首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[原创]win10 1909逆向(绕过PG,实现内核HOOK)
发表于: 2021-4-1 11:55 27706

[原创]win10 1909逆向(绕过PG,实现内核HOOK)

学技术打豆豆 活跃值
1
2021-4-1 11:55
27706

       此代码测试环境win10 1909物理机上被动打开10个进程,HOOK Nt!NtOpenPorcess 60个小时未触发PG为前提写成,因为我未触发PG,样本测试过少,所以只能以我的实验确认未触发PG,不代表100%过了PG,仅仅做为方向向大家提供,可以分为被动和主动,主动需要另外的细节处理,这个是被动HOOK。仅以此提供方向,希望大家都能干掉PG,测试过程中如果出现1A或者7E的异常,请自行修改,这是1903和1909特有的检测产生,我目前暂未出现此种异常。



[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 14
支持
分享
最新回复 (34)
dz默契
雪    币: 62
活跃值: (662)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
前排支持我豆哥
2021-4-1 12:00
0
0x太上
雪    币: 400
活跃值: (4096)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
666
2021-4-1 12:00
0
hackflame
雪    币: 178
活跃值: (1273)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
4
必须要支持一下
2021-4-1 12:02
0
はつゆき
雪    币: 1641
活跃值: (3601)
能力值: (RANK:15 )
在线值:
发帖
回帖
粉丝
私信
5
给力
2021-4-1 12:03
0
青丝梦
雪    币: 1420
活跃值: (2151)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
6
豆总牛逼
2021-4-1 12:03
0
tmflxw
雪    币: 1510
活跃值: (3407)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
吊炸天,这是在进程回调里hook的,要是能遍历进程,主动全hook就好了
2021-4-1 12:23
0
dearfuture
雪    币: 2428
活跃值: (2566)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
tmflxw 吊炸天,这是在进程回调里hook的,要是能遍历进程,主动全hook就好了
已经跑起来的进程还得暂停所有线程之类的,不然修改页表的时候可能就蓝了,挺麻烦。调用进程创建回调的时机就不错,还没有线程跑起来
2021-4-1 13:08
0
学技术打豆豆
雪    币: 198
活跃值: (8548)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
私信
9
dearfuture 已经跑起来的进程还得暂停所有线程之类的,不然修改页表的时候可能就蓝了,挺麻烦。调用进程创建回调的时机就不错,还没有线程跑起来
不会蓝,是你根本改不成功。他会锁了。
2021-4-1 13:09
0
dearfuture
雪    币: 2428
活跃值: (2566)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
学技术打豆豆 不会蓝,是你根本改不成功。他会锁了。
哦,这样
2021-4-1 13:12
0
niuzuoquan
雪    币: 300
活跃值: (2452)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
11
mark
2021-4-1 14:21
0
dx苹果的心愿
雪    币: 1074
活跃值: (3876)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
私信
12
支持一下
2021-4-1 14:34
0
学技术打豆豆
雪    币: 198
活跃值: (8548)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
私信
13
hackflame 必须要支持一下
以后还要火哥师父多多指点。
2021-4-1 15:23
0
mfxiaosheng
雪    币: 44
活跃值: (127)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
14
还是6啊,这么叼的吗
2021-4-1 16:37
0
璀璨访华
雪    币: 110
活跃值: (833)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
15
2021-4-1 22:40
0
思源欲涩
雪    币: 331
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
16
还是vt香
2021-4-2 11:17
0
万剑归宗
雪    币: 914
活跃值: (2448)
能力值: ( LV5,RANK:68 )
在线值:
发帖
回帖
粉丝
私信
17
思路清奇
2021-4-2 11:30
0
dzsshunzi
雪    币: 20
活跃值: (38)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
18
2021-4-2 21:56
0
hhkqqs
雪    币: 12315
活跃值: (5839)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
私信
19

没看懂为何其他在运行的进程改不了页表的PXE,难道刷TLB也不行么

最后于 2021-4-4 01:44 被hhkqqs编辑 ,原因:
2021-4-4 01:34
0
学技术打豆豆
雪    币: 198
活跃值: (8548)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
私信
20
hhkqqs 没看懂为何其他在运行的进程改不了页表的PXE,难道刷TLB也不行么
硬件机制决定的,你在修改pxe里的值时,如果别的线程正在读取或者修改里面的范围内值时,硬件会锁定,这时候你的修改不会成功,也就是挂不上物理页,当然你在用windbg下测试是能挂上的,因为windbg中断下来的时候,会暂停所有线程,保留当前调试线程。
2021-4-4 08:06
0
mb_qmomcleg
雪    币: 876
活跃值: (584)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
21
群里的大佬
2021-4-4 08:59
1
wx_子陵
雪    币: 0
活跃值: (63)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
22
超过火哥了
2021-4-7 10:27
0
星雪鸢尾
雪    币: 2604
活跃值: (231)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
23
好耶
2021-4-7 12:07
0
caolinkai
雪    币: 3836
活跃值: (4142)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
24
666666
2021-4-7 17:32
0
lwbkanxue
雪    币: 460
活跃值: (483)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
25
这样做的原理是什么
2021-4-8 17:21
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//