[求助]驱动层如何在64位系统中保护自己的窗口-求助问答-看雪-安全社区|安全招聘|kanxue.com

未解决 [求助]驱动层如何在64位系统中保护自己的窗口

2020-12-24 17:13 12066

未解决 [求助]驱动层如何在64位系统中保护自己的窗口

ybt

2020-12-24 17:13

12066

背景：公司的一款软件，会被别的软件破坏安装目录；强行关闭进程；强行关闭、移动或隐藏窗口。此前在应用层保护自身，但窗口保护部分已被其破解，因此转而选择在驱动层保护。

32位系统下，我用SSDT和ShadowSSDT成功保护了自己的软件。

但是64位系统下，由于PatchGuard的存在，SSDT和ShadowSSDT运行没多久就会蓝屏。

1、假如采用干掉系统PatchGuard的方式，我试了挺麻烦。由于软件有一定装机量，教用户关PatchGuard不现实，所以不考虑此方案。

2、64位系统下，采用ObRegisterCallbacks，只能保护自己的进程，不能保护自己的窗口。

以目前自己的知识，不知道该怎么做了。

大佬们，有没有行之有效的办法，给个研究方向就行。

VT-HOOK or InfinityHook or ...?

------------------------华丽的分割线--------------------------

2021年1月8日更新：

研究发现InfinityHook是可行的。VT-Hook方向，有一个KasperskyHook，比较成熟，我自己还没验证。

所以此贴结束啦，谢谢大家。

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

最后于 2021-1-8 17:56 被ybt编辑，原因：

收藏・6

免费・0

打赏

最新回复 (54) 1 2 3 ▶
咖啡_741298 雪币： 6 活跃值： (3065) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 137 粉丝 1 关注私信	咖啡_741298 2020-12-24 20:33 2 楼 0 别的软件不会进驱动？
蓝色的斗鱼雪币： 12 活跃值： (206) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	蓝色的斗鱼 2020-12-24 20:57 3 楼 0 如果拦截驱动加载或者给驱动打补丁，照样失效
b!@nk 雪币： 6218 活跃值： (616) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 38 粉丝 0 关注私信	b!@nk 2020-12-24 22:42 4 楼 0 你不如去分析其他软件是通过什么方式杀掉你的窗口的
舒默哦雪币： 2958 活跃值： (4831) 能力值： ( LV5，RANK：60 ) 在线值：发帖 5 回帖 148 粉丝 59 关注私信	舒默哦 1 2020-12-24 22:49 5 楼 0 直接上vt
ybt 雪币： 7 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 1 关注私信	ybt 2020-12-25 07:50 6 楼 0 b!@nk 你不如去分析其他软件是通过什么方式杀掉你的窗口的分析了的，分析了才有针对性的开发嘛
ybt 雪币： 7 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 1 关注私信	ybt 2020-12-25 07:56 7 楼 0 咖啡_741298 别的软件不会进驱动？收银系统与收款插件之争，前者没驱动，我们是后者。
ybt 雪币： 7 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 1 关注私信	ybt 2020-12-25 07:59 8 楼 0 舒默哦直接上vt vt我只是初步了解了下，好像是受限于CPU
~时光荏苒雪币： 5112 活跃值： (4598) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 153 粉丝 5 关注私信	~时光荏苒 2020-12-25 08:03 9 楼 0 getwindow 你过得了? 驱动都没有用
ybt 雪币： 7 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 1 关注私信	ybt 2020-12-25 08:12 10 楼 0 ~时光荏苒 getwindow 你过得了? 驱动都没有用对方第一步得枚举窗口，或获取顶层窗口，或查找窗口，第一步拦截掉，不会到GetWindow这步。最后于 2020-12-25 08:12 被ybt编辑，原因：
舒默哦雪币： 2958 活跃值： (4831) 能力值： ( LV5，RANK：60 ) 在线值：发帖 5 回帖 148 粉丝 59 关注私信	舒默哦 1 2020-12-25 10:50 11 楼 0 ybt vt我只是初步了解了下，好像是受限于CPU 我也不太懂，跟着气哄哄
ybt 雪币： 7 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 1 关注私信	ybt 2020-12-25 11:04 12 楼 0 舒默哦 [em_19]我也不太懂，跟着气哄哄我准备研究InfinityHook了，毕竟流氓界大佬2345安全卫士也用这个。
cavan 雪币： 293 活跃值： (239) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 140 粉丝 3 关注私信	cavan 2020-12-25 11:54 13 楼 0 收集证据发律师函
