[讨论]InfinityHook在19041小版本间的兼容性问题-编程技术-看雪-安全社区|安全招聘|kanxue.com

[讨论]InfinityHook在19041小版本间的兼容性问题

发表于: 2020-7-27 13:28 21369

[讨论]InfinityHook在19041小版本间的兼容性问题

随风行

2020-7-27 13:28

21369

剖析InfinityHook原理掀起一场更激烈的攻与防恶战

Windows 10 19041版本的无限挂钩原理

Github项目InfinityHook

Github项目infhook19041

为了技术储备，尝试在19041上进行稳定的InfinityHook

Windows19041 更新到最近的小版本 10.0.19041.388，下载对应的符号文件

直接编译大佬的项目 Github项目infhook19041，运行，蓝屏，

调试发现

在没有获取到函数 KeQueryPerformanceCounter 中 mov rdi, cs:HalpPerformanceCounter 地址的情况下

访问了地址＋3的位置去获取变量HalpPerformanceCounter所在的偏移

IDA 加上符号文件

简单修改了查找的特征码

再次编译，没有蓝屏，但是Hook没有生效

继续调试

发现是在被替换了的 keQueryPerformanceCounter 中，在栈中查找存储系统调用的地址，之前的偏移已经无效

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

最后于 2020-7-27 18:06 被随风行编辑，原因：新增了发现的问题

上传的附件：

win10.19041程序文件+符号文件.zip （7.78MB，88次下载）
Infinityhook.zip （198.10kb，262次下载）

收藏・37

免费・5

支持

最新回复 (22)
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 2 楼 ntos正式的一共也没几个版本，特征码挨个搜集全了不就完事了 https://github.com/wbaby/ntoskrnl 最后于 2020-7-27 13:56 被hzqst编辑，原因： 2020-7-27 13:52 0
随风行雪币： 1613 活跃值： (2827) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 63 粉丝 61 关注私信	随风行 1 3 楼 hzqst ntos正式的一共也没几个版本，特征码挨个搜集全了不就完事了https://github.com/wbaby/ntoskrnl 网址我收藏了不过短短半年15个小版本，微软更新的有点疯狂啊 2020-7-27 14:46 0
blindtiger 雪币： 5734 活跃值： (1737) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 231 粉丝 99 关注私信	blindtiger 1 4 楼逐渐玩上统计学 2020-7-27 14:53 0
随风行雪币： 1613 活跃值： (2827) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 63 粉丝 61 关注私信	随风行 1 5 楼小艾逐渐玩上统计学好好的逆向做成了体力活 2020-7-27 15:10 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 6 楼随风行网址我收藏了[em_13] 不过短短半年15个小版本，微软更新的有点疯狂啊[em_85] 目前版本号大于19041的都是预览版，用预览版的用户叫他滚蛋就完事了 2020-7-27 15:58 0
随风行雪币： 1613 活跃值： (2827) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 63 粉丝 61 关注私信	随风行 1 7 楼 hzqst 目前版本号大于19041的都是预览版，用预览版的用户叫他滚蛋就完事了用户滚蛋，领导可是上帝我也就是先做个简单的技术积累，产品真要上新系统，那得找个稳定的hook方式了 2020-7-27 17:28 0
随风行雪币： 1613 活跃值： (2827) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 63 粉丝 61 关注私信	随风行 1 8 楼我更新了附加代码 Infinityhook.zip 修复了卸载后重新加载失败的问题修复了没有释放的内存的问题我不知道下午谁都下载了我的代码，只能在留言做个通知了 2020-7-27 18:08 0
YamingW 雪币： 212 活跃值： (845) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 29 粉丝 0 关注私信	YamingW 9 楼下载学习 2020-7-27 20:47 0
