FileMoniotor1.0 for ring3-编程技术-看雪-安全社区|安全招聘|kanxue.com

FileMoniotor1.0 for ring3

发表于: 2007-6-11 14:25 10049

FileMoniotor1.0 for ring3

laomms

2007-6-11 14:25

10049

纯汇编写的,主要拦截KERNEL32.DLL中的OpenFile、CreateFileA、CreateFileW、ReadFile、ReadFileEx、WriteFile、WriteFileEx、DeviceIoControl等函数，HOOK到的数据未做过滤处理。
其中MYDLL利用了skyer的HOOKAPI LIB,放出源码,主程序的过程是创建进程后挂起,注入MYDLL后恢复进程,拦截过程中的相关函数,汇编写的程序,反汇编后基本上可以理出代码,就不放源码了.

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

1.GIF （16.21kb，480次下载）
Moniotor.rar （6.18kb，164次下载）

收藏・8

免费・7

支持

最新回复 (15)
三根火柴雪币： 268 活跃值： (40) 能力值： ( LV10，RANK：170 ) 在线值：发帖 32 回帖 255 粉丝 0 关注私信	三根火柴 4 2 楼怎么没有源码? 2007-6-11 16:26 0
colboy 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 371 粉丝 0 关注私信	colboy 3 楼没有原码～～～～那我为什么不用filemon。。。。。。 2007-6-11 18:00 0
xinix 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 117 粉丝 0 关注私信	xinix 4 楼不是发此板块的都要源码吗　怎么没有？ 2007-6-11 18:29 0
firefly 雪币： 260 活跃值： (102) 能力值： ( LV9，RANK：170 ) 在线值：发帖 15 回帖 321 粉丝 0 关注私信	firefly 4 5 楼忘了哪位大侠说的，搞逆向的人需要源码吗？不过有源码可以粘贴复制，阅读方便！ 2007-6-11 21:06 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 6 楼对成品没多大兴趣..... 2007-6-11 21:07 0
不懂算法雪币： 202 活跃值： (77) 能力值： ( LV6，RANK：90 ) 在线值：发帖 16 回帖 329 粉丝 5 关注私信	不懂算法 2 7 楼汇编写的程序，程序本身就是源码 2007-6-11 23:50 0
laomms 雪币： 560 活跃值： (359) 能力值： ( LV13，RANK：1370 ) 在线值：发帖 83 回帖 384 粉丝 8 关注私信	laomms 34 8 楼讲的非常正确,汇编写的程序,未做特殊处理，在IDA中反汇编后,结合一些API的调用,基本上可以还原代码. 2007-6-12 07:39 0
北极星2003 雪币： 1852 活跃值： (504) 能力值： (RANK：1010 ) 在线值：发帖 86 回帖 1240 粉丝 12 关注私信	北极星2003 25 9 楼支持下！思路讲的还是挺清楚的 2007-6-12 10:36 0
elance 雪币： 716 活跃值： (162) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 570 粉丝 0 关注私信	elance 6 10 楼感谢老MM， 2007-6-12 12:58 0
Skyer 雪币： 228 活跃值： (85) 能力值： ( LV6，RANK：90 ) 在线值：发帖 11 回帖 84 粉丝 0 关注私信	Skyer 2 11 楼汗我那个 HookLib. 感觉还是有些问题至少在 MultiThread 就会有问题.. 请楼主小心啊.. @@ 之前当兵时有用 C++ 重写过一个支援多绪的 HookLib, 可惜当完兵时忘记带出来.. 现在也没时间重写 XD 2007-6-12 14:42 0
