[原创]必备绝技——hook大法( 中 )-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]必备绝技——hook大法( 中 )

发表于: 2007-4-9 23:37 193632

[原创]必备绝技——hook大法( 中 )

Lvg

2007-4-9 23:37

193632

查看主题内容

收藏・243

免费・7

支持

最新回复 (189) ◀ 1 2 3 4 5 6 7 8 ▶
hren 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 26 粉丝 0 关注私信	hren 76 楼厉害啊,实在佩服 2007-7-2 00:54 0
hren 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 26 粉丝 0 关注私信	hren 77 楼那我也拼凑一下吧,大家谅解下 2007-7-2 00:54 0
hren 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 26 粉丝 0 关注私信	hren 78 楼还差一点点阿 2007-7-2 00:55 0
hren 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 26 粉丝 0 关注私信	hren 79 楼拼凑一下,大家谅解下,谢谢 2007-7-2 00:55 0
hren 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 26 粉丝 0 关注私信	hren 80 楼终于凑够了! 2007-7-2 00:56 0
bilyzhang 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 20 粉丝 0 关注私信	bilyzhang 81 楼楼主真是强人，拷下来学习 2007-7-20 14:33 0
斌斌的爱雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	斌斌的爱 82 楼看不懂看不懂 2007-7-20 16:36 0
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 83 楼真是实力一派!!!!,系统内的东东我从未动过... 2007-7-20 16:49 0
baohongyu 雪币： 306 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 211 粉丝 0 关注私信	baohongyu 84 楼看雪让我等膜拜不止。牛人辈出。 2007-8-20 21:07 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 85 楼那个"_root_"开头的进程换成自己想要隐藏的进程就可以了吧? 那要是程序名字被改变了,进程名称也就变了,这样是不是就不起作用了啊? 刚学驱动,菜死了, 2007-10-10 21:33 0
一把刀雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 20 粉丝 0 关注私信	一把刀 86 楼很深奥要学习很久哎 2007-10-10 21:35 0
椰子树雪币： 263 活跃值： (17) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 36 粉丝 0 关注私信	椰子树 87 楼太牛了！我要找齐3部好好看看 2007-10-11 10:41 0
fmpfreh 雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 0 关注私信	fmpfreh 88 楼看不懂！ 2007-10-11 17:01 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 89 楼 i love this@@!!! 2007-10-11 18:32 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 90 楼请问hook 3什么时候出？ 2007-10-12 10:15 0
易之梦雪币： 192 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 29 粉丝 0 关注私信	易之梦 91 楼祝贺看雪学院建站七周年！祝贺看雪学院建站七周年！ 2007-10-12 10:46 0
chinaruto 雪币： 109 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	chinaruto 92 楼怎么没有《下》呢？？？？ 2007-11-16 18:32 0
dageda 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	dageda 93 楼楼主什么时候出下啊？盼着呢 2007-11-27 15:51 0
jzfcf 雪币： 210 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 78 粉丝 0 关注私信	jzfcf 94 楼强帖留名,去学驱动! 2007-11-28 12:59 0
fyd 雪币： 44 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 179 粉丝 0 关注私信	fyd 95 楼不懂HOOK是做什么用的,下下来学习学习!谢谢了! 2007-11-29 10:59 0
