[转帖]在WIN10 19041下继续欢快的infinityhook-编程技术-看雪-安全社区|安全招聘|kanxue.com

[转帖]在WIN10 19041下继续欢快的infinityhook

2020-5-26 17:46 13120

[转帖]在WIN10 19041下继续欢快的infinityhook

wowocock

2020-5-26 17:46

13120

https://www.anquanke.com/post/id/206288，测了下的确可以，大家又可以欢快的抄袭了，静等微软继续和谐吧。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

INF19041.jpg （199.04kb，4次下载）
19041.jpg （192.88kb，3次下载）

收藏・11

点赞・2

打赏

最新回复 (36) 1 2 ▶
flarejune 雪币： 688 活跃值： (189) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 102 粉丝 9 关注私信	flarejune 2020-5-26 18:34 2 楼 0 然而现在是2004了,而那个文章借鉴的那个syscall方式(原作者称支持win10 2004)也无法正常运行在最新的2004上面, 估计他说的2004是指2004预览版, 新版的2004,修补得更严密了.动不动就给你一个System Thread Exception
syser 雪币： 2694 活跃值： (3803) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 232 粉丝 7 关注私信	syser 2020-5-26 18:54 3 楼 0 flarejune 然而现在是2004了,而那个文章借鉴的那个syscall方式(原作者称支持win10 2004)也无法正常运行在最新的2004上面, 估计他说的2004是指2004预览版, 新版的2004,修补得 ... 2004就是19041.... System Thread Exception 是自己的问题...
flarejune 雪币： 688 活跃值： (189) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 102 粉丝 9 关注私信	flarejune 2020-5-26 19:04 4 楼 0 syser 2004就是19041.... System Thread Exception 是自己的问题... 查SSDT Shadow表的操作,调用KeAttachProcess马上就System Thread Exception了. 在2004之前的所有版本都没有这个限制的. 无论是进程附加还是栈内存附加,一律给你System Thread Exception.
syser 雪币： 2694 活跃值： (3803) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 232 粉丝 7 关注私信	syser 2020-5-26 19:06 5 楼 0 flarejune 查SSDT Shadow表的操作,调用KeAttachProcess马上就System Thread Exception了. 在2004之前的所有版本都没有这个限制的. 无论是进程附加还是栈内存附 ... 还是自己问题可以放DUMP上来
flarejune 雪币： 688 活跃值： (189) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 102 粉丝 9 关注私信	flarejune 2020-5-26 19:15 6 楼 0 DUMP个蛋啊,你自己调用KeAttachProcess一次不就知道了.
chenjialei 雪币： 3 活跃值： (1334) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	chenjialei 2020-5-26 20:25 7 楼 0 好像不能多函数hook 卸载也有问题重新钩无效
hzqst 雪币： 12839 活跃值： (9008) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1804 粉丝 540 关注私信	hzqst 3 2020-5-26 21:19 8 楼 0 flarejune 查SSDT Shadow表的操作,调用KeAttachProcess马上就System Thread Exception了. 在2004之前的所有版本都没有这个限制的. 无论是进程附加还是栈内存附 ... 自己的问题，实测19587无任何问题，比19041还高最后于 2020-5-26 21:19 被hzqst编辑，原因：
lytywg 雪币： 665 活跃值： (1045) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 59 粉丝 1 关注私信	lytywg 2020-5-26 21:50 9 楼 0 巨硬都被你们气炸了
