-
-
[原创]驱动锁主页方法一修改命令行参数
-
发表于: 2022-3-30 10:32
-
上一篇帖子实现了(点击)驱动防截屏,最近在学hook相关的知识,这篇正好写一下驱动锁主页
这篇文章主要写的是修改命令行参数
第一种 修改命令行参数
修改命令行参数,启动浏览器的时候后面加上要修改的网址
第二种 hook注册表
360采用的是从内核hook注册表相关函数,但是hook的是KiFastSystemCall,更往前了
第三种 通过网络协议修改
DNS查询,通过网络防火墙找到DNS数据包
!process 0 0 找到IE进程
切换进程,查看PEB
命令行参数就在PEB里,我们要改的就是这个
CommandLine: '"C:\Program Files\Internet Explorer\iexplore.exe" '
输入dt _PEB找到关键数据结构,用户进程参数
查看_RTL_USER_PROCESS_PARAMETERS用户进程参数结构体
找到关键数据,命令行,要改的就是这个
也可以这样定位
因为IE开启的时候会开启两个进程,所以我们还要看另外一个进程
找到第二个进程的命令行参数
SCODEF:2044 CREDAT:14337'这个我们必须进行过滤,如果发现这个,不进行修改,如果是空的话,进行修改
通过这个PEB我们就可以获取进程参数
通过进程参数就可以获取命令行
由于PEB是应用层,我们需要切换进程上下文
PROCESS 873847f8 SessionId: 1 Cid: 07fc Peb: 7ffd5000 ParentCid: 0594
DirBase: 3f378680 ObjectTable: a69af758 HandleCount: 396.
Image: iexplore.exe
PROCESS 873847f8 SessionId: 1 Cid: 07fc Peb: 7ffd5000 ParentCid: 0594
DirBase: 3f378680 ObjectTable: a69af758 HandleCount: 396.
Image: iexplore.exe
kd> .process /p 873847f8; !peb 7ffd5000
Implicit process is now 873847f8
.cache forcedecodeuser donePEB at 7ffd5000 CommandLine: '"C:\Program Files\Internet Explorer\iexplore.exe" '
kd> .process /p 873847f8; !peb 7ffd5000
Implicit process is now 873847f8
.cache forcedecodeuser donePEB at 7ffd5000 CommandLine: '"C:\Program Files\Internet Explorer\iexplore.exe" '
kd> dt _PEBnt!_PEB +0x010 ProcessParameters : Ptr32 _RTL_USER_PROCESS_PARAMETERS
kd> dt _PEBnt!_PEB +0x010 ProcessParameters : Ptr32 _RTL_USER_PROCESS_PARAMETERS
kd> dt _RTL_USER_PROCESS_PARAMETERSnt!_RTL_USER_PROCESS_PARAMETERS +0x040 CommandLine : _UNICODE_STRING
kd> dt _RTL_USER_PROCESS_PARAMETERSnt!_RTL_USER_PROCESS_PARAMETERS +0x040 CommandLine : _UNICODE_STRING
+0x040 CommandLine : _UNICODE_STRING
+0x040 CommandLine : _UNICODE_STRING
!process 0 0
PROCESS 873847f8 SessionId: 1 Cid: 07fc Peb: 7ffd5000 ParentCid: 0594
DirBase: 3f378680 ObjectTable: a69af758 HandleCount: 396.
Image: iexplore.exe
kd> dt _peb 7ffd5000
nt!_PEB +0x010 ProcessParameters : 0x001c1208 _RTL_USER_PROCESS_PARAMETERS
kd> dx -id 0,0,873847f8 -r1 ((ntkrpamp!_RTL_USER_PROCESS_PARAMETERS *)0x1c1208)
[+0x040] CommandLine : ""C:\Program Files\Internet Explorer\iexplore.exe" " [Type: _UNICODE_STRING]
!process 0 0
PROCESS 873847f8 SessionId: 1 Cid: 07fc Peb: 7ffd5000 ParentCid: 0594
DirBase: 3f378680 ObjectTable: a69af758 HandleCount: 396.
Image: iexplore.exe
kd> dt _peb 7ffd5000
nt!_PEB +0x010 ProcessParameters : 0x001c1208 _RTL_USER_PROCESS_PARAMETERS
kd> dx -id 0,0,873847f8 -r1 ((ntkrpamp!_RTL_USER_PROCESS_PARAMETERS *)0x1c1208)
[+0x040] CommandLine : ""C:\Program Files\Internet Explorer\iexplore.exe" " [Type: _UNICODE_STRING]
!process 0 0
PROCESS 873847f8 SessionId: 1 Cid: 07fc Peb: 7ffd5000 ParentCid: 0594
DirBase: 3f378680 ObjectTable: a69af758 HandleCount: 396.
Image: iexplore.exe
PROCESS 86dd78c0 SessionId: 1 Cid: 0ff4 Peb: 7ffdf000 ParentCid: 07fc
DirBase: 3f378620 ObjectTable: a3952e10 HandleCount: 615.
Image: iexplore.exe
!process 0 0
PROCESS 873847f8 SessionId: 1 Cid: 07fc Peb: 7ffd5000 ParentCid: 0594
DirBase: 3f378680 ObjectTable: a69af758 HandleCount: 396.
Image: iexplore.exe
PROCESS 86dd78c0 SessionId: 1 Cid: 0ff4 Peb: 7ffdf000 ParentCid: 07fc
DirBase: 3f378620 ObjectTable: a3952e10 HandleCount: 615.
Image: iexplore.exe
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2022-3-31 14:55
被breeze911编辑
,原因: 更新