cavan 雪币： 293 活跃值： (239) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 140 粉丝 3 关注私信	cavan 2020-12-25 11:56 14 楼 0 在技术上搞对抗耗费心血，浪费时间，亲身经历。其实可以用另一种办法解决此类问题，粗暴有效。
ybt 雪币： 7 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 1 关注私信	ybt 2020-12-25 14:02 15 楼 0 cavan 在技术上搞对抗耗费心血，浪费时间，亲身经历。其实可以用另一种办法解决此类问题，粗暴有效。[em_13] 作为技术，要是没事干的话，挺难受的，说明可以跳槽了。所以研究这玩意是给自己找事做。
wowocock 雪币： 405 活跃值： (2005) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 297 粉丝 19 关注私信	wowocock 1 2020-12-25 17:08 16 楼 0 窗口标题随机化。在自己的窗口处理函数里，处理所有窗口消息，如果不是自己发关闭的，一律忽略，还要对消息洪水攻击进行处理。
ybt 雪币： 7 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 1 关注私信	ybt 2020-12-25 17:56 17 楼 0 wowocock 窗口标题随机化。在自己的窗口处理函数里，处理所有窗口消息，如果不是自己发关闭的，一律忽略，还要对消息洪水攻击进行处理。这种简单的对抗我们早就做了。某厂收银软件的做法是，只要是在它上层的窗口，除了少数几个进程的窗口（白名单机制，比如腾讯的软件是检测进程文件签名），其它一律干掉。最后于 2020-12-25 17:57 被ybt编辑，原因：
mfxiaosheng 雪币： 44 活跃值： (127) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 17 粉丝 3 关注私信	mfxiaosheng 2020-12-25 18:35 18 楼 0 直接针对他，注入进去把枚举窗口的API HOOK掉
ybt 雪币： 7 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 1 关注私信	ybt 2020-12-25 19:02 19 楼 0 mfxiaosheng 直接针对他，注入进去把枚举窗口的API HOOK掉应用层的hook被其干掉了一部分，干掉方式是启动时保存进程自身关键API的地址，每次调用前，都进行WriteProcessMemory写回，让hook失效。最后于 2020-12-28 10:14 被ybt编辑，原因：
hzqst 雪币： 12843 活跃值： (9078) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1792 粉丝 550 关注私信	hzqst 3 2020-12-25 19:15 20 楼 0 ybt 应用层的hook被其干掉了一部分，干掉方式是启动时保存进程自身关键API的地址，每次调用前，都进行WriteProcessMemory写回，让你的hook失效。网吧那些破烂软件都是32位的吧，直接劫持Wow64Transition给他窗口请求全部干碎就完事了能用R3解决的没必要上R0 最后于 2020-12-25 19:16 被hzqst编辑，原因：
ybt 雪币： 7 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 1 关注私信	ybt 2020-12-25 19:25 21 楼 0 hzqst ybt 应用层的hook被其干掉了一部分，干掉方式是启动时保存进程自身关键API的地址，每次调用前，都进行WriteProcessMemory写回，让你的hook ... 谢谢大佬，我查下这个相关资料，学习学习。最后于 2020-12-25 19:33 被ybt编辑，原因：
妮可雪币： 14 活跃值： (948) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 84 粉丝 3 关注私信	妮可 2020-12-26 14:45 22 楼 0 可以过,内核有个函数是查询HWND的,返回NULL就过掉了很多窗口类函数包括getwindow
ybt 雪币： 7 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 1 关注私信	ybt 2020-12-28 09:18 23 楼 0 妮可可以过,内核有个函数是查询HWND的,返回NULL就过掉了很多窗口类函数包括getwindow 是哪个函数呢
心里某个地方雪币： 518 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	心里某个地方 2020-12-28 11:15 24 楼 0 按你说的，没驱动就全是r3，直接注入c3完事了
库尔雪币： 1243 活跃值： (1815) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 189 粉丝 3 关注私信	库尔 2020-12-28 12:42 25 楼 0 重新编译一份windows 最后于 2020-12-28 12:42 被库尔编辑，原因：
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

