首页
社区
课程
招聘
[求助]关于过瑞星和咔吧的HOOK!
发表于: 2007-10-28 14:38 12034

[求助]关于过瑞星和咔吧的HOOK!

2007-10-28 14:38
12034
瑞星HOOK了writeprocessmemory和createremotememory!
卡吧直接把地址给指向一个无效的地址!
不知道怎么过这两个东西!

我参考一些资料后的想法是:
复制一个ntdll.dll和kernell32.dll,然后加栽它,获取里面的API函数地址.

不知道这个办法行不行,请各位指点指点!
如果不行,有没有什么简单的办法可以解决这个问题
条件是:不停止卡吧或者瑞星的运行!

谢谢!

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (24)
雪    币: 424
活跃值: (10)
能力值: ( LV9,RANK:850 )
在线值:
发帖
回帖
粉丝
2
呀哈哈哈哈```
老虎哥还是没有找到方法么?哦呵。
上次帮你测试了,不知道你hook和瑞星hook哪个再厉害些,试试
2007-10-28 15:26
0
雪    币: 112
活跃值: (16)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
3
瑞星是怎么HOOK的?
我可没HOOK!
2007-10-28 19:16
0
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
4
没用啊,ZwXXXXX还有一层
2007-10-28 19:52
0
雪    币: 846
活跃值: (221)
能力值: (RANK:570 )
在线值:
发帖
回帖
粉丝
5
http://www.rootkit.com/newsread.php?newsid=689

try it
2007-10-28 20:06
0
雪    币: 112
活跃值: (16)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
6
下面就sysenter了吧!
不进内核难道就没办法了
2007-10-28 20:39
0
雪    币: 112
活跃值: (16)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
7
3QU,SEE SEE
2007-10-28 20:40
0
雪    币: 709
活跃值: (2420)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
8
跟IS一样,自己读取真实的ntoskrnl.exe中的内容, 重定位, 调用之, 每次调用前都检测并恢复一遍.

老虎,这个可以不?
2007-10-28 21:45
0
雪    币: 325
活跃值: (97)
能力值: ( LV13,RANK:530 )
在线值:
发帖
回帖
粉丝
9
这个显然不行的。
NtOpenThread就直接给返回False了。

其实为了读写内存 只要把自己的代码放进去执行 问题就解决了。
我卖弄一下哈:
从Section(不是PE那个哈 ,是windows kernel那个) 的角度出发。rootkit有相关文章。点到为止
2007-10-29 01:59
0
雪    币: 112
活跃值: (16)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
10
http://www.rootkit.com/newsread.php?newsid=778
只找到这个.....
2007-10-29 07:03
0
雪    币: 846
活跃值: (221)
能力值: (RANK:570 )
在线值:
发帖
回帖
粉丝
11
他的意思应该是
NTSTATUS
  ZwMapViewOfSection(
    IN HANDLE  SectionHandle,
    IN HANDLE  ProcessHandle,
    IN OUT PVOID  *BaseAddress,
    IN ULONG  ZeroBits,
    IN ULONG  CommitSize,
    IN OUT PLARGE_INTEGER  SectionOffset  OPTIONAL,
    IN OUT PSIZE_T  ViewSize,
    IN SECTION_INHERIT  InheritDisposition,
    IN ULONG  AllocationType,
    IN ULONG  Protect
    );

要不就看看能不能玩句柄复制

或者写驱动进R0搞,爱怎么搞怎么搞
2007-10-29 11:54
0
雪    币: 325
活跃值: (97)
能力值: ( LV13,RANK:530 )
在线值:
发帖
回帖
粉丝
12
问题是对于主动防御的软件  早就把驱动加载  放到拦截的名单里面.
所以还是Ring3 方法比较实际 除非不是为了搞马.
2007-10-29 12:08
0
雪    币: 846
活跃值: (221)
能力值: (RANK:570 )
在线值:
发帖
回帖
粉丝
13
createfile 打开物理内存
setsysteminformation
ZwSystemDebugControl

用这些搞吧

要不从文件系统入手改写文件

另外还有最近一直很苦恼的LPC,让系统服务程序帮你做事,当然前提是系统提供这样的服务。例如WMI就很有前途,可惜我不熟。这个估计也可以过主防。
2007-10-29 12:27
0
雪    币: 297
活跃值: (10)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
14
貌似这个应该可行.
2007-10-29 13:55
0
雪    币: 299
活跃值: (25)
能力值: ( LV10,RANK:170 )
在线值:
发帖
回帖
粉丝
15
这几个办法已经全部被卡巴7防住,Vxk的办法是Beep服务。
2007-10-29 16:12
0
雪    币: 424
活跃值: (10)
能力值: ( LV9,RANK:850 )
在线值:
发帖
回帖
粉丝
16
Vxk?
2007-10-29 17:03
0
雪    币: 1852
活跃值: (504)
能力值: (RANK:1010 )
在线值:
发帖
回帖
粉丝
17
能够从ring3上操作的东西,在ring0都可以封杀,所以在ring3再怎么搞意义都不是很大
2007-10-29 18:49
0
雪    币: 112
活跃值: (16)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
18
看来,现在不学习驱动是不行的了!
2007-10-29 20:30
0
雪    币: 209
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
我也遇到了这样问题:
我原先的程序用SendMessage和Key_event()都可以对IM软件操作的,而且是善意的操作,现在瑞星自做聪明,搞了个帐号保险柜,把IM保护起来,Hook了WM_GETMESSAGE和WM_KEYVBOARD消息,造成我现在的程序无法操作,不知有没有什么办法可以避开Hook?
2007-10-30 10:29
0
雪    币: 846
活跃值: (221)
能力值: (RANK:570 )
在线值:
发帖
回帖
粉丝
20
瑞星的主防貌似有后门
2007-10-30 11:47
0
雪    币: 248
活跃值: (42)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
楼上各位都是高人哪,不懂!!!
2007-10-30 12:22
0
雪    币: 209
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
顶一下,不要沉了,现在我的万能五笔输入法程序也无法对IM的个别输入框输入中文了,因为被瑞星拦截了,当焦点是IM输入框时,输入法程序就无法响应输入的字符,输入的字符就直接显示在IM的输入框上,因此怎么也无法输入中文。
2007-11-1 08:50
0
雪    币: 796
活跃值: (370)
能力值: ( LV9,RANK:380 )
在线值:
发帖
回帖
粉丝
23
最近我抓到一只小马,就算对方hook了一些函数,或者消息,对他都失效,因为这个马本身是*.hlp文件。。
2007-11-1 19:44
0
雪    币: 209
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
用马不行啊,会被杀毒软件认为是非法的程序,但我的程序是合法的,今天去万能五笔网站升级了一下输入法,新版的输入法已经解决了被瑞星拦截的问题,不知它是怎么实现的,哪位大虾能给点思路。
2007-11-2 15:10
0
雪    币: 209
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
通过对输入法程序的分析,我发现输入法的做法并没有过瑞星的Hook,只是用了WM_IME_CHAR消息对IM操作,这个瑞星好象没有Hook,用RootKit工具查看,发现瑞星是Hook SSDT中的NTUserSendInput和NtUserMessafeCall,这两个Hook使我的软件无法对聊天软件进行按键模拟输入和发消息给聊天程序,进入Ring0对其恢复应该可以防止被Hook,但是驱动我不熟,不知还有什么其他方法可以过瑞星的Hook?
2007-11-7 11:40
0
游客
登录 | 注册 方可回帖
返回
//