[求助]关于过瑞星和咔吧的HOOK!-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]关于过瑞星和咔吧的HOOK!

2007-10-28 14:38 11467

[求助]关于过瑞星和咔吧的HOOK!

壹只老虎

2007-10-28 14:38

11467

瑞星HOOK了writeprocessmemory和createremotememory!
卡吧直接把地址给指向一个无效的地址!
不知道怎么过这两个东西!

我参考一些资料后的想法是:
复制一个ntdll.dll和kernell32.dll,然后加栽它,获取里面的API函数地址.

不知道这个办法行不行,请各位指点指点!
如果不行,有没有什么简单的办法可以解决这个问题
条件是:不停止卡吧或者瑞星的运行!

谢谢!

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・1

点赞・0

打赏

最新回复 (24)
大菜一号雪币： 424 活跃值： (10) 能力值： ( LV9，RANK：850 ) 在线值：发帖 58 回帖 1519 粉丝 0 关注私信	大菜一号 21 2007-10-28 15:26 2 楼 0 呀哈哈哈哈``` 老虎哥还是没有找到方法么？哦呵。上次帮你测试了，不知道你hook和瑞星hook哪个再厉害些，试试
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 703 粉丝 3 关注私信	壹只老虎 7 2007-10-28 19:16 3 楼 0 瑞星是怎么HOOK的? 我可没HOOK!
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3744 粉丝 15 关注私信	forgot 26 2007-10-28 19:52 4 楼 0 没用啊，ZwXXXXX还有一层
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 184 回帖 3569 粉丝 21 关注私信	笨笨雄 14 2007-10-28 20:06 5 楼 0 http://www.rootkit.com/newsread.php?newsid=689 try it
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 703 粉丝 3 关注私信	壹只老虎 7 2007-10-28 20:39 6 楼 0 下面就sysenter了吧! 不进内核难道就没办法了
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 703 粉丝 3 关注私信	壹只老虎 7 2007-10-28 20:40 7 楼 0 3QU,SEE SEE
sudami 雪币： 709 活跃值： (2270) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 69 回帖 1584 粉丝 61 关注私信	sudami 25 2007-10-28 21:45 8 楼 0 跟IS一样,自己读取真实的ntoskrnl.exe中的内容, 重定位, 调用之, 每次调用前都检测并恢复一遍. 老虎,这个可以不?
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1232 粉丝 5 关注私信	foxabu 13 2007-10-29 01:59 9 楼 0 这个显然不行的。 NtOpenThread就直接给返回False了。其实为了读写内存只要把自己的代码放进去执行问题就解决了。我卖弄一下哈：从Section（不是PE那个哈，是windows kernel那个）的角度出发。rootkit有相关文章。点到为止
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 703 粉丝 3 关注私信	壹只老虎 7 2007-10-29 07:03 10 楼 0 http://www.rootkit.com/newsread.php?newsid=778 只找到这个.....
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 184 回帖 3569 粉丝 21 关注私信	笨笨雄 14 2007-10-29 11:54 11 楼 0 他的意思应该是 NTSTATUS ZwMapViewOfSection( IN HANDLE SectionHandle, IN HANDLE ProcessHandle, IN OUT PVOID *BaseAddress, IN ULONG ZeroBits, IN ULONG CommitSize, IN OUT PLARGE_INTEGER SectionOffset OPTIONAL, IN OUT PSIZE_T ViewSize, IN SECTION_INHERIT InheritDisposition, IN ULONG AllocationType, IN ULONG Protect ); 要不就看看能不能玩句柄复制或者写驱动进R0搞，爱怎么搞怎么搞
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1232 粉丝 5 关注私信	foxabu 13 2007-10-29 12:08 12 楼 0 问题是对于主动防御的软件早就把驱动加载放到拦截的名单里面. 所以还是Ring3 方法比较实际除非不是为了搞马.
