[原创]HideToolz's Driver逆向分析。。。-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]HideToolz's Driver逆向分析。。。

2007-4-29 20:49 20155

[原创]HideToolz's Driver逆向分析。。。

xIkUg

2007-4-29 20:49

20155

对这个软件的AntiHook比较感兴趣，想看看他是怎么实现的。。。于是逆了一下，完成度90%(那些我不感兴趣的函数就没逆了)

这个Driver没有设备对象，是通过ZwTerminateProcess来跟ring3程序进行通讯的。。。Driver的其他很多地方实现得比较精妙，值得我们学习

其中有两个重要的数据结构

typedef struct _XPROCESS_LIST
{
  LIST_ENTRY     Entry;
  ULONG       ProcessId;
  ULONG       ParentProcessId;
  PEPROCESS     Process;
  PEPROCESS     ParentProcess;
  BOOLEAN       IsProt;               //是否正受保护/隐藏
  BOOLEAN       unknow4;
  BOOLEAN       UseOrgKernelCallbackTable;
} XPROCESS_LIST, *PXPROCESS_LIST;

typedef struct _PARAMS
{
  ULONG       SelfSettings;         //by xIkUg/RCT 2007-04-29
  ULONG       GlobalSettings;
  ULONG       CallIndex;
  PVOID       InputBuffer;
  ULONG       InputBufferLength;
  PVOID       OutputBuffer;
  ULONG       OutputBufferLength;
} PARAMS, *PPARAMS;

