[原创]必备绝技——hook大法( 中 )-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]必备绝技——hook大法( 中 )

2007-4-9 23:37 192812

[原创]必备绝技——hook大法( 中 )

Lvg

2007-4-9 23:37

192812

查看主题内容

收藏・243

点赞・7

打赏

最新回复 (189) ◀ 1 2 3 4 5 6 7 8 ▶
hren 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 26 粉丝 0 关注私信	hren 2007-7-2 00:54 76 楼 0 厉害啊,实在佩服
hren 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 26 粉丝 0 关注私信	hren 2007-7-2 00:54 77 楼 0 那我也拼凑一下吧,大家谅解下
hren 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 26 粉丝 0 关注私信	hren 2007-7-2 00:55 78 楼 0 还差一点点阿
hren 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 26 粉丝 0 关注私信	hren 2007-7-2 00:55 79 楼 0 拼凑一下,大家谅解下,谢谢
hren 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 26 粉丝 0 关注私信	hren 2007-7-2 00:56 80 楼 0 终于凑够了!
bilyzhang 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 20 粉丝 0 关注私信	bilyzhang 2007-7-20 14:33 81 楼 0 楼主真是强人，拷下来学习
斌斌的爱雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	斌斌的爱 2007-7-20 16:36 82 楼 0 看不懂看不懂
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 21 回帖 294 粉丝 0 关注私信	林海雪原 6 2007-7-20 16:49 83 楼 0 真是实力一派!!!!,系统内的东东我从未动过...
baohongyu 雪币： 306 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 210 粉丝 0 关注私信	baohongyu 2007-8-20 21:07 84 楼 0 看雪让我等膜拜不止。牛人辈出。
sudami 雪币： 709 活跃值： (2225) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 69 回帖 1584 粉丝 61 关注私信	sudami 25 2007-10-10 21:33 85 楼 0 那个"_root_"开头的进程换成自己想要隐藏的进程就可以了吧? 那要是程序名字被改变了,进程名称也就变了,这样是不是就不起作用了啊? 刚学驱动,菜死了,
一把刀雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 20 粉丝 0 关注私信	一把刀 2007-10-10 21:35 86 楼 0 很深奥要学习很久哎
椰子树雪币： 263 活跃值： (17) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 36 粉丝 0 关注私信	椰子树 2007-10-11 10:41 87 楼 0 太牛了！我要找齐3部好好看看
fmpfreh 雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 0 关注私信	fmpfreh 2007-10-11 17:01 88 楼 0 看不懂！
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 580 粉丝 0 关注私信	vrowang123 1 2007-10-11 18:32 89 楼 0 i love this@@!!!
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 580 粉丝 0 关注私信	vrowang123 1 2007-10-12 10:15 90 楼 0 请问hook 3什么时候出？
易之梦雪币： 192 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	易之梦 2007-10-12 10:46 91 楼 0 祝贺看雪学院建站七周年！祝贺看雪学院建站七周年！
chinaruto 雪币： 109 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	chinaruto 2007-11-16 18:32 92 楼 0 怎么没有《下》呢？？？？
dageda 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	dageda 2007-11-27 15:51 93 楼 0 楼主什么时候出下啊？盼着呢
jzfcf 雪币： 210 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 78 粉丝 0 关注私信	jzfcf 2007-11-28 12:59 94 楼 0 强帖留名,去学驱动!
fyd 雪币： 44 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 178 粉丝 0 关注私信	fyd 2007-11-29 10:59 95 楼 0 不懂HOOK是做什么用的,下下来学习学习!谢谢了!
jzfcf 雪币： 210 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 78 粉丝 0 关注私信	jzfcf 2007-12-26 12:09 96 楼 0 真是好文啊!感谢楼主分享!另外,楼主人品真不错!
jzfcf 雪币： 210 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 78 粉丝 0 关注私信	jzfcf 2007-12-26 12:10 97 楼 0 再顶!
gdlian 雪币： 197 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 194 粉丝 0 关注私信	gdlian 2007-12-29 02:16 98 楼 0 一个很重要的参数 #pragma pack(n) 数据边界对齐方式: 以如下结构为例: struct { char a; WORD b; DWORD c; char d; } 在Windows默认结构大小: sizeof(struct) = 4+4+4+4=16; 与#pragma pack(4)一样若设为 #pragma pack(1), 则结构大小: sizeof(struct) = 1+2+4+1=8; 若设为 #pragma pack(2), 则结构大小: sizeof(struct) = 2+2+4+2=10; 在#pragma pack(1)时:空间是节省了,但访问速度降低了; 关于MDL：具体见http://msdn2.microsoft.com/en-us/library/aa489506.aspx A contiguous virtual memory address range can be spread over several physical pages, and these pages can be discontiguous. The system uses a memory descriptor list (MDL) structure to represent the physical page layout for a virtual memory buffer. You can allocate an MDL with the IoAllocateMdl routine. For a buffer that is allocated from nonpaged pool, use MmBuildMdlForNonPagedPool to initialize the page number array. For pagable memory, the correspondence between virtual and physical memory is temporary, so the page number array is valid only under certain circumstances. Call MmProbeAndLockPages to lock the pagable memory into place and initialize the page number array for the current layout. The memory will not be paged out until the caller uses the MmUnlockPages routine, at which point the contents of the page number array are no longer valid.
gdlian 雪币： 197 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 194 粉丝 0 关注私信	gdlian 2007-12-29 02:39 99 楼 0 #define SYSTEMSERVICE(_func) \ KeServiceDescriptorTable.ServiceTableBase[ (PULONG)((PUCHAR)_func+1)] /Zw函数都开始于opcode：MOV eax, ULONG，这里的ULONG就是系统调用函数在SSDT中的索引，因此_func+1（_func为Zw函数的地址，你可以搜索ntoskrnl.exe的导出表来获取它？）就是系统调用函数在SSDT中的索引，利用这个索引就可以找到对应的NT()函数的地址。ZW（）函数指向INT 2eh ，而NT（）指向函数代码这意味着Zw（）函数集合将从用户模式转入内核模式，而Nt符号直接指向的代码会在模式切换后被执行。 / #define HOOK_SYSCALL(_Function, _Hook, _Orig ) \ _Orig = (PVOID) InterlockedExchange( (PLONG) \\注意，InterlockedExchange指令可以保证是原子操作 &MappedSystemCallTable[SYSCALL_INDEX(_Function)], (LONG) _Hook)
hhyjmd 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 40 粉丝 0 关注私信	hhyjmd 2008-1-31 14:43 100 楼 0 继续关注中，谢谢分享！
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