ybt

发帖

回帖

RANK

关注

私信

他的文章

[讨论] Win7 x86和x64系统的shadow ssdt函数序号不一样

[求助]驱动层如何在64位系统中保护自己的窗口

[求助]溢出文档无法溢出的问题

[求助]（Inline Hook）少部分API导致进程未加载完成，就直接退出的问题

关于我们

联系我们

企业服务

看雪公众号

最新回复 (54) 1 2 3 ▶
咖啡_741298 雪币： 6 活跃值： (3065) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 137 粉丝 1 关注私信	咖啡_741298 2020-12-24 20:33 2 楼 0 别的软件不会进驱动？
蓝色的斗鱼雪币： 12 活跃值： (206) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	蓝色的斗鱼 2020-12-24 20:57 3 楼 0 如果拦截驱动加载或者给驱动打补丁，照样失效
b!@nk 雪币： 6218 活跃值： (616) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 38 粉丝 0 关注私信	b!@nk 2020-12-24 22:42 4 楼 0 你不如去分析其他软件是通过什么方式杀掉你的窗口的
舒默哦雪币： 2958 活跃值： (4831) 能力值： ( LV5，RANK：60 ) 在线值：发帖 5 回帖 148 粉丝 59 关注私信	舒默哦 1 2020-12-24 22:49 5 楼 0 直接上vt
ybt 雪币： 7 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 1 关注私信	ybt 2020-12-25 07:50 6 楼 0 b!@nk 你不如去分析其他软件是通过什么方式杀掉你的窗口的分析了的，分析了才有针对性的开发嘛
ybt 雪币： 7 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 1 关注私信	ybt 2020-12-25 07:56 7 楼 0 咖啡_741298 别的软件不会进驱动？收银系统与收款插件之争，前者没驱动，我们是后者。
ybt 雪币： 7 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 1 关注私信	ybt 2020-12-25 07:59 8 楼 0 舒默哦直接上vt vt我只是初步了解了下，好像是受限于CPU
~时光荏苒雪币： 5112 活跃值： (4598) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 153 粉丝 5 关注私信	~时光荏苒 2020-12-25 08:03 9 楼 0 getwindow 你过得了? 驱动都没有用
ybt 雪币： 7 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 1 关注私信	ybt 2020-12-25 08:12 10 楼 0 ~时光荏苒 getwindow 你过得了? 驱动都没有用对方第一步得枚举窗口，或获取顶层窗口，或查找窗口，第一步拦截掉，不会到GetWindow这步。最后于 2020-12-25 08:12 被ybt编辑，原因：
舒默哦雪币： 2958 活跃值： (4831) 能力值： ( LV5，RANK：60 ) 在线值：发帖 5 回帖 148 粉丝 59 关注私信	舒默哦 1 2020-12-25 10:50 11 楼 0 ybt vt我只是初步了解了下，好像是受限于CPU 我也不太懂，跟着气哄哄
ybt 雪币： 7 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 1 关注私信	ybt 2020-12-25 11:04 12 楼 0 舒默哦 [em_19]我也不太懂，跟着气哄哄我准备研究InfinityHook了，毕竟流氓界大佬2345安全卫士也用这个。
cavan 雪币： 293 活跃值： (239) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 140 粉丝 3 关注私信	cavan 2020-12-25 11:54 13 楼 0 收集证据发律师函
cavan 雪币： 293 活跃值： (239) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 140 粉丝 3 关注私信	cavan 2020-12-25 11:56 14 楼 0 在技术上搞对抗耗费心血，浪费时间，亲身经历。其实可以用另一种办法解决此类问题，粗暴有效。
