[求助]关于过瑞星和咔吧的HOOK!-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]关于过瑞星和咔吧的HOOK!

发表于: 2007-10-28 14:38 12012

[求助]关于过瑞星和咔吧的HOOK!

壹只老虎

2007-10-28 14:38

12012

瑞星HOOK了writeprocessmemory和createremotememory!
卡吧直接把地址给指向一个无效的地址!
不知道怎么过这两个东西!

我参考一些资料后的想法是:
复制一个ntdll.dll和kernell32.dll,然后加栽它,获取里面的API函数地址.

不知道这个办法行不行,请各位指点指点!
如果不行,有没有什么简单的办法可以解决这个问题
条件是:不停止卡吧或者瑞星的运行!

谢谢!

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・1

免费・0

支持

最新回复 (24)
大菜一号雪币： 424 活跃值： (10) 能力值： ( LV9，RANK：850 ) 在线值：发帖 58 回帖 1536 粉丝 0 关注私信	大菜一号 21 2 楼呀哈哈哈哈``` 老虎哥还是没有找到方法么？哦呵。上次帮你测试了，不知道你hook和瑞星hook哪个再厉害些，试试 2007-10-28 15:26 0
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 709 粉丝 3 关注私信	壹只老虎 7 3 楼瑞星是怎么HOOK的? 我可没HOOK! 2007-10-28 19:16 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 4 楼没用啊，ZwXXXXX还有一层 2007-10-28 19:52 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 5 楼 http://www.rootkit.com/newsread.php?newsid=689 try it 2007-10-28 20:06 0
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 709 粉丝 3 关注私信	壹只老虎 7 6 楼下面就sysenter了吧! 不进内核难道就没办法了 2007-10-28 20:39 0
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 709 粉丝 3 关注私信	壹只老虎 7 7 楼 3QU,SEE SEE 2007-10-28 20:40 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 8 楼跟IS一样,自己读取真实的ntoskrnl.exe中的内容, 重定位, 调用之, 每次调用前都检测并恢复一遍. 老虎,这个可以不? 2007-10-28 21:45 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 9 楼这个显然不行的。 NtOpenThread就直接给返回False了。其实为了读写内存只要把自己的代码放进去执行问题就解决了。我卖弄一下哈：从Section（不是PE那个哈，是windows kernel那个）的角度出发。rootkit有相关文章。点到为止 2007-10-29 01:59 0
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 709 粉丝 3 关注私信	壹只老虎 7 10 楼 http://www.rootkit.com/newsread.php?newsid=778 只找到这个..... 2007-10-29 07:03 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 11 楼他的意思应该是 NTSTATUS ZwMapViewOfSection( IN HANDLE SectionHandle, IN HANDLE ProcessHandle, IN OUT PVOID *BaseAddress, IN ULONG ZeroBits, IN ULONG CommitSize, IN OUT PLARGE_INTEGER SectionOffset OPTIONAL, IN OUT PSIZE_T ViewSize, IN SECTION_INHERIT InheritDisposition, IN ULONG AllocationType, IN ULONG Protect ); 要不就看看能不能玩句柄复制或者写驱动进R0搞，爱怎么搞怎么搞 2007-10-29 11:54 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 12 楼问题是对于主动防御的软件早就把驱动加载放到拦截的名单里面. 所以还是Ring3 方法比较实际除非不是为了搞马. 2007-10-29 12:08 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 13 楼 createfile 打开物理内存 setsysteminformation ZwSystemDebugControl 用这些搞吧要不从文件系统入手改写文件另外还有最近一直很苦恼的LPC，让系统服务程序帮你做事，当然前提是系统提供这样的服务。例如WMI就很有前途，可惜我不熟。这个估计也可以过主防。 2007-10-29 12:27 0