ZwCopyAll 雪币： 259 活跃值： (283) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 266 粉丝 10 关注私信	ZwCopyAll 10 楼你是做什么职业的公司让你做这个吗 2020-7-28 12:19 0
随风行雪币： 1613 活跃值： (2827) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 63 粉丝 61 关注私信	随风行 1 11 楼 ZwCopyAll 你是做什么职业的公司让你做这个吗看雪不都是逆向驱动开发么，你问的话很奇怪哎 2020-7-28 13:28 0
niceli 雪币： 273 活跃值： (472) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 56 粉丝 1 关注私信	niceli 12 楼最新预览版会修复这个不过改改又能用了 2020-7-28 22:36 0
随风行雪币： 1613 活跃值： (2827) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 63 粉丝 61 关注私信	随风行 1 13 楼 niceli 最新预览版会修复这个不过改改又能用了微软已经盯上InfinityHook了 2020-7-29 09:45 0
wowocock 雪币： 405 活跃值： (2285) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 21 关注私信	wowocock 1 14 楼其实要废掉这个很容易，就看微软想不想干了，否则也就是各种特征码搜索的体力活而已。 2020-7-29 11:21 0
随风行雪币： 1613 活跃值： (2827) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 63 粉丝 61 关注私信	随风行 1 15 楼 wowocock 其实要废掉这个很容易，就看微软想不想干了，否则也就是各种特征码搜索的体力活而已。从最近几个版本对ETW的改动就可以看出，微软一直想补上这个洞。但我觉得堵不如疏，生命会自己寻找出路，逆向会自己挖洞 2020-7-29 13:39 0
危楼高百尺雪币： 1367 活跃值： (2121) 能力值： ( LV5，RANK：70 ) 在线值：发帖 5 回帖 30 粉丝 30 关注私信	危楼高百尺 1 16 楼感觉halpPerformanceCounter的特征码挺稳定的啊 19041.1110 19042.928 19043.1052 在搜内存的时候这么写不就可以了 halpPerformanceCounter = Scanner::scanPattern(reinterpret_cast<std::uint8_t*>(keQueryPerformanceCounter), 0x100, "\x48\x8B\x3D", "xxx"); 2021-7-23 11:01 0
wx_x_931870 雪币： 8 活跃值： (263) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	wx_x_931870 17 楼请问一下走到这一行就蓝屏事为啥？还有这个值是怎么找到的呢？ 2021-10-27 11:26 0
随风行雪币： 1613 活跃值： (2827) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 63 粉丝 61 关注私信	随风行 1 18 楼 wx_x_931870 请问一下走到这一行就蓝屏事为啥？还有这个值是怎么找到的呢？蓝屏报了什么错误码？在栈中找到数个相符的地址，挨个替换尝试 2021-11-5 16:39 0
编程与少年雪币： 0 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	编程与少年 20 楼代码不完善，脱钩，失效。 2022-4-12 12:42 0
随风行雪币： 1613 活跃值： (2827) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 63 粉丝 61 关注私信	随风行 1 21 楼编程与少年代码不完善，脱钩，失效。隔了两年，win11都出了，不失效就见鬼了 2022-4-14 17:56 0
小希希雪币： 1811 活跃值： (4030) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 335 粉丝 18 关注私信	小希希 22 楼 hzqst ntos正式的一共也没几个版本，特征码挨个搜集全了不就完事了https://github.com/wbaby/ntoskrnl 感谢分享 2022-4-20 09:39 0
喜欢做外挂雪币： 101 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	喜欢做外挂 23 楼我修复了 2024-9-8 04:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