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 184 回帖 3569 粉丝 21 关注私信	笨笨雄 14 2007-10-29 12:27 13 楼 0 createfile 打开物理内存 setsysteminformation ZwSystemDebugControl 用这些搞吧要不从文件系统入手改写文件另外还有最近一直很苦恼的LPC，让系统服务程序帮你做事，当然前提是系统提供这样的服务。例如WMI就很有前途，可惜我不熟。这个估计也可以过主防。
默数悲伤雪币： 297 活跃值： (10) 能力值： ( LV9，RANK：250 ) 在线值：发帖 10 回帖 130 粉丝 0 关注私信	默数悲伤 6 2007-10-29 13:55 14 楼 0 貌似这个应该可行.
zjjmjtoot 雪币： 299 活跃值： (25) 能力值： ( LV10，RANK：170 ) 在线值：发帖 13 回帖 159 粉丝 0 关注私信	zjjmjtoot 4 2007-10-29 16:12 15 楼 0 这几个办法已经全部被卡巴7防住，Vxk的办法是Beep服务。
大菜一号雪币： 424 活跃值： (10) 能力值： ( LV9，RANK：850 ) 在线值：发帖 58 回帖 1519 粉丝 0 关注私信	大菜一号 21 2007-10-29 17:03 16 楼 0 Vxk?
北极星2003 雪币： 1852 活跃值： (504) 能力值： (RANK：1010 ) 在线值：发帖 76 回帖 1222 粉丝 10 关注私信	北极星2003 25 2007-10-29 18:49 17 楼 0 能够从ring3上操作的东西，在ring0都可以封杀，所以在ring3再怎么搞意义都不是很大
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 703 粉丝 3 关注私信	壹只老虎 7 2007-10-29 20:30 18 楼 0 看来,现在不学习驱动是不行的了!
追雪人雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	追雪人 2007-10-30 10:29 19 楼 0 我也遇到了这样问题：我原先的程序用SendMessage和Key_event()都可以对IM软件操作的，而且是善意的操作，现在瑞星自做聪明，搞了个帐号保险柜，把IM保护起来，Hook了WM_GETMESSAGE和WM_KEYVBOARD消息，造成我现在的程序无法操作，不知有没有什么办法可以避开Hook？
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 184 回帖 3569 粉丝 21 关注私信	笨笨雄 14 2007-10-30 11:47 20 楼 0 瑞星的主防貌似有后门
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 230 粉丝 0 关注私信	zhtjia 2007-10-30 12:22 21 楼 0 楼上各位都是高人哪，不懂！！！
追雪人雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	追雪人 2007-11-1 08:50 22 楼 0 顶一下，不要沉了，现在我的万能五笔输入法程序也无法对IM的个别输入框输入中文了，因为被瑞星拦截了，当焦点是IM输入框时，输入法程序就无法响应输入的字符，输入的字符就直接显示在IM的输入框上，因此怎么也无法输入中文。
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 135 回帖 1135 粉丝 18 关注私信	Winker 8 2007-11-1 19:44 23 楼 0 最近我抓到一只小马，就算对方hook了一些函数，或者消息，对他都失效，因为这个马本身是*.hlp文件。。
追雪人雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	追雪人 2007-11-2 15:10 24 楼 0 用马不行啊，会被杀毒软件认为是非法的程序，但我的程序是合法的，今天去万能五笔网站升级了一下输入法，新版的输入法已经解决了被瑞星拦截的问题，不知它是怎么实现的，哪位大虾能给点思路。
追雪人雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	追雪人 2007-11-7 11:40 25 楼 0 通过对输入法程序的分析，我发现输入法的做法并没有过瑞星的Hook,只是用了WM_IME_CHAR消息对IM操作，这个瑞星好象没有Hook，用RootKit工具查看，发现瑞星是Hook SSDT中的NTUserSendInput和NtUserMessafeCall，这两个Hook使我的软件无法对聊天软件进行按键模拟输入和发消息给聊天程序，进入Ring0对其恢复应该可以防止被Hook,但是驱动我不熟，不知还有什么其他方法可以过瑞星的Hook？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

壹只老虎

发帖

703

回帖

290

RANK

关注

私信

他的文章

[分享]crackme-20101114

[原创]exploit me挑战赛-壹只老虎第一题结果

[求助]关于过瑞星和咔吧的HOOK!