默数悲伤雪币： 297 活跃值： (10) 能力值： ( LV9，RANK：250 ) 在线值：发帖 10 回帖 130 粉丝 0 关注私信	默数悲伤 6 14 楼貌似这个应该可行. 2007-10-29 13:55 0
zjjmjtoot 雪币： 299 活跃值： (25) 能力值： ( LV10，RANK：170 ) 在线值：发帖 13 回帖 159 粉丝 0 关注私信	zjjmjtoot 4 15 楼这几个办法已经全部被卡巴7防住，Vxk的办法是Beep服务。 2007-10-29 16:12 0
大菜一号雪币： 424 活跃值： (10) 能力值： ( LV9，RANK：850 ) 在线值：发帖 58 回帖 1536 粉丝 0 关注私信	大菜一号 21 16 楼 Vxk? 2007-10-29 17:03 0
北极星2003 雪币： 1852 活跃值： (504) 能力值： (RANK：1010 ) 在线值：发帖 86 回帖 1240 粉丝 12 关注私信	北极星2003 25 17 楼能够从ring3上操作的东西，在ring0都可以封杀，所以在ring3再怎么搞意义都不是很大 2007-10-29 18:49 0
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 709 粉丝 3 关注私信	壹只老虎 7 18 楼看来,现在不学习驱动是不行的了! 2007-10-29 20:30 0
追雪人雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	追雪人 19 楼我也遇到了这样问题：我原先的程序用SendMessage和Key_event()都可以对IM软件操作的，而且是善意的操作，现在瑞星自做聪明，搞了个帐号保险柜，把IM保护起来，Hook了WM_GETMESSAGE和WM_KEYVBOARD消息，造成我现在的程序无法操作，不知有没有什么办法可以避开Hook？ 2007-10-30 10:29 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 20 楼瑞星的主防貌似有后门 2007-10-30 11:47 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 21 楼楼上各位都是高人哪，不懂！！！ 2007-10-30 12:22 0
追雪人雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	追雪人 22 楼顶一下，不要沉了，现在我的万能五笔输入法程序也无法对IM的个别输入框输入中文了，因为被瑞星拦截了，当焦点是IM输入框时，输入法程序就无法响应输入的字符，输入的字符就直接显示在IM的输入框上，因此怎么也无法输入中文。 2007-11-1 08:50 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 23 楼最近我抓到一只小马，就算对方hook了一些函数，或者消息，对他都失效，因为这个马本身是*.hlp文件。。 2007-11-1 19:44 0
追雪人雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	追雪人 24 楼用马不行啊，会被杀毒软件认为是非法的程序，但我的程序是合法的，今天去万能五笔网站升级了一下输入法，新版的输入法已经解决了被瑞星拦截的问题，不知它是怎么实现的，哪位大虾能给点思路。 2007-11-2 15:10 0
追雪人雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	追雪人 25 楼通过对输入法程序的分析，我发现输入法的做法并没有过瑞星的Hook,只是用了WM_IME_CHAR消息对IM操作，这个瑞星好象没有Hook，用RootKit工具查看，发现瑞星是Hook SSDT中的NTUserSendInput和NtUserMessafeCall，这两个Hook使我的软件无法对聊天软件进行按键模拟输入和发消息给聊天程序，进入Ring0对其恢复应该可以防止被Hook,但是驱动我不熟，不知还有什么其他方法可以过瑞星的Hook？ 2007-11-7 11:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

