[原创]HideToolz's Driver逆向分析。。。-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]HideToolz's Driver逆向分析。。。

发表于: 2007-4-29 20:49 20687

[原创]HideToolz's Driver逆向分析。。。

xIkUg

2007-4-29 20:49

20687

对这个软件的AntiHook比较感兴趣，想看看他是怎么实现的。。。于是逆了一下，完成度90%(那些我不感兴趣的函数就没逆了)

这个Driver没有设备对象，是通过ZwTerminateProcess来跟ring3程序进行通讯的。。。Driver的其他很多地方实现得比较精妙，值得我们学习

其中有两个重要的数据结构

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

hidetoolz.rar （156.24kb，581次下载）

收藏・19

免费・7

支持

最新回复 (26) 1 2 ▶
wzmooo 雪币： 10580 活跃值： (2264) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 496 粉丝 1 关注私信	wzmooo 2 楼西裤哥强啊！！ 2007-4-29 21:33 0
kanxue 雪币： 47147 活跃值： (20405) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 539 关注私信	kanxue 8 3 楼 xIkUg你太强了 2007-4-29 21:56 0
Lvg 雪币： 235 活跃值： (29) 能力值： ( LV9，RANK：210 ) 在线值：发帖 6 回帖 48 粉丝 3 关注私信	Lvg 5 4 楼向西裤哥，学习 2007-4-29 22:15 0
冷血书生雪币： 443 活跃值： (200) 能力值： ( LV9，RANK：1140 ) 在线值：发帖 53 回帖 1135 粉丝 2 关注私信	冷血书生 28 5 楼向西裤哥，学习 2007-4-29 23:04 0
WiNrOOt 雪币： 255 活跃值： (266) 能力值： ( LV12，RANK：220 ) 在线值：发帖 20 回帖 624 粉丝 1 关注私信	WiNrOOt 5 6 楼 ...顶... 2007-4-29 23:04 0
yalcm 雪币： 225 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 105 粉丝 0 关注私信	yalcm 7 楼学学大牛们是怎么IDA的，致礼 2007-4-29 23:32 0
风间仁雪币： 29209 活跃值： (7709) 能力值： ( LV15，RANK：3306 ) 在线值：发帖 111 回帖 591 粉丝 83 关注私信	风间仁 19 8 楼太强了。。都不知道怎么学习啊 2007-4-30 00:28 0
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 9 楼牛阿... 2007-4-30 08:15 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 10 楼向xiku学习。另外请教个问题：怎样设置才能让ida的汇编旁边也显示二进制？ 2007-4-30 08:30 0
Lvg 雪币： 235 活跃值： (29) 能力值： ( LV9，RANK：210 ) 在线值：发帖 6 回帖 48 粉丝 3 关注私信	Lvg 5 11 楼 option——〉disassebly——〉Numbler of opcode bytes 2007-4-30 08:50 0
linestyle 雪币： 217 活跃值： (15) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 252 粉丝 0 关注私信	linestyle 12 楼顶啊 xiku大侠不带我玩qq键盘保护，原来自己在逆向HideToolz ：） 2007-4-30 09:18 0
