[原创]X64系统中WIN32程序应用层拦截驱动层交互的通杀方案-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (12)
AperOdry 雪币： 775 活跃值： (2292) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 242 粉丝 14 关注私信	AperOdry 2 楼学习了，感谢分享 2018-3-20 18:13 0
lhglhg 雪币： 221 活跃值： (2326) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 435 粉丝 3 关注私信	lhglhg 1 3 楼学习了 2018-3-20 18:30 0
冰雄雪币： 1485 活跃值： (1135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 224 粉丝 52 关注私信	冰雄 4 楼驱动不会防r3的拦截？毕竟驱动在底层可以做任何事 2018-3-20 18:32 0
layerfsd 雪币： 8188 活跃值： (2847) 能力值： ( LV9，RANK：180 ) 在线值：发帖 14 回帖 284 粉丝 6 关注私信	layerfsd 4 5 楼楼主也不用说那么隐晦，十年前就有一个叫野猪的力量的东西，翻了一下硬盘么找到，git了一下关键字：GetProcAddress KiFastSystemCall，应该是这个了。 https://github.com/MalwareTech/FstHook 印象中在win8以上不好使了，不记得是不是记错了。最后于 2018-3-20 19:36 被layerfsd编辑，原因： 2018-3-20 19:35 0
tomtory 雪币： 11160 活跃值： (3115) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 145 粉丝 1 关注私信	tomtory 6 楼 X64系统有类似32位KiFastSystemCall的API吗？ 2018-3-20 20:54 0
xjj 雪币： 286 活跃值： (67) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 101 粉丝 1 关注私信	xjj 7 楼 tomtory X64系统有类似32位KiFastSystemCall的API吗？ X64系统下的WIN32程序里，依然有KiFastSystemCall这个API，但他已经没有了应有的作用，，取而代之的就是我这个帖子说的方法。 2018-3-21 08:01 0
xjj 雪币： 286 活跃值： (67) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 101 粉丝 1 关注私信	xjj 8 楼冰雄驱动不会防r3的拦截？毕竟驱动在底层可以做任何事一个API的调用过程是R3->R0->R3，我这里讲的是第一个R3到R0间的HOOK，，R3->HOOK->R0->R3 2018-3-21 11:31 0
geoh 雪币： 222 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	geoh 9 楼 mov ebx, 1A <-- 这个应该是SSDT函数表的序号在x64下会直接syscall，想不到X86下会这么曲折好文，打包PDF，可以收藏用最后于 2018-4-26 14:49 被geoh编辑，原因：上传的附件： X64系统中WIN32程序应用层拦截驱动层交互的通杀方案.pdf （1.49MB，74次下载） 2018-4-26 14:24 0
blindtiger 雪币： 5734 活跃值： (1737) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 231 粉丝 99 关注私信	blindtiger 1 10 楼没啥用 32调用门切64 然后syscall 直接就绕过去了楼主你想多了 2018-4-27 10:35 0
hekes 雪币： 4939 活跃值： (2360) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 228 粉丝 7 关注私信	hekes 11 楼 mark 2018-4-27 22:09 0
WindBlow小迪雪币： 33 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	WindBlow小迪 12 楼 mack 2020-1-17 04:55 0
Black貓①呺雪币： 1440 活跃值： (1350) 能力值： ( LV3，RANK：23 ) 在线值：发帖 2 回帖 69 粉丝 2 关注私信	Black貓①呺 13 楼那个 jmp for 033: 不是跳到内核，是调到64位dll中（用windbg 转成wow64以后继续调后面代码），64位dll再通过syscall 2020-7-7 12:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (12)
AperOdry 雪币： 775 活跃值： (2292) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 242 粉丝 14 关注私信	AperOdry 2 楼学习了，感谢分享 2018-3-20 18:13 0
lhglhg 雪币： 221 活跃值： (2326) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 435 粉丝 3 关注私信	lhglhg 1 3 楼学习了 2018-3-20 18:30 0
冰雄雪币： 1485 活跃值： (1135) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 224 粉丝 52 关注私信	冰雄 4 楼驱动不会防r3的拦截？毕竟驱动在底层可以做任何事 2018-3-20 18:32 0
layerfsd 雪币： 8188 活跃值： (2847) 能力值： ( LV9，RANK：180 ) 在线值：发帖 14 回帖 284 粉丝 6 关注私信	layerfsd 4 5 楼楼主也不用说那么隐晦，十年前就有一个叫野猪的力量的东西，翻了一下硬盘么找到，git了一下关键字：GetProcAddress KiFastSystemCall，应该是这个了。 https://github.com/MalwareTech/FstHook 印象中在win8以上不好使了，不记得是不是记错了。最后于 2018-3-20 19:36 被layerfsd编辑，原因： 2018-3-20 19:35 0
tomtory 雪币： 11160 活跃值： (3115) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 145 粉丝 1 关注私信	tomtory 6 楼 X64系统有类似32位KiFastSystemCall的API吗？ 2018-3-20 20:54 0
xjj 雪币： 286 活跃值： (67) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 101 粉丝 1 关注私信	xjj 7 楼 tomtory X64系统有类似32位KiFastSystemCall的API吗？ X64系统下的WIN32程序里，依然有KiFastSystemCall这个API，但他已经没有了应有的作用，，取而代之的就是我这个帖子说的方法。 2018-3-21 08:01 0
xjj 雪币： 286 活跃值： (67) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 101 粉丝 1 关注私信	xjj 8 楼冰雄驱动不会防r3的拦截？毕竟驱动在底层可以做任何事一个API的调用过程是R3->R0->R3，我这里讲的是第一个R3到R0间的HOOK，，R3->HOOK->R0->R3 2018-3-21 11:31 0
geoh 雪币： 222 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 0 关注私信	geoh 9 楼 mov ebx, 1A <-- 这个应该是SSDT函数表的序号在x64下会直接syscall，想不到X86下会这么曲折好文，打包PDF，可以收藏用最后于 2018-4-26 14:49 被geoh编辑，原因：上传的附件： X64系统中WIN32程序应用层拦截驱动层交互的通杀方案.pdf （1.49MB，74次下载） 2018-4-26 14:24 0
blindtiger 雪币： 5734 活跃值： (1737) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 231 粉丝 99 关注私信	blindtiger 1 10 楼没啥用 32调用门切64 然后syscall 直接就绕过去了楼主你想多了 2018-4-27 10:35 0
hekes 雪币： 4939 活跃值： (2360) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 228 粉丝 7 关注私信	hekes 11 楼 mark 2018-4-27 22:09 0
WindBlow小迪雪币： 33 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	WindBlow小迪 12 楼 mack 2020-1-17 04:55 0
Black貓①呺雪币： 1440 活跃值： (1350) 能力值： ( LV3，RANK：23 ) 在线值：发帖 2 回帖 69 粉丝 2 关注私信	Black貓①呺 13 楼那个 jmp for 033: 不是跳到内核，是调到64位dll中（用windbg 转成wow64以后继续调后面代码），64位dll再通过syscall 2020-7-7 12:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复