HadesW 雪币： 9210 活跃值： (1871) 能力值： ( LV6，RANK：90 ) 在线值：发帖 2 回帖 53 粉丝 83 关注私信	HadesW 2 2020-5-26 22:33 10 楼 0 好几个月前就放出来了，思路就是继续前边的操作，然后 GetCpuClock = 1，hookKePerformanceCounterRoutine
killleer 雪币： 1556 活跃值： (2112) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 78 粉丝 10 关注私信	killleer 2020-5-26 23:19 11 楼 0 HadesW 好几个月前就放出来了，思路就是继续前边的操作，然后 GetCpuClock = 1，hookKePerformanceCounterRoutine 那个老外的有问题，有人给他改了一下，fin
flarejune 雪币： 688 活跃值： (189) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 102 粉丝 9 关注私信	flarejune 2020-5-27 14:52 12 楼 0 hzqst flarejune 查SSDT Shadow表的操作,调用KeAttachProcess马上就System Thread Exception了. 在2004之前 ... #include <ntifs.h> typedef struct _KPROCESS { CHAR _pad0[0x2e8]; ULONG UniqueProcessId; LIST_ENTRY ActiveProcessLinks; CHAR _pad1[0x150]; CHAR ImageFileName[15]; CHAR _pad2[0x39]; UINT32 ActiveThreads; } EPROCESS; LONG GetProcessIdByName(const char* processName) { auto* const startProcess = PsGetCurrentProcess(); auto* currentProcess = startProcess; do { if (!currentProcess->ActiveThreads) continue; STRING currentName; RtlInitString(&currentName, (PCSZ)currentProcess->ImageFileName); if (_stricmp(processName, currentProcess->ImageFileName) == 0) return currentProcess->UniqueProcessId; } while ((currentProcess = CONTAINING_RECORD(currentProcess->ActiveProcessLinks.Flink, EPROCESS, ActiveProcessLinks)) != startProcess); return 0; } extern "C" NTSTATUS DriverEntry(IN PDRIVER_OBJECT , IN PUNICODE_STRING ) { const auto explorerPid = GetProcessIdByName("winlogon.exe"); if (explorerPid != 0) { PEPROCESS EProcess = nullptr; if (NT_SUCCESS(PsLookupProcessByProcessId((HANDLE)explorerPid, &EProcess))) { //win10 2004 (19041+)必定蓝屏:System Thread Exception Not Handle,19041之前的系统可以正常 KeAttachProcess(EProcess); KeDetachProcess(); } } return STATUS_SUCCESS; }
netsd 雪币： 45 活跃值： (93) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 26 粉丝 3 关注私信	netsd 2020-5-27 15:08 13 楼 0 膜拜大肉基。
xiaohucode 雪币： 19 活跃值： (200) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 1 关注私信	xiaohucode 2020-5-27 15:44 14 楼 0 插眼！膜拜大佬最后于 2020-5-27 15:45 被xiaohucode编辑，原因： 1
wowocock 雪币： 405 活跃值： (1950) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 305 粉丝 19 关注私信	wowocock 1 2020-5-27 16:16 15 楼 0 flarejune #include <ntifs.h> typedef struct _KPROCESS { &nbs ... 本地测了下，没问题。