ybt 雪币： 7 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 1 关注私信	ybt 2020-12-25 14:02 15 楼 0 cavan 在技术上搞对抗耗费心血，浪费时间，亲身经历。其实可以用另一种办法解决此类问题，粗暴有效。[em_13] 作为技术，要是没事干的话，挺难受的，说明可以跳槽了。所以研究这玩意是给自己找事做。
wowocock 雪币： 405 活跃值： (2005) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 297 粉丝 19 关注私信	wowocock 1 2020-12-25 17:08 16 楼 0 窗口标题随机化。在自己的窗口处理函数里，处理所有窗口消息，如果不是自己发关闭的，一律忽略，还要对消息洪水攻击进行处理。
ybt 雪币： 7 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 1 关注私信	ybt 2020-12-25 17:56 17 楼 0 wowocock 窗口标题随机化。在自己的窗口处理函数里，处理所有窗口消息，如果不是自己发关闭的，一律忽略，还要对消息洪水攻击进行处理。这种简单的对抗我们早就做了。某厂收银软件的做法是，只要是在它上层的窗口，除了少数几个进程的窗口（白名单机制，比如腾讯的软件是检测进程文件签名），其它一律干掉。最后于 2020-12-25 17:57 被ybt编辑，原因：
mfxiaosheng 雪币： 44 活跃值： (127) 能力值： ( LV3，RANK：30 ) 在线值：发帖 0 回帖 17 粉丝 3 关注私信	mfxiaosheng 2020-12-25 18:35 18 楼 0 直接针对他，注入进去把枚举窗口的API HOOK掉
ybt 雪币： 7 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 1 关注私信	ybt 2020-12-25 19:02 19 楼 0 mfxiaosheng 直接针对他，注入进去把枚举窗口的API HOOK掉应用层的hook被其干掉了一部分，干掉方式是启动时保存进程自身关键API的地址，每次调用前，都进行WriteProcessMemory写回，让hook失效。最后于 2020-12-28 10:14 被ybt编辑，原因：
hzqst 雪币： 12843 活跃值： (9078) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1792 粉丝 550 关注私信	hzqst 3 2020-12-25 19:15 20 楼 0 ybt 应用层的hook被其干掉了一部分，干掉方式是启动时保存进程自身关键API的地址，每次调用前，都进行WriteProcessMemory写回，让你的hook失效。网吧那些破烂软件都是32位的吧，直接劫持Wow64Transition给他窗口请求全部干碎就完事了能用R3解决的没必要上R0 最后于 2020-12-25 19:16 被hzqst编辑，原因：
ybt 雪币： 7 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 1 关注私信	ybt 2020-12-25 19:25 21 楼 0 hzqst ybt 应用层的hook被其干掉了一部分，干掉方式是启动时保存进程自身关键API的地址，每次调用前，都进行WriteProcessMemory写回，让你的hook ... 谢谢大佬，我查下这个相关资料，学习学习。最后于 2020-12-25 19:33 被ybt编辑，原因：
妮可雪币： 14 活跃值： (948) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 84 粉丝 3 关注私信	妮可 2020-12-26 14:45 22 楼 0 可以过,内核有个函数是查询HWND的,返回NULL就过掉了很多窗口类函数包括getwindow
ybt 雪币： 7 活跃值： (346) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 55 粉丝 1 关注私信	ybt 2020-12-28 09:18 23 楼 0 妮可可以过,内核有个函数是查询HWND的,返回NULL就过掉了很多窗口类函数包括getwindow 是哪个函数呢
心里某个地方雪币： 518 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	心里某个地方 2020-12-28 11:15 24 楼 0 按你说的，没驱动就全是r3，直接注入c3完事了
库尔雪币： 1243 活跃值： (1815) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 189 粉丝 3 关注私信	库尔 2020-12-28 12:42 25 楼 0 重新编译一份windows 最后于 2020-12-28 12:42 被库尔编辑，原因：
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复