laomms 雪币： 560 活跃值： (359) 能力值： ( LV13，RANK：1370 ) 在线值：发帖 83 回帖 384 粉丝 8 关注私信	laomms 34 12 楼 deroko的那个可能比较完美: http://bbs.pediy.com/showthread.php?t=45601&highlight=Ultimate .386 .model flat, stdcall option casemap: none include windows.inc include user32.inc include kernel32.inc includelib user32.lib includelib kernel32.lib public C Detoured_MessageBoxA public C Detoured_GetModuleHandleA .data? Detoured_MessageBoxA dd ? Detoured_GetModuleHandleA dd ? .code DllEntry proc hInstance:HINSTANCE, reason:DWORD, reserved1:DWORD .if reason==DLL_PROCESS_ATTACH mov eax,TRUE .endif ret DllEntry Endp HOOK_user32_MessageBoxA proc hwnd:DWORD, text:DWORD, about:DWORD, icon:DWORD push icon push about push text push hwnd call Detoured_MessageBoxA ret HOOK_user32_MessageBoxA endp HOOK_kernel32_GetModuleHandleA proc modulename:dword push modulename call Detoured_GetModuleHandleA ret HOOK_kernel32_GetModuleHandleA endp HOOK_kernel32_ExitProcess proc exitcode:dword invoke TerminateProcess, -1, exitcode ret HOOK_kernel32_ExitProcess endp End DllEntry -----------------------mydll.Inc------------- HOOK_kernel32_GetModuleHandleA proto HOOK_user32_MessageBoxA proto HOOK_kernel32_ExitProcess proto Detoured_GetModuleHandleA proto Detoured_MessageBoxA proto ------------------------mydll.Def------------- EXPORTS HOOK_user32_MessageBoxA HOOK_kernel32_GetModuleHandleA HOOK_kernel32_ExitProcess Detoured_GetModuleHandleA Detoured_MessageBoxA 2007-6-12 15:57 0
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 13 楼 laomm你楼上用的detours库吧... 2007-6-13 09:36 0
laomms 雪币： 560 活跃值： (359) 能力值： ( LV13，RANK：1370 ) 在线值：发帖 83 回帖 384 粉丝 8 关注私信	laomms 34 14 楼此Detoured非彼detours库, 2007-6-13 10:43 0
yijun8354 雪币： 1919 活跃值： (901) 能力值： ( LV9，RANK：490 ) 在线值：发帖 22 回帖 784 粉丝 1 关注私信	yijun8354 12 15 楼下载收藏～～～ 2007-6-13 13:11 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 16 楼目前个人认为最好的库还是detours 还提供了x64 IA32的支持。哈建议搂主采用 File 操作不象一般的API 大量的多线程调用还有涉及到异步模式的问题。最好还是不要直接E8 xxxxxxxx,memcpy,Call Prev这种方法哈。 2007-6-15 00:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

