[原创] Intel 虚拟化特性实现监视进程API 调用(工具)-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创] Intel 虚拟化特性实现监视进程API 调用(工具)

发表于: 2024-9-29 15:55 8218

[原创] Intel 虚拟化特性实现监视进程API 调用(工具)

NoHeart

2024-9-29 15:55

8218

应用程序Api日志程序
简介
使用 Intel 虚拟化特性实现应用层HOOK
1.排除Dll间函数调用
2.动态配置监控Api
虚拟机：vmware 1核心, 开启EPT
操作系统：windows 7 32/64位 SP1。
以后会支持多操作系统多核心。
github: https://github.com/NoHeart2019/KasR3Hook

https://github.com/NoHeart2019/KasR3Hook.wiki.git
请看GIF
ShellCode 检测。

函数和类型显示通过配置文件指定

可根据需求定制自己的样本分析工具。

提供windows 头文件转换成Hook函数的工具

和IDA一起搭配使。可以动态查看结果。

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

最后于 2024-12-9 11:52 被NoHeart编辑，原因：演示GIF

#系统内核 #驱动开发 #HOOK/注入 #虚拟化

收藏・22

免费・6

支持

最新回复 (23)
NoHeart 雪币： 129 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 42 粉丝 1 关注私信	NoHeart 2 楼国庆啦，放假啦，啦啦啦。 2024-9-29 15:58 0
NoHeart 雪币： 129 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 42 粉丝 1 关注私信	NoHeart 3 楼欢迎大家提出批评和建议 2024-10-8 16:27 0
木志本柯雪币： 4776 活跃值： (4474) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 370 粉丝 4 关注私信	木志本柯 4 楼函数的参数个数和类型是通过.h文件配置来识别的是吗？ 2024-10-8 20:51 0
NoHeart 雪币： 129 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 42 粉丝 1 关注私信	NoHeart 5 楼木志本柯函数的参数个数和类型是通过.h文件配置来识别的是吗？建议先看readme.txt,监控的api是由该api所在的dll和此dll对应的函数原型声明文件所组成。函数原型声明是参考微软Sal语法自定义的。先看kas.config,里面配置dll和此dll的api函数声明所在的文件，真的函数声明放在了config目录下。 2024-10-8 21:29 0
NoHeart 雪币： 129 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 42 粉丝 1 关注私信	NoHeart 6 楼木志本柯函数的参数个数和类型是通过.h文件配置来识别的是吗？工具只是将符合规范的.h声明，做了半自动化生成，因为一个.h里函数声明包含多个dll的导出。最后于 2024-10-14 10:11 被NoHeart编辑，原因： 2024-10-8 21:36 0
NoHeart 雪币： 129 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 42 粉丝 1 关注私信	NoHeart 7 楼 IDA 一起使用 2024-10-14 21:08 0
NoHeart 雪币： 129 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 42 粉丝 1 关注私信	NoHeart 8 楼和 apimonitor的对比优势是什么 2024-10-24 14:16 0
NoHeart 雪币： 129 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 42 粉丝 1 关注私信	NoHeart 9 楼需要改变KVM的源码，才能实现此功能 2024-10-28 10:02 0
NoHeart 雪币： 129 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 42 粉丝 1 关注私信	NoHeart 10 楼虚拟化交流 2024-11-4 09:57 0
NoHeart 雪币： 129 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 42 粉丝 1 关注私信	NoHeart 11 楼更新，支持window7 64位 sp1操作系统。 2024-11-11 20:26 0
NoHeart 雪币： 129 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 42 粉丝 1 关注私信	NoHeart 12 楼修复x64蓝屏bug 2024-11-13 10:56 0
NoHeart 雪币： 129 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 42 粉丝 1 关注私信	NoHeart 13 楼 x64 经测试目前可用。没有蓝屏 2024-11-14 09:45 0
NoHeart 雪币： 129 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 42 粉丝 1 关注私信	NoHeart 14 楼。。。。 2024-11-18 11:44 0
NoHeart 雪币： 129 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 42 粉丝 1 关注私信	NoHeart 15 楼有没有人提点需求呀。 2024-11-21 17:28 0
NoHeart 雪币： 129 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 42 粉丝 1 关注私信	NoHeart 16 楼水一下 2024-11-22 17:00 0
5h3r10(l{ 雪币： 1293 活跃值： (676) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 11 粉丝 2 关注私信	5h3r10(l{ 17 楼没有源代码么最后于 2024-11-22 19:59 被5h3r10(l{编辑，原因： 2024-11-22 19:58 0
NoHeart 雪币： 129 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 42 粉丝 1 关注私信	NoHeart 18 楼 5h3r10(l{ 没有源代码么源代码开源这个无能为力，我只是个打工人。 2024-11-25 18:03 0
NoHeart 雪币： 129 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 42 粉丝 1 关注私信	NoHeart 19 楼漏洞 2024-12-4 10:16 0
NoHeart 雪币： 129 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 42 粉丝 1 关注私信	NoHeart 20 楼增加 gif 简单演示功能 2024-12-9 11:53 0
NoHeart 雪币： 129 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 42 粉丝 1 关注私信	NoHeart 21 楼修复获取无效内存蓝屏 2024-12-10 10:23 0
NoHeart 雪币： 129 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 42 粉丝 1 关注私信	NoHeart 22 楼还有大点的安全峰会可以演讲这些内容吗？ 6天前 0
NoHeart 雪币： 129 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 42 粉丝 1 关注私信	NoHeart 23 楼如果更暴力，不用上虚拟化也能实现类似的功能 1天前 0
NoHeart 雪币： 129 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 42 粉丝 1 关注私信	NoHeart 24 楼除了没源码是个遗憾 1天前 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