[求助]Win32ASM在变量定义的时候出现的奇怪问题===已解决

关于我们

联系我们

企业服务

看雪公众号

最新回复 (24)
大菜一号雪币： 424 活跃值： (10) 能力值： ( LV9，RANK：850 ) 在线值：发帖 58 回帖 1519 粉丝 0 关注私信	大菜一号 21 2007-10-28 15:26 2 楼 0 呀哈哈哈哈``` 老虎哥还是没有找到方法么？哦呵。上次帮你测试了，不知道你hook和瑞星hook哪个再厉害些，试试
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 703 粉丝 3 关注私信	壹只老虎 7 2007-10-28 19:16 3 楼 0 瑞星是怎么HOOK的? 我可没HOOK!
forgot 雪币： 6073 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3744 粉丝 15 关注私信	forgot 26 2007-10-28 19:52 4 楼 0 没用啊，ZwXXXXX还有一层
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 184 回帖 3569 粉丝 21 关注私信	笨笨雄 14 2007-10-28 20:06 5 楼 0 http://www.rootkit.com/newsread.php?newsid=689 try it
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 703 粉丝 3 关注私信	壹只老虎 7 2007-10-28 20:39 6 楼 0 下面就sysenter了吧! 不进内核难道就没办法了
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 703 粉丝 3 关注私信	壹只老虎 7 2007-10-28 20:40 7 楼 0 3QU,SEE SEE
sudami 雪币： 709 活跃值： (2270) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 69 回帖 1584 粉丝 61 关注私信	sudami 25 2007-10-28 21:45 8 楼 0 跟IS一样,自己读取真实的ntoskrnl.exe中的内容, 重定位, 调用之, 每次调用前都检测并恢复一遍. 老虎,这个可以不?
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1232 粉丝 5 关注私信	foxabu 13 2007-10-29 01:59 9 楼 0 这个显然不行的。 NtOpenThread就直接给返回False了。其实为了读写内存只要把自己的代码放进去执行问题就解决了。我卖弄一下哈：从Section（不是PE那个哈，是windows kernel那个）的角度出发。rootkit有相关文章。点到为止
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 703 粉丝 3 关注私信	壹只老虎 7 2007-10-29 07:03 10 楼 0 http://www.rootkit.com/newsread.php?newsid=778 只找到这个.....
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 184 回帖 3569 粉丝 21 关注私信	笨笨雄 14 2007-10-29 11:54 11 楼 0 他的意思应该是 NTSTATUS ZwMapViewOfSection( IN HANDLE SectionHandle, IN HANDLE ProcessHandle, IN OUT PVOID *BaseAddress, IN ULONG ZeroBits, IN ULONG CommitSize, IN OUT PLARGE_INTEGER SectionOffset OPTIONAL, IN OUT PSIZE_T ViewSize, IN SECTION_INHERIT InheritDisposition, IN ULONG AllocationType, IN ULONG Protect ); 要不就看看能不能玩句柄复制或者写驱动进R0搞，爱怎么搞怎么搞
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1232 粉丝 5 关注私信	foxabu 13 2007-10-29 12:08 12 楼 0 问题是对于主动防御的软件早就把驱动加载放到拦截的名单里面. 所以还是Ring3 方法比较实际除非不是为了搞马.