laomms

发帖

384

回帖

1370

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (15)
三根火柴雪币： 268 活跃值： (40) 能力值： ( LV10，RANK：170 ) 在线值：发帖 32 回帖 255 粉丝 0 关注私信	三根火柴 4 2 楼怎么没有源码? 2007-6-11 16:26 0
colboy 雪币： 214 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 371 粉丝 0 关注私信	colboy 3 楼没有原码～～～～那我为什么不用filemon。。。。。。 2007-6-11 18:00 0
xinix 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 117 粉丝 0 关注私信	xinix 4 楼不是发此板块的都要源码吗　怎么没有？ 2007-6-11 18:29 0
firefly 雪币： 260 活跃值： (102) 能力值： ( LV9，RANK：170 ) 在线值：发帖 15 回帖 321 粉丝 0 关注私信	firefly 4 5 楼忘了哪位大侠说的，搞逆向的人需要源码吗？不过有源码可以粘贴复制，阅读方便！ 2007-6-11 21:06 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 6 楼对成品没多大兴趣..... 2007-6-11 21:07 0
不懂算法雪币： 202 活跃值： (77) 能力值： ( LV6，RANK：90 ) 在线值：发帖 16 回帖 329 粉丝 5 关注私信	不懂算法 2 7 楼汇编写的程序，程序本身就是源码 2007-6-11 23:50 0
laomms 雪币： 560 活跃值： (359) 能力值： ( LV13，RANK：1370 ) 在线值：发帖 83 回帖 384 粉丝 8 关注私信	laomms 34 8 楼讲的非常正确,汇编写的程序,未做特殊处理，在IDA中反汇编后,结合一些API的调用,基本上可以还原代码. 2007-6-12 07:39 0
北极星2003 雪币： 1852 活跃值： (504) 能力值： (RANK：1010 ) 在线值：发帖 86 回帖 1240 粉丝 12 关注私信	北极星2003 25 9 楼支持下！思路讲的还是挺清楚的 2007-6-12 10:36 0
elance 雪币： 716 活跃值： (162) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 570 粉丝 0 关注私信	elance 6 10 楼感谢老MM， 2007-6-12 12:58 0
Skyer 雪币： 228 活跃值： (85) 能力值： ( LV6，RANK：90 ) 在线值：发帖 11 回帖 84 粉丝 0 关注私信	Skyer 2 11 楼汗我那个 HookLib. 感觉还是有些问题至少在 MultiThread 就会有问题.. 请楼主小心啊.. @@ 之前当兵时有用 C++ 重写过一个支援多绪的 HookLib, 可惜当完兵时忘记带出来.. 现在也没时间重写 XD 2007-6-12 14:42 0
laomms 雪币： 560 活跃值： (359) 能力值： ( LV13，RANK：1370 ) 在线值：发帖 83 回帖 384 粉丝 8 关注私信	laomms 34 12 楼 deroko的那个可能比较完美: http://bbs.pediy.com/showthread.php?t=45601&highlight=Ultimate .386 .model flat, stdcall option casemap: none include windows.inc include user32.inc include kernel32.inc includelib user32.lib includelib kernel32.lib public C Detoured_MessageBoxA public C Detoured_GetModuleHandleA .data? Detoured_MessageBoxA dd ? Detoured_GetModuleHandleA dd ? .code DllEntry proc hInstance:HINSTANCE, reason:DWORD, reserved1:DWORD .if reason==DLL_PROCESS_ATTACH mov eax,TRUE .endif ret DllEntry Endp HOOK_user32_MessageBoxA proc hwnd:DWORD, text:DWORD, about:DWORD, icon:DWORD push icon push about push text push hwnd call Detoured_MessageBoxA ret HOOK_user32_MessageBoxA endp HOOK_kernel32_GetModuleHandleA proc modulename:dword push modulename call Detoured_GetModuleHandleA ret HOOK_kernel32_GetModuleHandleA endp HOOK_kernel32_ExitProcess proc exitcode:dword invoke TerminateProcess, -1, exitcode ret HOOK_kernel32_ExitProcess endp End DllEntry -----------------------mydll.Inc------------- HOOK_kernel32_GetModuleHandleA proto HOOK_user32_MessageBoxA proto HOOK_kernel32_ExitProcess proto Detoured_GetModuleHandleA proto Detoured_MessageBoxA proto ------------------------mydll.Def------------- EXPORTS HOOK_user32_MessageBoxA HOOK_kernel32_GetModuleHandleA HOOK_kernel32_ExitProcess Detoured_GetModuleHandleA Detoured_MessageBoxA 2007-6-12 15:57 0
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 13 楼 laomm你楼上用的detours库吧... 2007-6-13 09:36 0
laomms 雪币： 560 活跃值： (359) 能力值： ( LV13，RANK：1370 ) 在线值：发帖 83 回帖 384 粉丝 8 关注私信	laomms 34 14 楼此Detoured非彼detours库, 2007-6-13 10:43 0
yijun8354 雪币： 1919 活跃值： (901) 能力值： ( LV9，RANK：490 ) 在线值：发帖 22 回帖 784 粉丝 1 关注私信	yijun8354 12 15 楼下载收藏～～～ 2007-6-13 13:11 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 16 楼目前个人认为最好的库还是detours 还提供了x64 IA32的支持。哈建议搂主采用 File 操作不象一般的API 大量的多线程调用还有涉及到异步模式的问题。最好还是不要直接E8 xxxxxxxx,memcpy,Call Prev这种方法哈。 2007-6-15 00:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复