源代码就不放出来了。。。

感兴趣的朋友可以直接看idb文件。。。各种变量，结构，函数都详细的标出来了
想要使用其中某些功能就得靠你自己的本事来还原源代码了。。。嘿嘿。。。

[培训]二进制漏洞攻防（第3期）；满10人开班；模糊测试与工具使用二次开发；网络协议漏洞挖掘；Linux内核漏洞挖掘与利用；AOSP漏洞挖掘与利用；代码审计。

上传的附件：

hidetoolz.rar （156.24kb，581次下载）

收藏・19

点赞・7

打赏

最新回复 (26) 1 2 ▶
wzmooo 雪币： 10040 活跃值： (1689) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 489 粉丝 1 关注私信	wzmooo 2007-4-29 21:33 2 楼 0 西裤哥强啊！！
kanxue 雪币： 29414 活跃值： (18600) 能力值： (RANK：350 ) 在线值：发帖 1826 回帖 15211 粉丝 484 关注私信	kanxue 8 2007-4-29 21:56 3 楼 0 xIkUg你太强了
Lvg 雪币： 235 活跃值： (29) 能力值： ( LV9，RANK：210 ) 在线值：发帖 6 回帖 48 粉丝 3 关注私信	Lvg 5 2007-4-29 22:15 4 楼 0 向西裤哥，学习
冷血书生雪币： 443 活跃值： (200) 能力值： ( LV9，RANK：1140 ) 在线值：发帖 53 回帖 1132 粉丝 2 关注私信	冷血书生 28 2007-4-29 23:04 5 楼 0 向西裤哥，学习
WiNrOOt 雪币： 255 活跃值： (266) 能力值： ( LV12，RANK：220 ) 在线值：发帖 21 回帖 617 粉丝 1 关注私信	WiNrOOt 5 2007-4-29 23:04 6 楼 0 ...顶...
yalcm 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 105 粉丝 0 关注私信	yalcm 2007-4-29 23:32 7 楼 0 学学大牛们是怎么IDA的，致礼
风间仁雪币： 28208 活跃值： (6635) 能力值： ( LV15，RANK：3306 ) 在线值：发帖 108 回帖 513 粉丝 75 关注私信	风间仁 19 2007-4-30 00:28 8 楼 0 太强了。。都不知道怎么学习啊
qiweixue 雪币： 256 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 2007-4-30 08:15 9 楼 0 牛阿...
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 18 回帖 583 粉丝 0 关注私信	aki 2 2007-4-30 08:30 10 楼 0 向xiku学习。另外请教个问题：怎样设置才能让ida的汇编旁边也显示二进制？
Lvg 雪币： 235 活跃值： (29) 能力值： ( LV9，RANK：210 ) 在线值：发帖 6 回帖 48 粉丝 3 关注私信	Lvg 5 2007-4-30 08:50 11 楼 0 option——〉disassebly——〉Numbler of opcode bytes
linestyle 雪币： 217 活跃值： (15) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 252 粉丝 0 关注私信	linestyle 2007-4-30 09:18 12 楼 0 顶啊 xiku大侠不带我玩qq键盘保护，原来自己在逆向HideToolz ：）
xIkUg 雪币： 116 活跃值： (220) 能力值： ( LV12，RANK：370 ) 在线值：发帖 27 回帖 679 粉丝 4 关注私信	xIkUg 9 2007-4-30 09:26 13 楼 0 yykingking已经玩儿出来了。。。 http://www.debugman.com/read.php?tid=450
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 57 回帖 1043 粉丝 11 关注私信	softworm 30 2007-4-30 09:30 14 楼 0 向西裤哥致敬!
linestyle 雪币： 217 活跃值： (15) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 252 粉丝 0 关注私信	linestyle 2007-4-30 09:59 15 楼 0 yykingking牛人啊，佩服当初给西裤哥你发邮件，是想跟你学点东西，后来发现你太忙了，根本照顾不到我啊所以后来我也就放弃逆向qq的那个东西了，呵呵
linestyle 雪币： 217 活跃值： (15) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 252 粉丝 0 关注私信	linestyle 2007-4-30 10:07 16 楼 0 其实yykingking 兄弟在代码里边的命名为 ASCIITable的那些数组感觉如果命名为AT键盘扫描码的名称就更完美了，我记得以前看linux键盘部分的时候好像看到过类似的处理码表：）还是西裤哥身边有牛人啊，看来以后我要经常去debugman去检东西啊
daxia200N 雪币： 662 活跃值： (1621) 能力值： ( LV9，RANK：250 ) 在线值：发帖 40 回帖 574 粉丝 5 关注私信	daxia200N 6 2007-4-30 12:20 17 楼 0 niuX...
NaX 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 149 粉丝 0 关注私信	NaX 2007-4-30 13:39 18 楼 0 久仰xIkUg大名但请问用什么工具查看idb文件?
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 93 回帖 2058 粉丝 5 关注私信	shoooo 16 2007-4-30 14:40 19 楼 0 楼主人不在江湖,江湖却你有的传说
sisterccc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	sisterccc 2007-5-10 11:39 20 楼 0 Down回来学习！这个要顶。。
riijj 雪币： 2319 活跃值： (565) 能力值： (RANK：300 ) 在线值：发帖 144 回帖 1304 粉丝 8 关注私信	riijj 7 2007-5-10 12:05 21 楼 0 学习
garasmc 雪币： 114 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 66 粉丝 0 关注私信	garasmc 2007-5-10 21:52 22 楼 0 牛人！反汇编左边的OPCODE是怎么显示的？
garasmc 雪币： 114 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 66 粉丝 0 关注私信	garasmc 2007-5-10 21:54 23 楼 0 顶！反汇编左边的十六进制是怎么显示出来的？？？？？？？？？？
sucsor 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	sucsor 2007-5-10 22:46 24 楼 0 貌似多天没有冲浪了. .... 顶一下
xIkUg 雪币： 116 活跃值： (220) 能力值： ( LV12，RANK：370 ) 在线值：发帖 27 回帖 679 粉丝 4 关注私信	xIkUg 9 2007-5-11 16:24 25 楼 0 Option->General->Disassembly->Number of opcode bytes
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