hzqst 雪币： 12839 活跃值： (9008) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1804 粉丝 540 关注私信	hzqst 3 2020-5-27 16:56 16 楼 0 flarejune #include <ntifs.h> typedef struct _KPROCESS { &nbs ... 微软都不让用这个api了
flarejune 雪币： 688 活跃值： (189) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 102 粉丝 9 关注私信	flarejune 2020-5-27 17:28 17 楼 0 wowocock 本地测了下，没问题。那么邪门?肯定是有什么细节不一样. 你应该不是在DriverEntry里面调用的,你应该是被RING3的程序间接调用(HOOK),或者是基于驱动IO调用的. 如果是这样调用的话,根本无需AttachProcess了,你本身已经是附加到进程去的了.
flarejune 雪币： 688 活跃值： (189) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 102 粉丝 9 关注私信	flarejune 2020-5-27 17:30 18 楼 0 hzqst 微软都不让用这个api了正解,新版的WIN10,加入了更多的限制.
wowocock 雪币： 405 活跃值： (1950) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 305 粉丝 19 关注私信	wowocock 1 2020-5-27 18:25 19 楼 0 flarejune 那么邪门?肯定是有什么细节不一样. 你应该不是在DriverEntry里面调用的,你应该是被RING3的程序间接调用(HOOK),或者是基于驱动IO调用的. 如果是这样调用的话,根本无需Attac ... 就是DRIVERENTRY里直接写个函数调用的。建议你用个干净的系统测试。
flarejune 雪币： 688 活跃值： (189) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 102 粉丝 9 关注私信	flarejune 2020-5-27 19:12 20 楼 0 wowocock 就是DRIVERENTRY里直接写个函数调用的。建议你用个干净的系统测试。绝对干净的,在VM Ware 15.5.2里面跑的,全新安装的,打上所有的系统更新. 你居然没事,让我头大了,到底问题出在哪里?
tmflxw 雪币： 750 活跃值： (2692) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 109 粉丝 18 关注私信	tmflxw 2020-5-27 20:21 21 楼 0 flarejune 绝对干净的,在VM Ware 15.5.2里面跑的,全新安装的,打上所有的系统更新. 你居然没事,让我头大了,到底问题出在哪里? 大表哥已经说的很清楚了，微软都不让用KeAttachProcess了，KeStackAttachProcess试
flarejune 雪币： 688 活跃值： (189) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 102 粉丝 9 关注私信	flarejune 2020-5-27 21:38 22 楼 0 tmflxw 大表哥已经说的很清楚了，微软都不让用KeAttachProcess了，KeStackAttachProcess试当时发现KeAttachProcess不给使用的时候,马上就测试了KeStackAttachProcess,一样不可以了的. 我知道是微软禁止使用了,但是楼主说测试正常使用,我就懵逼了,我严重怀疑他的2004是之前的那个预览版,但是编译号却是19041, 真的蛋疼
flarejune 雪币： 688 活跃值： (189) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 102 粉丝 9 关注私信	flarejune 2020-5-27 21:40 23 楼 0 tmflxw 大表哥已经说的很清楚了，微软都不让用KeAttachProcess了，KeStackAttachProcess试现在要获取SSDSHADOW,可以使用倒推的方式计算出来,在infinityhook里面判断CallNumber,发现大于0x1000的,就是UserCall,根据CallNumber和当前的FunctionAddress倒推可以推到SSDShadow的表头.
killleer 雪币： 1556 活跃值： (2112) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 78 粉丝 10 关注私信	killleer 2020-5-31 15:22 24 楼 0 lytywg 巨硬都被你们气炸了[em_19] 最后的结果就是进PG或者承认其存在----打不过就加入
看穿了说不得雪币： 131 活跃值： (30) 能力值： (RANK：0 ) 在线值：发帖 1 回帖 42 粉丝 0 关注私信	看穿了说不得 2020-6-15 08:17 25 楼 0 打不过就加入,这是不要脸,魔鬼的法,当心啊.
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