NoHeart

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (23)
NoHeart 雪币： 129 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 42 粉丝 1 关注私信	NoHeart 2 楼国庆啦，放假啦，啦啦啦。 2024-9-29 15:58 0
NoHeart 雪币： 129 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 42 粉丝 1 关注私信	NoHeart 3 楼欢迎大家提出批评和建议 2024-10-8 16:27 0
木志本柯雪币： 4776 活跃值： (4474) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 370 粉丝 4 关注私信	木志本柯 4 楼函数的参数个数和类型是通过.h文件配置来识别的是吗？ 2024-10-8 20:51 0
NoHeart 雪币： 129 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 42 粉丝 1 关注私信	NoHeart 5 楼木志本柯函数的参数个数和类型是通过.h文件配置来识别的是吗？建议先看readme.txt,监控的api是由该api所在的dll和此dll对应的函数原型声明文件所组成。函数原型声明是参考微软Sal语法自定义的。先看kas.config,里面配置dll和此dll的api函数声明所在的文件，真的函数声明放在了config目录下。 2024-10-8 21:29 0
NoHeart 雪币： 129 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 42 粉丝 1 关注私信	NoHeart 6 楼木志本柯函数的参数个数和类型是通过.h文件配置来识别的是吗？工具只是将符合规范的.h声明，做了半自动化生成，因为一个.h里函数声明包含多个dll的导出。最后于 2024-10-14 10:11 被NoHeart编辑，原因： 2024-10-8 21:36 0
NoHeart 雪币： 129 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 42 粉丝 1 关注私信	NoHeart 7 楼 IDA 一起使用 2024-10-14 21:08 0
NoHeart 雪币： 129 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 42 粉丝 1 关注私信	NoHeart 8 楼和 apimonitor的对比优势是什么 2024-10-24 14:16 0
NoHeart 雪币： 129 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 42 粉丝 1 关注私信	NoHeart 9 楼需要改变KVM的源码，才能实现此功能 2024-10-28 10:02 0
NoHeart 雪币： 129 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 42 粉丝 1 关注私信	NoHeart 10 楼虚拟化交流 2024-11-4 09:57 0
NoHeart 雪币： 129 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 42 粉丝 1 关注私信	NoHeart 11 楼更新，支持window7 64位 sp1操作系统。 2024-11-11 20:26 0
NoHeart 雪币： 129 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 42 粉丝 1 关注私信	NoHeart 12 楼修复x64蓝屏bug 2024-11-13 10:56 0
NoHeart 雪币： 129 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 42 粉丝 1 关注私信	NoHeart 13 楼 x64 经测试目前可用。没有蓝屏 2024-11-14 09:45 0
NoHeart 雪币： 129 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 42 粉丝 1 关注私信	NoHeart 14 楼。。。。 2024-11-18 11:44 0
NoHeart 雪币： 129 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 42 粉丝 1 关注私信	NoHeart 15 楼有没有人提点需求呀。 2024-11-21 17:28 0
NoHeart 雪币： 129 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 42 粉丝 1 关注私信	NoHeart 16 楼水一下 2024-11-22 17:00 0
5h3r10(l{ 雪币： 1293 活跃值： (676) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 11 粉丝 2 关注私信	5h3r10(l{ 17 楼没有源代码么最后于 2024-11-22 19:59 被5h3r10(l{编辑，原因： 2024-11-22 19:58 0
NoHeart 雪币： 129 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 42 粉丝 1 关注私信	NoHeart 18 楼 5h3r10(l{ 没有源代码么源代码开源这个无能为力，我只是个打工人。 2024-11-25 18:03 0
NoHeart 雪币： 129 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 42 粉丝 1 关注私信	NoHeart 19 楼漏洞 2024-12-4 10:16 0
NoHeart 雪币： 129 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 42 粉丝 1 关注私信	NoHeart 20 楼增加 gif 简单演示功能 2024-12-9 11:53 0
NoHeart 雪币： 129 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 42 粉丝 1 关注私信	NoHeart 21 楼修复获取无效内存蓝屏 2024-12-10 10:23 0
NoHeart 雪币： 129 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 42 粉丝 1 关注私信	NoHeart 22 楼还有大点的安全峰会可以演讲这些内容吗？ 6天前 0
NoHeart 雪币： 129 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 42 粉丝 1 关注私信	NoHeart 23 楼如果更暴力，不用上虚拟化也能实现类似的功能 1天前 0
NoHeart 雪币： 129 能力值： ( LV1，RANK：0 ) 在线值：发帖 6 回帖 42 粉丝 1 关注私信	NoHeart 24 楼除了没源码是个遗憾 1天前 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复