xIkUg 雪币： 116 活跃值： (220) 能力值： ( LV12，RANK：370 ) 在线值：发帖 27 回帖 675 粉丝 4 关注私信	xIkUg 9 13 楼 yykingking已经玩儿出来了。。。 http://www.debugman.com/read.php?tid=450 2007-4-30 09:26 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 14 楼向西裤哥致敬! 2007-4-30 09:30 0
linestyle 雪币： 217 活跃值： (15) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 252 粉丝 0 关注私信	linestyle 15 楼 yykingking牛人啊，佩服当初给西裤哥你发邮件，是想跟你学点东西，后来发现你太忙了，根本照顾不到我啊所以后来我也就放弃逆向qq的那个东西了，呵呵 2007-4-30 09:59 0
linestyle 雪币： 217 活跃值： (15) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 252 粉丝 0 关注私信	linestyle 16 楼其实yykingking 兄弟在代码里边的命名为 ASCIITable的那些数组感觉如果命名为AT键盘扫描码的名称就更完美了，我记得以前看linux键盘部分的时候好像看到过类似的处理码表：）还是西裤哥身边有牛人啊，看来以后我要经常去debugman去检东西啊 2007-4-30 10:07 0
daxia200N 雪币： 690 活跃值： (1826) 能力值： ( LV9，RANK：250 ) 在线值：发帖 40 回帖 576 粉丝 5 关注私信	daxia200N 6 17 楼 niuX... 2007-4-30 12:20 0
NaX 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 151 粉丝 0 关注私信	NaX 18 楼久仰xIkUg大名但请问用什么工具查看idb文件? 2007-4-30 13:39 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 19 楼楼主人不在江湖,江湖却你有的传说 2007-4-30 14:40 0
sisterccc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	sisterccc 20 楼 Down回来学习！这个要顶。。 2007-5-10 11:39 0
riijj 雪币： 2319 活跃值： (565) 能力值： (RANK：300 ) 在线值：发帖 150 回帖 1307 粉丝 10 关注私信	riijj 7 21 楼学习 2007-5-10 12:05 0
garasmc 雪币： 114 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 66 粉丝 0 关注私信	garasmc 22 楼牛人！反汇编左边的OPCODE是怎么显示的？ 2007-5-10 21:52 0
garasmc 雪币： 114 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 66 粉丝 0 关注私信	garasmc 23 楼顶！反汇编左边的十六进制是怎么显示出来的？？？？？？？？？？ 2007-5-10 21:54 0
sucsor 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	sucsor 24 楼貌似多天没有冲浪了. .... 顶一下 2007-5-10 22:46 0
xIkUg 雪币： 116 活跃值： (220) 能力值： ( LV12，RANK：370 ) 在线值：发帖 27 回帖 675 粉丝 4 关注私信	xIkUg 9 25 楼 Option->General->Disassembly->Number of opcode bytes 2007-5-11 16:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