jzfcf 雪币： 210 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 78 粉丝 0 关注私信	jzfcf 96 楼真是好文啊!感谢楼主分享!另外,楼主人品真不错! 2007-12-26 12:09 0
jzfcf 雪币： 210 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 78 粉丝 0 关注私信	jzfcf 97 楼再顶! 2007-12-26 12:10 0
gdlian 雪币： 197 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 40 回帖 196 粉丝 0 关注私信	gdlian 98 楼一个很重要的参数 #pragma pack(n) 数据边界对齐方式: 以如下结构为例: struct { char a; WORD b; DWORD c; char d; } 在Windows默认结构大小: sizeof(struct) = 4+4+4+4=16; 与#pragma pack(4)一样若设为 #pragma pack(1), 则结构大小: sizeof(struct) = 1+2+4+1=8; 若设为 #pragma pack(2), 则结构大小: sizeof(struct) = 2+2+4+2=10; 在#pragma pack(1)时:空间是节省了,但访问速度降低了; 关于MDL：具体见http://msdn2.microsoft.com/en-us/library/aa489506.aspx A contiguous virtual memory address range can be spread over several physical pages, and these pages can be discontiguous. The system uses a memory descriptor list (MDL) structure to represent the physical page layout for a virtual memory buffer. You can allocate an MDL with the IoAllocateMdl routine. For a buffer that is allocated from nonpaged pool, use MmBuildMdlForNonPagedPool to initialize the page number array. For pagable memory, the correspondence between virtual and physical memory is temporary, so the page number array is valid only under certain circumstances. Call MmProbeAndLockPages to lock the pagable memory into place and initialize the page number array for the current layout. The memory will not be paged out until the caller uses the MmUnlockPages routine, at which point the contents of the page number array are no longer valid. 2007-12-29 02:16 0
gdlian 雪币： 197 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 40 回帖 196 粉丝 0 关注私信	gdlian 99 楼 #define SYSTEMSERVICE(_func) \ KeServiceDescriptorTable.ServiceTableBase[ (PULONG)((PUCHAR)_func+1)] /Zw函数都开始于opcode：MOV eax, ULONG，这里的ULONG就是系统调用函数在SSDT中的索引，因此_func+1（_func为Zw函数的地址，你可以搜索ntoskrnl.exe的导出表来获取它？）就是系统调用函数在SSDT中的索引，利用这个索引就可以找到对应的NT()函数的地址。ZW（）函数指向INT 2eh ，而NT（）指向函数代码这意味着Zw（）函数集合将从用户模式转入内核模式，而Nt符号直接指向的代码会在模式切换后被执行。 / #define HOOK_SYSCALL(_Function, _Hook, _Orig ) \ _Orig = (PVOID) InterlockedExchange( (PLONG) \\注意，InterlockedExchange指令可以保证是原子操作 &MappedSystemCallTable[SYSCALL_INDEX(_Function)], (LONG) _Hook) 2007-12-29 02:39 0
hhyjmd 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 40 粉丝 0 关注私信	hhyjmd 100 楼继续关注中，谢谢分享！ 2008-1-31 14:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Lvg

