流哥 2018-2-24 09:55 32 楼 0 楼主可以去看看 m5home
moods 雪币： 36 活跃值： (36) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	moods 2018-2-24 14:36 33 楼 0 xp下怎么拦截进程创建呢，没有ex函数
Archar 雪币： 78 活跃值： (1388) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 62 粉丝 1 关注私信	Archar 2018-2-24 16:17 34 楼 0 不全啊
TkBinary 雪币： 2378 活跃值： (9195) 能力值： ( LV13，RANK：385 ) 在线值：发帖 19 回帖 389 粉丝 201 关注私信	TkBinary 5 2018-2-25 20:29 35 楼 0 moods xp下怎么拦截进程创建呢，没有ex函数 HOOK
TkBinary 雪币： 2378 活跃值： (9195) 能力值： ( LV13，RANK：385 ) 在线值：发帖 19 回帖 389 粉丝 201 关注私信	TkBinary 5 2018-2-25 20:30 36 楼 0 Archar [em_4]不全啊弄了一部分.初学内核.
TkBinary 雪币： 2378 活跃值： (9195) 能力值： ( LV13，RANK：385 ) 在线值：发帖 19 回帖 389 粉丝 201 关注私信	TkBinary 5 2018-2-25 20:31 37 楼 0 fior 可以通过改变CreateInfo的信息改变启动流程吗，还是说里面大部分参数只是只读的[em_31] 基本上就是给你控制了, 在创建还没创建玩,内核会调用这个. 所以由你进行操控.
MaMy 雪币： 12 活跃值： (388) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 287 粉丝 2 关注私信	MaMy 2018-2-26 14:16 38 楼 0 拦截模块加载,修改 ret是真没用,,因为那个地方不是最早的.. 依稀记得这个应该是无解的,只能X掉进程
心有猛虎雪币： 223 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 1 关注私信	心有猛虎 2018-3-15 15:52 39 楼 0 感谢分享，学习。MARK。
BiaoGeKX 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	BiaoGeKX 2018-3-28 21:01 40 楼 0 既然提供了api，不用驱动可以直接用嘛
只想睡个好觉雪币： 1914 活跃值： (72) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 28 粉丝 2 关注私信	只想睡个好觉 2018-10-3 12:09 41 楼 0 我在PsSetLoadImageNotifyRoutine中使用ZwReadFile会出错，是为什么呢？？
TkBinary 雪币： 2378 活跃值： (9195) 能力值： ( LV13，RANK：385 ) 在线值：发帖 19 回帖 389 粉丝 201 关注私信	TkBinary 5 2018-10-4 17:00 42 楼 0 只想睡个好觉我在PsSetLoadImageNotifyRoutine中使用ZwReadFile会出错，是为什么呢？？没有深入内核了,你的问题无法回答.抱歉. 你看看是不是参数错误.或者别的问题.
Lyxk 雪币： 138 活跃值： (731) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 23 粉丝 3 关注私信	Lyxk 2018-10-5 11:38 43 楼 0 高端技术,值得学习！！
只想睡个好觉雪币： 1914 活跃值： (72) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 28 粉丝 2 关注私信	只想睡个好觉 2018-10-26 16:53 44 楼 0 其实这个不是HOOK吧。只是微软提供的通知与回调的接口吧
fengyunabc 雪币： 3350 活跃值： (3372) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 511 粉丝 25 关注私信	fengyunabc 1 2018-10-26 17:11 45 楼 0 感谢分享！
jackertom 雪币： 523 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	jackertom 2019-3-30 20:40 46 楼 0 模块回调 oep写入ret局性很强
花弄影h 雪币： 908 活跃值： (169) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 21 粉丝 6 关注私信	花弄影h 2019-4-1 08:43 47 楼 0 mark
慢热型雪币： 595 活跃值： (4215) 能力值： ( LV3，RANK：20 ) 在线值：发帖 36 回帖 74 粉丝 99 关注私信	慢热型 2019-7-20 09:25 48 楼 0 mark
shenchiyua 雪币： 96 活跃值： (64) 能力值： ( LV2，RANK：10 ) 在线值：发帖 85 回帖 283 粉丝 1 关注私信	shenchiyua 2020-2-11 18:55 49 楼 0 x64 ring3 win7 hook ntcreatethreadex发现还是有些线程创建拦截不了是还要hook个函数吗？
LSnali 雪币： 223 活跃值： (52) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	LSnali 2021-2-2 18:12 50 楼 0 只想睡个好觉我在PsSetLoadImageNotifyRoutine中使用ZwReadFile会出错，是为什么呢？？可能是Irql，可能一个是DISPATCH_LEVEL，一个是PASSIVE_LEVEL
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

TkBinary

发帖

389

回帖

385

RANK

关注

私信

他的文章

[原创] VsCode配置Wdk7600开发环境以及 "自动编译" 和 sources文件简单介绍..