wowocock

发帖

305

回帖

RANK

关注

私信

他的文章

[转帖]在WIN10 19041下继续欢快的infinityhook

[分享]Intel Sysret 漏洞在WIN7 X64下的实现分析

[分享][下载]让所有ssdt(shadow) hook(inline)失效

[讨论]CMD.EXE是如何访问剪切板的？？

关于我们

联系我们

企业服务

看雪公众号

最新回复 (36) 1 2 ▶
flarejune 雪币： 688 活跃值： (189) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 102 粉丝 9 关注私信	flarejune 2020-5-26 18:34 2 楼 0 然而现在是2004了,而那个文章借鉴的那个syscall方式(原作者称支持win10 2004)也无法正常运行在最新的2004上面, 估计他说的2004是指2004预览版, 新版的2004,修补得更严密了.动不动就给你一个System Thread Exception
syser 雪币： 2694 活跃值： (3803) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 232 粉丝 7 关注私信	syser 2020-5-26 18:54 3 楼 0 flarejune 然而现在是2004了,而那个文章借鉴的那个syscall方式(原作者称支持win10 2004)也无法正常运行在最新的2004上面, 估计他说的2004是指2004预览版, 新版的2004,修补得 ... 2004就是19041.... System Thread Exception 是自己的问题...
flarejune 雪币： 688 活跃值： (189) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 102 粉丝 9 关注私信	flarejune 2020-5-26 19:04 4 楼 0 syser 2004就是19041.... System Thread Exception 是自己的问题... 查SSDT Shadow表的操作,调用KeAttachProcess马上就System Thread Exception了. 在2004之前的所有版本都没有这个限制的. 无论是进程附加还是栈内存附加,一律给你System Thread Exception.
syser 雪币： 2694 活跃值： (3803) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 232 粉丝 7 关注私信	syser 2020-5-26 19:06 5 楼 0 flarejune 查SSDT Shadow表的操作,调用KeAttachProcess马上就System Thread Exception了. 在2004之前的所有版本都没有这个限制的. 无论是进程附加还是栈内存附 ... 还是自己问题可以放DUMP上来
flarejune 雪币： 688 活跃值： (189) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 102 粉丝 9 关注私信	flarejune 2020-5-26 19:15 6 楼 0 DUMP个蛋啊,你自己调用KeAttachProcess一次不就知道了.
chenjialei 雪币： 3 活跃值： (1334) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	chenjialei 2020-5-26 20:25 7 楼 0 好像不能多函数hook 卸载也有问题重新钩无效
hzqst 雪币： 12839 活跃值： (9008) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1804 粉丝 540 关注私信	hzqst 3 2020-5-26 21:19 8 楼 0 flarejune 查SSDT Shadow表的操作,调用KeAttachProcess马上就System Thread Exception了. 在2004之前的所有版本都没有这个限制的. 无论是进程附加还是栈内存附 ... 自己的问题，实测19587无任何问题，比19041还高最后于 2020-5-26 21:19 被hzqst编辑，原因：
lytywg 雪币： 665 活跃值： (1045) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 59 粉丝 1 关注私信	lytywg 2020-5-26 21:50 9 楼 0 巨硬都被你们气炸了
HadesW 雪币： 9210 活跃值： (1871) 能力值： ( LV6，RANK：90 ) 在线值：发帖 2 回帖 53 粉丝 83 关注私信	HadesW 2 2020-5-26 22:33 10 楼 0 好几个月前就放出来了，思路就是继续前边的操作，然后 GetCpuClock = 1，hookKePerformanceCounterRoutine
killleer 雪币： 1556 活跃值： (2112) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 78 粉丝 10 关注私信	killleer 2020-5-26 23:19 11 楼 0 HadesW 好几个月前就放出来了，思路就是继续前边的操作，然后 GetCpuClock = 1，hookKePerformanceCounterRoutine 那个老外的有问题，有人给他改了一下，fin
flarejune 雪币： 688 活跃值： (189) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 102 粉丝 9 关注私信	flarejune 2020-5-27 14:52 12 楼 0 hzqst flarejune 查SSDT Shadow表的操作,调用KeAttachProcess马上就System Thread Exception了. 在2004之前 ... #include <ntifs.h> typedef struct _KPROCESS { CHAR _pad0[0x2e8]; ULONG UniqueProcessId; LIST_ENTRY ActiveProcessLinks; CHAR _pad1[0x150]; CHAR ImageFileName[15]; CHAR _pad2[0x39]; UINT32 ActiveThreads; } EPROCESS; LONG GetProcessIdByName(const char* processName) { auto* const startProcess = PsGetCurrentProcess(); auto* currentProcess = startProcess; do { if (!currentProcess->ActiveThreads) continue; STRING currentName; RtlInitString(&currentName, (PCSZ)currentProcess->ImageFileName); if (_stricmp(processName, currentProcess->ImageFileName) == 0) return currentProcess->UniqueProcessId; } while ((currentProcess = CONTAINING_RECORD(currentProcess->ActiveProcessLinks.Flink, EPROCESS, ActiveProcessLinks)) != startProcess); return 0; } extern "C" NTSTATUS DriverEntry(IN PDRIVER_OBJECT , IN PUNICODE_STRING ) { const auto explorerPid = GetProcessIdByName("winlogon.exe"); if (explorerPid != 0) { PEPROCESS EProcess = nullptr; if (NT_SUCCESS(PsLookupProcessByProcessId((HANDLE)explorerPid, &EProcess))) { //win10 2004 (19041+)必定蓝屏:System Thread Exception Not Handle,19041之前的系统可以正常 KeAttachProcess(EProcess); KeDetachProcess(); } } return STATUS_SUCCESS; }