Lvg

发帖

回帖

210

RANK

关注

私信

他的文章

[原创]必备绝技——hook大法( 中 )

[原创]必备绝技--Hook大法( 上 )

[分享]深入研究Windows内部原理系列

[原创]Riijj crackme 12 的调试分析

WinDbg插件编写――基础篇

关于我们

联系我们

企业服务

看雪公众号

最新回复 (189) ◀ 1 2 3 4 5 6 7 8 ▶
hren 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 26 粉丝 0 关注私信	hren 2007-7-2 00:54 76 楼 0 厉害啊,实在佩服
hren 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 26 粉丝 0 关注私信	hren 2007-7-2 00:54 77 楼 0 那我也拼凑一下吧,大家谅解下
hren 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 26 粉丝 0 关注私信	hren 2007-7-2 00:55 78 楼 0 还差一点点阿
hren 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 26 粉丝 0 关注私信	hren 2007-7-2 00:55 79 楼 0 拼凑一下,大家谅解下,谢谢
hren 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 26 粉丝 0 关注私信	hren 2007-7-2 00:56 80 楼 0 终于凑够了!
bilyzhang 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 20 粉丝 0 关注私信	bilyzhang 2007-7-20 14:33 81 楼 0 楼主真是强人，拷下来学习
斌斌的爱雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	斌斌的爱 2007-7-20 16:36 82 楼 0 看不懂看不懂
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 21 回帖 294 粉丝 0 关注私信	林海雪原 6 2007-7-20 16:49 83 楼 0 真是实力一派!!!!,系统内的东东我从未动过...
baohongyu 雪币： 306 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 210 粉丝 0 关注私信	baohongyu 2007-8-20 21:07 84 楼 0 看雪让我等膜拜不止。牛人辈出。
sudami 雪币： 709 活跃值： (2225) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 69 回帖 1584 粉丝 61 关注私信	sudami 25 2007-10-10 21:33 85 楼 0 那个"_root_"开头的进程换成自己想要隐藏的进程就可以了吧? 那要是程序名字被改变了,进程名称也就变了,这样是不是就不起作用了啊? 刚学驱动,菜死了,
一把刀雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 20 粉丝 0 关注私信	一把刀 2007-10-10 21:35 86 楼 0 很深奥要学习很久哎
椰子树雪币： 263 活跃值： (17) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 36 粉丝 0 关注私信	椰子树 2007-10-11 10:41 87 楼 0 太牛了！我要找齐3部好好看看
fmpfreh 雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 0 关注私信	fmpfreh 2007-10-11 17:01 88 楼 0 看不懂！
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 580 粉丝 0 关注私信	vrowang123 1 2007-10-11 18:32 89 楼 0 i love this@@!!!
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 580 粉丝 0 关注私信	vrowang123 1 2007-10-12 10:15 90 楼 0 请问hook 3什么时候出？
易之梦雪币： 192 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 30 粉丝 0 关注私信	易之梦 2007-10-12 10:46 91 楼 0 祝贺看雪学院建站七周年！祝贺看雪学院建站七周年！
chinaruto 雪币： 109 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	chinaruto 2007-11-16 18:32 92 楼 0 怎么没有《下》呢？？？？
dageda 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	dageda 2007-11-27 15:51 93 楼 0 楼主什么时候出下啊？盼着呢
jzfcf 雪币： 210 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 78 粉丝 0 关注私信	jzfcf 2007-11-28 12:59 94 楼 0 强帖留名,去学驱动!