xIkUg

发帖

675

回帖

370

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (26) 1 2 ▶
wzmooo 雪币： 10580 活跃值： (2264) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 496 粉丝 1 关注私信	wzmooo 2 楼西裤哥强啊！！ 2007-4-29 21:33 0
kanxue 雪币： 47147 活跃值： (20405) 能力值： (RANK：350 ) 在线值：发帖 2375 回帖 17045 粉丝 539 关注私信	kanxue 8 3 楼 xIkUg你太强了 2007-4-29 21:56 0
Lvg 雪币： 235 活跃值： (29) 能力值： ( LV9，RANK：210 ) 在线值：发帖 6 回帖 48 粉丝 3 关注私信	Lvg 5 4 楼向西裤哥，学习 2007-4-29 22:15 0
冷血书生雪币： 443 活跃值： (200) 能力值： ( LV9，RANK：1140 ) 在线值：发帖 53 回帖 1135 粉丝 2 关注私信	冷血书生 28 5 楼向西裤哥，学习 2007-4-29 23:04 0
WiNrOOt 雪币： 255 活跃值： (266) 能力值： ( LV12，RANK：220 ) 在线值：发帖 20 回帖 624 粉丝 1 关注私信	WiNrOOt 5 6 楼 ...顶... 2007-4-29 23:04 0
yalcm 雪币： 225 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 105 粉丝 0 关注私信	yalcm 7 楼学学大牛们是怎么IDA的，致礼 2007-4-29 23:32 0
风间仁雪币： 29209 活跃值： (7709) 能力值： ( LV15，RANK：3306 ) 在线值：发帖 111 回帖 591 粉丝 83 关注私信	风间仁 19 8 楼太强了。。都不知道怎么学习啊 2007-4-30 00:28 0
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 9 楼牛阿... 2007-4-30 08:15 0
aki 雪币： 223 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 592 粉丝 0 关注私信	aki 2 10 楼向xiku学习。另外请教个问题：怎样设置才能让ida的汇编旁边也显示二进制？ 2007-4-30 08:30 0
Lvg 雪币： 235 活跃值： (29) 能力值： ( LV9，RANK：210 ) 在线值：发帖 6 回帖 48 粉丝 3 关注私信	Lvg 5 11 楼 option——〉disassebly——〉Numbler of opcode bytes 2007-4-30 08:50 0
linestyle 雪币： 217 活跃值： (15) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 252 粉丝 0 关注私信	linestyle 12 楼顶啊 xiku大侠不带我玩qq键盘保护，原来自己在逆向HideToolz ：） 2007-4-30 09:18 0
xIkUg 雪币： 116 活跃值： (220) 能力值： ( LV12，RANK：370 ) 在线值：发帖 27 回帖 675 粉丝 4 关注私信	xIkUg 9 13 楼 yykingking已经玩儿出来了。。。 http://www.debugman.com/read.php?tid=450 2007-4-30 09:26 0
softworm 雪币： 494 活跃值： (629) 能力值： ( LV9，RANK：1210 ) 在线值：发帖 66 回帖 1050 粉丝 13 关注私信	softworm 30 14 楼向西裤哥致敬! 2007-4-30 09:30 0
linestyle 雪币： 217 活跃值： (15) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 252 粉丝 0 关注私信	linestyle 15 楼 yykingking牛人啊，佩服当初给西裤哥你发邮件，是想跟你学点东西，后来发现你太忙了，根本照顾不到我啊所以后来我也就放弃逆向qq的那个东西了，呵呵 2007-4-30 09:59 0
linestyle 雪币： 217 活跃值： (15) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 252 粉丝 0 关注私信	linestyle 16 楼其实yykingking 兄弟在代码里边的命名为 ASCIITable的那些数组感觉如果命名为AT键盘扫描码的名称就更完美了，我记得以前看linux键盘部分的时候好像看到过类似的处理码表：）还是西裤哥身边有牛人啊，看来以后我要经常去debugman去检东西啊 2007-4-30 10:07 0
daxia200N 雪币： 690 活跃值： (1826) 能力值： ( LV9，RANK：250 ) 在线值：发帖 40 回帖 576 粉丝 5 关注私信	daxia200N 6 17 楼 niuX... 2007-4-30 12:20 0
NaX 雪币： 218 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 151 粉丝 0 关注私信	NaX 18 楼久仰xIkUg大名但请问用什么工具查看idb文件? 2007-4-30 13:39 0
shoooo 雪币： 398 活跃值： (343) 能力值： (RANK：650 ) 在线值：发帖 91 回帖 2169 粉丝 5 关注私信	shoooo 16 19 楼楼主人不在江湖,江湖却你有的传说 2007-4-30 14:40 0
sisterccc 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	sisterccc 20 楼 Down回来学习！这个要顶。。 2007-5-10 11:39 0
riijj 雪币： 2319 活跃值： (565) 能力值： (RANK：300 ) 在线值：发帖 150 回帖 1307 粉丝 10 关注私信	riijj 7 21 楼学习 2007-5-10 12:05 0
garasmc 雪币： 114 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 66 粉丝 0 关注私信	garasmc 22 楼牛人！反汇编左边的OPCODE是怎么显示的？ 2007-5-10 21:52 0
garasmc 雪币： 114 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 66 粉丝 0 关注私信	garasmc 23 楼顶！反汇编左边的十六进制是怎么显示出来的？？？？？？？？？？ 2007-5-10 21:54 0
sucsor 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	sucsor 24 楼貌似多天没有冲浪了. .... 顶一下 2007-5-10 22:46 0
xIkUg 雪币： 116 活跃值： (220) 能力值： ( LV12，RANK：370 ) 在线值：发帖 27 回帖 675 粉丝 4 关注私信	xIkUg 9 25 楼 Option->General->Disassembly->Number of opcode bytes 2007-5-11 16:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复