[分享] 加解密工具分享

[原创]#30天写作挑战#反汇编代码还原之特殊除法还原

[原创]#30天写作挑战#反汇编代码还原之除数为非2的幂

关于我们

联系我们

企业服务

看雪公众号

最新回复 (49) ◀ 1 2
苍穹之下雪币： 66 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 1 关注私信	苍穹之下 2018-2-8 21:11 26 楼 0 谢谢分享。看不懂。但是感觉很厉害
fior 雪币： 203 活跃值： (30) 能力值： ( LV3，RANK：20 ) 在线值：发帖 23 回帖 25 粉丝 0 关注私信	fior 2018-2-14 11:06 27 楼 0 可以通过改变CreateInfo的信息改变启动流程吗，还是说里面大部分参数只是只读的
狂神疯子雪币： 14 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	狂神疯子 2018-2-14 18:22 28 楼 0 谢谢分享。
冰雄雪币： 1484 活跃值： (1135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 231 粉丝 49 关注私信	冰雄 2018-2-14 20:15 29 楼 0 x64照样可以hook ssdt
wx_韩禹雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wx_韩禹 2018-2-17 19:25 30 楼 0 无法拦截nt层啊
CkDebug 雪币： 134 活跃值： (16) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 49 粉丝 1 关注私信	CkDebug 2018-2-18 17:04 31 楼 0 琪哥666,已经膜拜完毕..
流哥雪币： 140 活跃值： (70) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 147 粉丝 1 关注私信	流哥 2018-2-24 09:55 32 楼 0 楼主可以去看看 m5home
moods 雪币： 36 活跃值： (36) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	moods 2018-2-24 14:36 33 楼 0 xp下怎么拦截进程创建呢，没有ex函数
Archar 雪币： 78 活跃值： (1388) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 62 粉丝 1 关注私信	Archar 2018-2-24 16:17 34 楼 0 不全啊
TkBinary 雪币： 2378 活跃值： (9195) 能力值： ( LV13，RANK：385 ) 在线值：发帖 19 回帖 389 粉丝 201 关注私信	TkBinary 5 2018-2-25 20:29 35 楼 0 moods xp下怎么拦截进程创建呢，没有ex函数 HOOK
TkBinary 雪币： 2378 活跃值： (9195) 能力值： ( LV13，RANK：385 ) 在线值：发帖 19 回帖 389 粉丝 201 关注私信	TkBinary 5 2018-2-25 20:30 36 楼 0 Archar [em_4]不全啊弄了一部分.初学内核.
TkBinary 雪币： 2378 活跃值： (9195) 能力值： ( LV13，RANK：385 ) 在线值：发帖 19 回帖 389 粉丝 201 关注私信	TkBinary 5 2018-2-25 20:31 37 楼 0 fior 可以通过改变CreateInfo的信息改变启动流程吗，还是说里面大部分参数只是只读的[em_31] 基本上就是给你控制了, 在创建还没创建玩,内核会调用这个. 所以由你进行操控.
MaMy 雪币： 12 活跃值： (388) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 287 粉丝 2 关注私信	MaMy 2018-2-26 14:16 38 楼 0 拦截模块加载,修改 ret是真没用,,因为那个地方不是最早的.. 依稀记得这个应该是无解的,只能X掉进程
心有猛虎雪币： 223 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 1 关注私信	心有猛虎 2018-3-15 15:52 39 楼 0 感谢分享，学习。MARK。
BiaoGeKX 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	BiaoGeKX 2018-3-28 21:01 40 楼 0 既然提供了api，不用驱动可以直接用嘛
只想睡个好觉雪币： 1914 活跃值： (72) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 28 粉丝 2 关注私信	只想睡个好觉 2018-10-3 12:09 41 楼 0 我在PsSetLoadImageNotifyRoutine中使用ZwReadFile会出错，是为什么呢？？
TkBinary 雪币： 2378 活跃值： (9195) 能力值： ( LV13，RANK：385 ) 在线值：发帖 19 回帖 389 粉丝 201 关注私信	TkBinary 5 2018-10-4 17:00 42 楼 0 只想睡个好觉我在PsSetLoadImageNotifyRoutine中使用ZwReadFile会出错，是为什么呢？？没有深入内核了,你的问题无法回答.抱歉. 你看看是不是参数错误.或者别的问题.
Lyxk 雪币： 138 活跃值： (731) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 23 粉丝 3 关注私信	Lyxk 2018-10-5 11:38 43 楼 0 高端技术,值得学习！！
只想睡个好觉雪币： 1914 活跃值： (72) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 28 粉丝 2 关注私信	只想睡个好觉 2018-10-26 16:53 44 楼 0 其实这个不是HOOK吧。只是微软提供的通知与回调的接口吧
fengyunabc 雪币： 3350 活跃值： (3372) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 511 粉丝 25 关注私信	fengyunabc 1 2018-10-26 17:11 45 楼 0 感谢分享！
jackertom 雪币： 523 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	jackertom 2019-3-30 20:40 46 楼 0 模块回调 oep写入ret局性很强
花弄影h 雪币： 908 活跃值： (169) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 21 粉丝 6 关注私信	花弄影h 2019-4-1 08:43 47 楼 0 mark
慢热型雪币： 595 活跃值： (4215) 能力值： ( LV3，RANK：20 ) 在线值：发帖 36 回帖 74 粉丝 99 关注私信	慢热型 2019-7-20 09:25 48 楼 0 mark
shenchiyua 雪币： 96 活跃值： (64) 能力值： ( LV2，RANK：10 ) 在线值：发帖 85 回帖 283 粉丝 1 关注私信	shenchiyua 2020-2-11 18:55 49 楼 0 x64 ring3 win7 hook ntcreatethreadex发现还是有些线程创建拦截不了是还要hook个函数吗？
LSnali 雪币： 223 活跃值： (52) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	LSnali 2021-2-2 18:12 50 楼 0 只想睡个好觉我在PsSetLoadImageNotifyRoutine中使用ZwReadFile会出错，是为什么呢？？可能是Irql，可能一个是DISPATCH_LEVEL，一个是PASSIVE_LEVEL
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复