fyd 雪币： 44 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 178 粉丝 0 关注私信	fyd 2007-11-29 10:59 95 楼 0 不懂HOOK是做什么用的,下下来学习学习!谢谢了!
jzfcf 雪币： 210 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 78 粉丝 0 关注私信	jzfcf 2007-12-26 12:09 96 楼 0 真是好文啊!感谢楼主分享!另外,楼主人品真不错!
jzfcf 雪币： 210 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 78 粉丝 0 关注私信	jzfcf 2007-12-26 12:10 97 楼 0 再顶!
gdlian 雪币： 197 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 194 粉丝 0 关注私信	gdlian 2007-12-29 02:16 98 楼 0 一个很重要的参数 #pragma pack(n) 数据边界对齐方式: 以如下结构为例: struct { char a; WORD b; DWORD c; char d; } 在Windows默认结构大小: sizeof(struct) = 4+4+4+4=16; 与#pragma pack(4)一样若设为 #pragma pack(1), 则结构大小: sizeof(struct) = 1+2+4+1=8; 若设为 #pragma pack(2), 则结构大小: sizeof(struct) = 2+2+4+2=10; 在#pragma pack(1)时:空间是节省了,但访问速度降低了; 关于MDL：具体见http://msdn2.microsoft.com/en-us/library/aa489506.aspx A contiguous virtual memory address range can be spread over several physical pages, and these pages can be discontiguous. The system uses a memory descriptor list (MDL) structure to represent the physical page layout for a virtual memory buffer. You can allocate an MDL with the IoAllocateMdl routine. For a buffer that is allocated from nonpaged pool, use MmBuildMdlForNonPagedPool to initialize the page number array. For pagable memory, the correspondence between virtual and physical memory is temporary, so the page number array is valid only under certain circumstances. Call MmProbeAndLockPages to lock the pagable memory into place and initialize the page number array for the current layout. The memory will not be paged out until the caller uses the MmUnlockPages routine, at which point the contents of the page number array are no longer valid.
gdlian 雪币： 197 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 194 粉丝 0 关注私信	gdlian 2007-12-29 02:39 99 楼 0 #define SYSTEMSERVICE(_func) \ KeServiceDescriptorTable.ServiceTableBase[ (PULONG)((PUCHAR)_func+1)] /Zw函数都开始于opcode：MOV eax, ULONG，这里的ULONG就是系统调用函数在SSDT中的索引，因此_func+1（_func为Zw函数的地址，你可以搜索ntoskrnl.exe的导出表来获取它？）就是系统调用函数在SSDT中的索引，利用这个索引就可以找到对应的NT()函数的地址。ZW（）函数指向INT 2eh ，而NT（）指向函数代码这意味着Zw（）函数集合将从用户模式转入内核模式，而Nt符号直接指向的代码会在模式切换后被执行。 / #define HOOK_SYSCALL(_Function, _Hook, _Orig ) \ _Orig = (PVOID) InterlockedExchange( (PLONG) \\注意，InterlockedExchange指令可以保证是原子操作 &MappedSystemCallTable[SYSCALL_INDEX(_Function)], (LONG) _Hook)
hhyjmd 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 40 粉丝 0 关注私信	hhyjmd 2008-1-31 14:43 100 楼 0 继续关注中，谢谢分享！
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复