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 184 回帖 3569 粉丝 21 关注私信	笨笨雄 14 2007-10-29 12:27 13 楼 0 createfile 打开物理内存 setsysteminformation ZwSystemDebugControl 用这些搞吧要不从文件系统入手改写文件另外还有最近一直很苦恼的LPC，让系统服务程序帮你做事，当然前提是系统提供这样的服务。例如WMI就很有前途，可惜我不熟。这个估计也可以过主防。
默数悲伤雪币： 297 活跃值： (10) 能力值： ( LV9，RANK：250 ) 在线值：发帖 10 回帖 130 粉丝 0 关注私信	默数悲伤 6 2007-10-29 13:55 14 楼 0 貌似这个应该可行.
zjjmjtoot 雪币： 299 活跃值： (25) 能力值： ( LV10，RANK：170 ) 在线值：发帖 13 回帖 159 粉丝 0 关注私信	zjjmjtoot 4 2007-10-29 16:12 15 楼 0 这几个办法已经全部被卡巴7防住，Vxk的办法是Beep服务。
大菜一号雪币： 424 活跃值： (10) 能力值： ( LV9，RANK：850 ) 在线值：发帖 58 回帖 1519 粉丝 0 关注私信	大菜一号 21 2007-10-29 17:03 16 楼 0 Vxk?
北极星2003 雪币： 1852 活跃值： (504) 能力值： (RANK：1010 ) 在线值：发帖 76 回帖 1222 粉丝 10 关注私信	北极星2003 25 2007-10-29 18:49 17 楼 0 能够从ring3上操作的东西，在ring0都可以封杀，所以在ring3再怎么搞意义都不是很大
壹只老虎雪币： 112 活跃值： (16) 能力值： ( LV9，RANK：290 ) 在线值：发帖 38 回帖 703 粉丝 3 关注私信	壹只老虎 7 2007-10-29 20:30 18 楼 0 看来,现在不学习驱动是不行的了!
追雪人雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	追雪人 2007-10-30 10:29 19 楼 0 我也遇到了这样问题：我原先的程序用SendMessage和Key_event()都可以对IM软件操作的，而且是善意的操作，现在瑞星自做聪明，搞了个帐号保险柜，把IM保护起来，Hook了WM_GETMESSAGE和WM_KEYVBOARD消息，造成我现在的程序无法操作，不知有没有什么办法可以避开Hook？
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 184 回帖 3569 粉丝 21 关注私信	笨笨雄 14 2007-10-30 11:47 20 楼 0 瑞星的主防貌似有后门
zhtjia 雪币： 248 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 43 回帖 230 粉丝 0 关注私信	zhtjia 2007-10-30 12:22 21 楼 0 楼上各位都是高人哪，不懂！！！
追雪人雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	追雪人 2007-11-1 08:50 22 楼 0 顶一下，不要沉了，现在我的万能五笔输入法程序也无法对IM的个别输入框输入中文了，因为被瑞星拦截了，当焦点是IM输入框时，输入法程序就无法响应输入的字符，输入的字符就直接显示在IM的输入框上，因此怎么也无法输入中文。
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 135 回帖 1135 粉丝 18 关注私信	Winker 8 2007-11-1 19:44 23 楼 0 最近我抓到一只小马，就算对方hook了一些函数，或者消息，对他都失效，因为这个马本身是*.hlp文件。。
追雪人雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	追雪人 2007-11-2 15:10 24 楼 0 用马不行啊，会被杀毒软件认为是非法的程序，但我的程序是合法的，今天去万能五笔网站升级了一下输入法，新版的输入法已经解决了被瑞星拦截的问题，不知它是怎么实现的，哪位大虾能给点思路。
追雪人雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	追雪人 2007-11-7 11:40 25 楼 0 通过对输入法程序的分析，我发现输入法的做法并没有过瑞星的Hook,只是用了WM_IME_CHAR消息对IM操作，这个瑞星好象没有Hook，用RootKit工具查看，发现瑞星是Hook SSDT中的NTUserSendInput和NtUserMessafeCall，这两个Hook使我的软件无法对聊天软件进行按键模拟输入和发消息给聊天程序，进入Ring0对其恢复应该可以防止被Hook,但是驱动我不熟，不知还有什么其他方法可以过瑞星的Hook？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复