随风行

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 2 楼 ntos正式的一共也没几个版本，特征码挨个搜集全了不就完事了 https://github.com/wbaby/ntoskrnl 最后于 2020-7-27 13:56 被hzqst编辑，原因： 2020-7-27 13:52 0
随风行雪币： 1613 活跃值： (2827) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 63 粉丝 61 关注私信	随风行 1 3 楼 hzqst ntos正式的一共也没几个版本，特征码挨个搜集全了不就完事了https://github.com/wbaby/ntoskrnl 网址我收藏了不过短短半年15个小版本，微软更新的有点疯狂啊 2020-7-27 14:46 0
blindtiger 雪币： 5734 活跃值： (1737) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 231 粉丝 99 关注私信	blindtiger 1 4 楼逐渐玩上统计学 2020-7-27 14:53 0
随风行雪币： 1613 活跃值： (2827) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 63 粉丝 61 关注私信	随风行 1 5 楼小艾逐渐玩上统计学好好的逆向做成了体力活 2020-7-27 15:10 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 6 楼随风行网址我收藏了[em_13] 不过短短半年15个小版本，微软更新的有点疯狂啊[em_85] 目前版本号大于19041的都是预览版，用预览版的用户叫他滚蛋就完事了 2020-7-27 15:58 0
随风行雪币： 1613 活跃值： (2827) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 63 粉丝 61 关注私信	随风行 1 7 楼 hzqst 目前版本号大于19041的都是预览版，用预览版的用户叫他滚蛋就完事了用户滚蛋，领导可是上帝我也就是先做个简单的技术积累，产品真要上新系统，那得找个稳定的hook方式了 2020-7-27 17:28 0
随风行雪币： 1613 活跃值： (2827) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 63 粉丝 61 关注私信	随风行 1 8 楼我更新了附加代码 Infinityhook.zip 修复了卸载后重新加载失败的问题修复了没有释放的内存的问题我不知道下午谁都下载了我的代码，只能在留言做个通知了 2020-7-27 18:08 0
YamingW 雪币： 212 活跃值： (845) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 29 粉丝 0 关注私信	YamingW 9 楼下载学习 2020-7-27 20:47 0
ZwCopyAll 雪币： 259 活跃值： (283) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 266 粉丝 10 关注私信	ZwCopyAll 10 楼你是做什么职业的公司让你做这个吗 2020-7-28 12:19 0
随风行雪币： 1613 活跃值： (2827) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 63 粉丝 61 关注私信	随风行 1 11 楼 ZwCopyAll 你是做什么职业的公司让你做这个吗看雪不都是逆向驱动开发么，你问的话很奇怪哎 2020-7-28 13:28 0
niceli 雪币： 273 活跃值： (472) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 56 粉丝 1 关注私信	niceli 12 楼最新预览版会修复这个不过改改又能用了 2020-7-28 22:36 0
随风行雪币： 1613 活跃值： (2827) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 63 粉丝 61 关注私信	随风行 1 13 楼 niceli 最新预览版会修复这个不过改改又能用了微软已经盯上InfinityHook了 2020-7-29 09:45 0
wowocock 雪币： 405 活跃值： (2285) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 21 关注私信	wowocock 1 14 楼其实要废掉这个很容易，就看微软想不想干了，否则也就是各种特征码搜索的体力活而已。 2020-7-29 11:21 0
随风行雪币： 1613 活跃值： (2827) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 63 粉丝 61 关注私信	随风行 1 15 楼 wowocock 其实要废掉这个很容易，就看微软想不想干了，否则也就是各种特征码搜索的体力活而已。从最近几个版本对ETW的改动就可以看出，微软一直想补上这个洞。但我觉得堵不如疏，生命会自己寻找出路，逆向会自己挖洞 2020-7-29 13:39 0
危楼高百尺雪币： 1367 活跃值： (2121) 能力值： ( LV5，RANK：70 ) 在线值：发帖 5 回帖 30 粉丝 30 关注私信	危楼高百尺 1 16 楼感觉halpPerformanceCounter的特征码挺稳定的啊 19041.1110 19042.928 19043.1052 在搜内存的时候这么写不就可以了 halpPerformanceCounter = Scanner::scanPattern(reinterpret_cast<std::uint8_t*>(keQueryPerformanceCounter), 0x100, "\x48\x8B\x3D", "xxx"); 2021-7-23 11:01 0
wx_x_931870 雪币： 8 活跃值： (263) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	wx_x_931870 17 楼请问一下走到这一行就蓝屏事为啥？还有这个值是怎么找到的呢？ 2021-10-27 11:26 0
随风行雪币： 1613 活跃值： (2827) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 63 粉丝 61 关注私信	随风行 1 18 楼 wx_x_931870 请问一下走到这一行就蓝屏事为啥？还有这个值是怎么找到的呢？蓝屏报了什么错误码？在栈中找到数个相符的地址，挨个替换尝试 2021-11-5 16:39 0
编程与少年雪币： 0 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	编程与少年 20 楼代码不完善，脱钩，失效。 2022-4-12 12:42 0
随风行雪币： 1613 活跃值： (2827) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 63 粉丝 61 关注私信	随风行 1 21 楼编程与少年代码不完善，脱钩，失效。隔了两年，win11都出了，不失效就见鬼了 2022-4-14 17:56 0
小希希雪币： 1811 活跃值： (4030) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 335 粉丝 18 关注私信	小希希 22 楼 hzqst ntos正式的一共也没几个版本，特征码挨个搜集全了不就完事了https://github.com/wbaby/ntoskrnl 感谢分享 2022-4-20 09:39 0
喜欢做外挂雪币： 101 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	喜欢做外挂 23 楼我修复了 2024-9-8 04:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复