壹只老虎

发帖

709

回帖

290

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (24)
大菜一号雪币： 424 活跃值： (10) 能力值： ( LV9，RANK：850 ) 在线值：发帖 58 回帖 1536 粉丝 0 关注私信	大菜一号 21 2 楼呀哈哈哈哈``` 老虎哥还是没有找到方法么？哦呵。上次帮你测试了，不知道你hook和瑞星hook哪个再厉害些，试试 2007-10-28 15:26 0
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 709 粉丝 3 关注私信	壹只老虎 7 3 楼瑞星是怎么HOOK的? 我可没HOOK! 2007-10-28 19:16 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 16 关注私信	forgot 26 4 楼没用啊，ZwXXXXX还有一层 2007-10-28 19:52 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 5 楼 http://www.rootkit.com/newsread.php?newsid=689 try it 2007-10-28 20:06 0
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 709 粉丝 3 关注私信	壹只老虎 7 6 楼下面就sysenter了吧! 不进内核难道就没办法了 2007-10-28 20:39 0
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 709 粉丝 3 关注私信	壹只老虎 7 7 楼 3QU,SEE SEE 2007-10-28 20:40 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 8 楼跟IS一样,自己读取真实的ntoskrnl.exe中的内容, 重定位, 调用之, 每次调用前都检测并恢复一遍. 老虎,这个可以不? 2007-10-28 21:45 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 9 楼这个显然不行的。 NtOpenThread就直接给返回False了。其实为了读写内存只要把自己的代码放进去执行问题就解决了。我卖弄一下哈：从Section（不是PE那个哈，是windows kernel那个）的角度出发。rootkit有相关文章。点到为止 2007-10-29 01:59 0
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 709 粉丝 3 关注私信	壹只老虎 7 10 楼 http://www.rootkit.com/newsread.php?newsid=778 只找到这个..... 2007-10-29 07:03 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 11 楼他的意思应该是 NTSTATUS ZwMapViewOfSection( IN HANDLE SectionHandle, IN HANDLE ProcessHandle, IN OUT PVOID *BaseAddress, IN ULONG ZeroBits, IN ULONG CommitSize, IN OUT PLARGE_INTEGER SectionOffset OPTIONAL, IN OUT PSIZE_T ViewSize, IN SECTION_INHERIT InheritDisposition, IN ULONG AllocationType, IN ULONG Protect ); 要不就看看能不能玩句柄复制或者写驱动进R0搞，爱怎么搞怎么搞 2007-10-29 11:54 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 12 楼问题是对于主动防御的软件早就把驱动加载放到拦截的名单里面. 所以还是Ring3 方法比较实际除非不是为了搞马. 2007-10-29 12:08 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 13 楼 createfile 打开物理内存 setsysteminformation ZwSystemDebugControl 用这些搞吧要不从文件系统入手改写文件另外还有最近一直很苦恼的LPC，让系统服务程序帮你做事，当然前提是系统提供这样的服务。例如WMI就很有前途，可惜我不熟。这个估计也可以过主防。 2007-10-29 12:27 0
默数悲伤雪币： 297 活跃值： (10) 能力值： ( LV9，RANK：250 ) 在线值：发帖 10 回帖 130 粉丝 0 关注私信	默数悲伤 6 14 楼貌似这个应该可行. 2007-10-29 13:55 0
zjjmjtoot 雪币： 299 活跃值： (25) 能力值： ( LV10，RANK：170 ) 在线值：发帖 13 回帖 159 粉丝 0 关注私信	zjjmjtoot 4 15 楼这几个办法已经全部被卡巴7防住，Vxk的办法是Beep服务。 2007-10-29 16:12 0
大菜一号雪币： 424 活跃值： (10) 能力值： ( LV9，RANK：850 ) 在线值：发帖 58 回帖 1536 粉丝 0 关注私信	大菜一号 21 16 楼 Vxk? 2007-10-29 17:03 0
北极星2003 雪币： 1852 活跃值： (504) 能力值： (RANK：1010 ) 在线值：发帖 86 回帖 1240 粉丝 12 关注私信	北极星2003 25 17 楼能够从ring3上操作的东西，在ring0都可以封杀，所以在ring3再怎么搞意义都不是很大 2007-10-29 18:49 0
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 709 粉丝 3 关注私信	壹只老虎 7 18 楼看来,现在不学习驱动是不行的了! 2007-10-29 20:30 0
追雪人雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	追雪人 19 楼我也遇到了这样问题：我原先的程序用SendMessage和Key_event()都可以对IM软件操作的，而且是善意的操作，现在瑞星自做聪明，搞了个帐号保险柜，把IM保护起来，Hook了WM_GETMESSAGE和WM_KEYVBOARD消息，造成我现在的程序无法操作，不知有没有什么办法可以避开Hook？ 2007-10-30 10:29 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 23 关注私信	笨笨雄 14 20 楼瑞星的主防貌似有后门 2007-10-30 11:47 0
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 232 粉丝 0 关注私信	zhtjia 21 楼楼上各位都是高人哪，不懂！！！ 2007-10-30 12:22 0
追雪人雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	追雪人 22 楼顶一下，不要沉了，现在我的万能五笔输入法程序也无法对IM的个别输入框输入中文了，因为被瑞星拦截了，当焦点是IM输入框时，输入法程序就无法响应输入的字符，输入的字符就直接显示在IM的输入框上，因此怎么也无法输入中文。 2007-11-1 08:50 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 23 楼最近我抓到一只小马，就算对方hook了一些函数，或者消息，对他都失效，因为这个马本身是*.hlp文件。。 2007-11-1 19:44 0
追雪人雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	追雪人 24 楼用马不行啊，会被杀毒软件认为是非法的程序，但我的程序是合法的，今天去万能五笔网站升级了一下输入法，新版的输入法已经解决了被瑞星拦截的问题，不知它是怎么实现的，哪位大虾能给点思路。 2007-11-2 15:10 0
追雪人雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	追雪人 25 楼通过对输入法程序的分析，我发现输入法的做法并没有过瑞星的Hook,只是用了WM_IME_CHAR消息对IM操作，这个瑞星好象没有Hook，用RootKit工具查看，发现瑞星是Hook SSDT中的NTUserSendInput和NtUserMessafeCall，这两个Hook使我的软件无法对聊天软件进行按键模拟输入和发消息给聊天程序，进入Ring0对其恢复应该可以防止被Hook,但是驱动我不熟，不知还有什么其他方法可以过瑞星的Hook？ 2007-11-7 11:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复