xIkUg

发帖

679

回帖

370

RANK

关注

私信

他的文章

[建议]建议各位选手都来个自我简介

[原创]HideToolz's Driver逆向分析。。。

[注意]Saber(半开源)项目招募成员(2007-02-14修正)。。。

关于我们

联系我们

企业服务

看雪公众号

最新回复 (26) 1 2 ▶
wzmooo 雪币： 10040 活跃值： (1689) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 489 粉丝 1 关注私信	wzmooo 2007-4-29 21:33 2 楼 0 西裤哥强啊！！
kanxue 雪币： 29414 活跃值： (18600) 能力值： (RANK：350 ) 在线值：发帖 1826 回帖 15211 粉丝 484 关注私信	kanxue 8 2007-4-29 21:56 3 楼 0 xIkUg你太强了
Lvg 雪币： 235 活跃值： (29) 能力值： ( LV9，RANK：210 ) 在线值：发帖 6 回帖 48 粉丝 3 关注私信	Lvg 5 2007-4-29 22:15 4 楼 0 向西裤哥，学习
冷血书生雪币： 443 活跃值： (200) 能力值： ( LV9，RANK：1140 ) 在线值：发帖 53 回帖 1132 粉丝 2 关注私信	冷血书生 28 2007-4-29 23:04 5 楼 0 向西裤哥，学习
WiNrOOt 雪币： 255 活跃值： (266) 能力值： ( LV12，RANK：220 ) 在线值：发帖 21 回帖 617 粉丝 1 关注私信	WiNrOOt 5 2007-4-29 23:04 6 楼 0 ...顶...
yalcm 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 105 粉丝 0 关注私信	yalcm 2007-4-29 23:32 7 楼 0 学学大牛们是怎么IDA的，致礼
风间仁雪币： 28208 活跃值： (6635) 能力值： ( LV15，RANK：3306 ) 在线值：发帖 108 回帖 513 粉丝 75 关注私信	风间仁 19 2007-4-30 00:28 8 楼 0 太强了。。都不知道怎么学习啊
qiweixue 雪币： 256 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 2007-4-30 08:15 9 楼 0 牛阿...
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 18 回帖 583 粉丝 0 关注私信	aki 2 2007-4-30 08:30 10 楼 0 向xiku学习。另外请教个问题：怎样设置才能让ida的汇编旁边也显示二进制？
Lvg 雪币： 235 活跃值： (29) 能力值： ( LV9，RANK：210 ) 在线值：发帖 6 回帖 48 粉丝 3 关注私信	Lvg 5 2007-4-30 08:50 11 楼 0 option——〉disassebly——〉Numbler of opcode bytes
linestyle 雪币： 217 活跃值： (15) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 252 粉丝 0 关注私信	linestyle 2007-4-30 09:18 12 楼 0 顶啊 xiku大侠不带我玩qq键盘保护，原来自己在逆向HideToolz ：）
xIkUg 雪币： 116 活跃值： (220) 能力值： ( LV12，RANK：370 ) 在线值：发帖 27 回帖 679 粉丝 4 关注私信	xIkUg 9 2007-4-30 09:26 13 楼 0 yykingking已经玩儿出来了。。。 http://www.debugman.com/read.php?tid=450
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 57 回帖 1043 粉丝 11 关注私信	softworm 30 2007-4-30 09:30 14 楼 0 向西裤哥致敬!
linestyle 雪币： 217 活跃值： (15) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 252 粉丝 0 关注私信	linestyle 2007-4-30 09:59 15 楼 0 yykingking牛人啊，佩服当初给西裤哥你发邮件，是想跟你学点东西，后来发现你太忙了，根本照顾不到我啊所以后来我也就放弃逆向qq的那个东西了，呵呵
linestyle 雪币： 217 活跃值： (15) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 252 粉丝 0 关注私信	linestyle 2007-4-30 10:07 16 楼 0 其实yykingking 兄弟在代码里边的命名为 ASCIITable的那些数组感觉如果命名为AT键盘扫描码的名称就更完美了，我记得以前看linux键盘部分的时候好像看到过类似的处理码表：）还是西裤哥身边有牛人啊，看来以后我要经常去debugman去检东西啊
daxia200N 雪币： 662 活跃值： (1621) 能力值： ( LV9，RANK：250 ) 在线值：发帖 40 回帖 574 粉丝 5 关注私信	daxia200N 6 2007-4-30 12:20 17 楼 0 niuX...
NaX 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 149 粉丝 0 关注私信	NaX 2007-4-30 13:39 18 楼 0 久仰xIkUg大名但请问用什么工具查看idb文件?
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 93 回帖 2058 粉丝 5 关注私信	shoooo 16 2007-4-30 14:40 19 楼 0 楼主人不在江湖,江湖却你有的传说
sisterccc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	sisterccc 2007-5-10 11:39 20 楼 0 Down回来学习！这个要顶。。
riijj 雪币： 2319 活跃值： (565) 能力值： (RANK：300 ) 在线值：发帖 144 回帖 1304 粉丝 8 关注私信	riijj 7 2007-5-10 12:05 21 楼 0 学习
garasmc 雪币： 114 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 66 粉丝 0 关注私信	garasmc 2007-5-10 21:52 22 楼 0 牛人！反汇编左边的OPCODE是怎么显示的？
garasmc 雪币： 114 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 66 粉丝 0 关注私信	garasmc 2007-5-10 21:54 23 楼 0 顶！反汇编左边的十六进制是怎么显示出来的？？？？？？？？？？
sucsor 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	sucsor 2007-5-10 22:46 24 楼 0 貌似多天没有冲浪了. .... 顶一下
xIkUg 雪币： 116 活跃值： (220) 能力值： ( LV12，RANK：370 ) 在线值：发帖 27 回帖 679 粉丝 4 关注私信	xIkUg 9 2007-5-11 16:24 25 楼 0 Option->General->Disassembly->Number of opcode bytes
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复