发帖

回帖

210

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (189) ◀ 1 2 3 4 5 6 7 8 ▶
hren 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 26 粉丝 0 关注私信	hren 76 楼厉害啊,实在佩服 2007-7-2 00:54 0
hren 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 26 粉丝 0 关注私信	hren 77 楼那我也拼凑一下吧,大家谅解下 2007-7-2 00:54 0
hren 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 26 粉丝 0 关注私信	hren 78 楼还差一点点阿 2007-7-2 00:55 0
hren 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 26 粉丝 0 关注私信	hren 79 楼拼凑一下,大家谅解下,谢谢 2007-7-2 00:55 0
hren 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 26 粉丝 0 关注私信	hren 80 楼终于凑够了! 2007-7-2 00:56 0
bilyzhang 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 20 粉丝 0 关注私信	bilyzhang 81 楼楼主真是强人，拷下来学习 2007-7-20 14:33 0
斌斌的爱雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 35 粉丝 0 关注私信	斌斌的爱 82 楼看不懂看不懂 2007-7-20 16:36 0
林海雪原雪币： 242 活跃值： (163) 能力值： ( LV9，RANK：250 ) 在线值：发帖 20 回帖 294 粉丝 0 关注私信	林海雪原 6 83 楼真是实力一派!!!!,系统内的东东我从未动过... 2007-7-20 16:49 0
baohongyu 雪币： 306 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 211 粉丝 0 关注私信	baohongyu 84 楼看雪让我等膜拜不止。牛人辈出。 2007-8-20 21:07 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 85 楼那个"_root_"开头的进程换成自己想要隐藏的进程就可以了吧? 那要是程序名字被改变了,进程名称也就变了,这样是不是就不起作用了啊? 刚学驱动,菜死了, 2007-10-10 21:33 0
一把刀雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 20 粉丝 0 关注私信	一把刀 86 楼很深奥要学习很久哎 2007-10-10 21:35 0
椰子树雪币： 263 活跃值： (17) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 36 粉丝 0 关注私信	椰子树 87 楼太牛了！我要找齐3部好好看看 2007-10-11 10:41 0
fmpfreh 雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 0 关注私信	fmpfreh 88 楼看不懂！ 2007-10-11 17:01 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 89 楼 i love this@@!!! 2007-10-11 18:32 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 90 楼请问hook 3什么时候出？ 2007-10-12 10:15 0
易之梦雪币： 192 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 29 粉丝 0 关注私信	易之梦 91 楼祝贺看雪学院建站七周年！祝贺看雪学院建站七周年！ 2007-10-12 10:46 0
chinaruto 雪币： 109 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	chinaruto 92 楼怎么没有《下》呢？？？？ 2007-11-16 18:32 0
dageda 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	dageda 93 楼楼主什么时候出下啊？盼着呢 2007-11-27 15:51 0
jzfcf 雪币： 210 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 78 粉丝 0 关注私信	jzfcf 94 楼强帖留名,去学驱动! 2007-11-28 12:59 0
fyd 雪币： 44 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 179 粉丝 0 关注私信	fyd 95 楼不懂HOOK是做什么用的,下下来学习学习!谢谢了! 2007-11-29 10:59 0
jzfcf 雪币： 210 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 78 粉丝 0 关注私信	jzfcf 96 楼真是好文啊!感谢楼主分享!另外,楼主人品真不错! 2007-12-26 12:09 0
jzfcf 雪币： 210 活跃值： (43) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 78 粉丝 0 关注私信	jzfcf 97 楼再顶! 2007-12-26 12:10 0
gdlian 雪币： 197 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 40 回帖 196 粉丝 0 关注私信	gdlian 98 楼一个很重要的参数 #pragma pack(n) 数据边界对齐方式: 以如下结构为例: struct { char a; WORD b; DWORD c; char d; } 在Windows默认结构大小: sizeof(struct) = 4+4+4+4=16; 与#pragma pack(4)一样若设为 #pragma pack(1), 则结构大小: sizeof(struct) = 1+2+4+1=8; 若设为 #pragma pack(2), 则结构大小: sizeof(struct) = 2+2+4+2=10; 在#pragma pack(1)时:空间是节省了,但访问速度降低了; 关于MDL：具体见http://msdn2.microsoft.com/en-us/library/aa489506.aspx A contiguous virtual memory address range can be spread over several physical pages, and these pages can be discontiguous. The system uses a memory descriptor list (MDL) structure to represent the physical page layout for a virtual memory buffer. You can allocate an MDL with the IoAllocateMdl routine. For a buffer that is allocated from nonpaged pool, use MmBuildMdlForNonPagedPool to initialize the page number array. For pagable memory, the correspondence between virtual and physical memory is temporary, so the page number array is valid only under certain circumstances. Call MmProbeAndLockPages to lock the pagable memory into place and initialize the page number array for the current layout. The memory will not be paged out until the caller uses the MmUnlockPages routine, at which point the contents of the page number array are no longer valid. 2007-12-29 02:16 0
gdlian 雪币： 197 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 40 回帖 196 粉丝 0 关注私信	gdlian 99 楼 #define SYSTEMSERVICE(_func) \ KeServiceDescriptorTable.ServiceTableBase[ (PULONG)((PUCHAR)_func+1)] /Zw函数都开始于opcode：MOV eax, ULONG，这里的ULONG就是系统调用函数在SSDT中的索引，因此_func+1（_func为Zw函数的地址，你可以搜索ntoskrnl.exe的导出表来获取它？）就是系统调用函数在SSDT中的索引，利用这个索引就可以找到对应的NT()函数的地址。ZW（）函数指向INT 2eh ，而NT（）指向函数代码这意味着Zw（）函数集合将从用户模式转入内核模式，而Nt符号直接指向的代码会在模式切换后被执行。 / #define HOOK_SYSCALL(_Function, _Hook, _Orig ) \ _Orig = (PVOID) InterlockedExchange( (PLONG) \\注意，InterlockedExchange指令可以保证是原子操作 &MappedSystemCallTable[SYSCALL_INDEX(_Function)], (LONG) _Hook) 2007-12-29 02:39 0
hhyjmd 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 40 粉丝 0 关注私信	hhyjmd 100 楼继续关注中，谢谢分享！ 2008-1-31 14:43 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复