netsd 雪币： 45 活跃值： (93) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 26 粉丝 3 关注私信	netsd 2020-5-27 15:08 13 楼 0 膜拜大肉基。
xiaohucode 雪币： 19 活跃值： (200) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 1 关注私信	xiaohucode 2020-5-27 15:44 14 楼 0 插眼！膜拜大佬最后于 2020-5-27 15:45 被xiaohucode编辑，原因： 1
wowocock 雪币： 405 活跃值： (1950) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 305 粉丝 19 关注私信	wowocock 1 2020-5-27 16:16 15 楼 0 flarejune #include <ntifs.h> typedef struct _KPROCESS { &nbs ... 本地测了下，没问题。
hzqst 雪币： 12839 活跃值： (9008) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1804 粉丝 540 关注私信	hzqst 3 2020-5-27 16:56 16 楼 0 flarejune #include <ntifs.h> typedef struct _KPROCESS { &nbs ... 微软都不让用这个api了
flarejune 雪币： 688 活跃值： (189) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 102 粉丝 9 关注私信	flarejune 2020-5-27 17:28 17 楼 0 wowocock 本地测了下，没问题。那么邪门?肯定是有什么细节不一样. 你应该不是在DriverEntry里面调用的,你应该是被RING3的程序间接调用(HOOK),或者是基于驱动IO调用的. 如果是这样调用的话,根本无需AttachProcess了,你本身已经是附加到进程去的了.
flarejune 雪币： 688 活跃值： (189) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 102 粉丝 9 关注私信	flarejune 2020-5-27 17:30 18 楼 0 hzqst 微软都不让用这个api了正解,新版的WIN10,加入了更多的限制.
wowocock 雪币： 405 活跃值： (1950) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 305 粉丝 19 关注私信	wowocock 1 2020-5-27 18:25 19 楼 0 flarejune 那么邪门?肯定是有什么细节不一样. 你应该不是在DriverEntry里面调用的,你应该是被RING3的程序间接调用(HOOK),或者是基于驱动IO调用的. 如果是这样调用的话,根本无需Attac ... 就是DRIVERENTRY里直接写个函数调用的。建议你用个干净的系统测试。
flarejune 雪币： 688 活跃值： (189) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 102 粉丝 9 关注私信	flarejune 2020-5-27 19:12 20 楼 0 wowocock 就是DRIVERENTRY里直接写个函数调用的。建议你用个干净的系统测试。绝对干净的,在VM Ware 15.5.2里面跑的,全新安装的,打上所有的系统更新. 你居然没事,让我头大了,到底问题出在哪里?
tmflxw 雪币： 750 活跃值： (2692) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 109 粉丝 18 关注私信	tmflxw 2020-5-27 20:21 21 楼 0 flarejune 绝对干净的,在VM Ware 15.5.2里面跑的,全新安装的,打上所有的系统更新. 你居然没事,让我头大了,到底问题出在哪里? 大表哥已经说的很清楚了，微软都不让用KeAttachProcess了，KeStackAttachProcess试
flarejune 雪币： 688 活跃值： (189) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 102 粉丝 9 关注私信	flarejune 2020-5-27 21:38 22 楼 0 tmflxw 大表哥已经说的很清楚了，微软都不让用KeAttachProcess了，KeStackAttachProcess试当时发现KeAttachProcess不给使用的时候,马上就测试了KeStackAttachProcess,一样不可以了的. 我知道是微软禁止使用了,但是楼主说测试正常使用,我就懵逼了,我严重怀疑他的2004是之前的那个预览版,但是编译号却是19041, 真的蛋疼
flarejune 雪币： 688 活跃值： (189) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 102 粉丝 9 关注私信	flarejune 2020-5-27 21:40 23 楼 0 tmflxw 大表哥已经说的很清楚了，微软都不让用KeAttachProcess了，KeStackAttachProcess试现在要获取SSDSHADOW,可以使用倒推的方式计算出来,在infinityhook里面判断CallNumber,发现大于0x1000的,就是UserCall,根据CallNumber和当前的FunctionAddress倒推可以推到SSDShadow的表头.
killleer 雪币： 1556 活跃值： (2112) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 78 粉丝 10 关注私信	killleer 2020-5-31 15:22 24 楼 0 lytywg 巨硬都被你们气炸了[em_19] 最后的结果就是进PG或者承认其存在----打不过就加入
看穿了说不得雪币： 131 活跃值： (30) 能力值： (RANK：0 ) 在线值：发帖 1 回帖 42 粉丝 0 关注私信	看穿了说不得 2020-6-15 08:17 25 楼 0 打不过就加入,这是不要脸,魔鬼的法,当心啊.
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复