[原创]谈谈对于SSDT中的API进行双层HOOK的通用处理模式-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]谈谈对于SSDT中的API进行双层HOOK的通用处理模式

发表于: 2008-5-13 16:32 9586

[原创]谈谈对于SSDT中的API进行双层HOOK的通用处理模式

HSQ

活跃值

8

2008-5-13 16:32

9586

HOOK的确是门艺术，在对抗中求生存，感觉很好。。。
此处，只是说一下处理是的思路，不提供完整源码

登录后可查看完整内容

[注意]看雪招聘，专注安全领域的专业人才平台！

上传的附件：

谈谈对于SSDT中的API进行双层HOOK的通用处理模式.rar （1.15kb，151次下载）

收藏・0

免费・7

支持

分享

赞赏记录

参与人

雪币

留言

时间

Youlor

为你点赞~

2024-1-3 03:29

伟叔叔

为你点赞~

2023-10-27 00:03

QinBeast

为你点赞~

2023-8-2 00:28

PLEBFE

为你点赞~

2023-8-1 00:07

shinratensei

为你点赞~

2023-7-8 00:56

心游尘世外

为你点赞~

2023-6-30 00:14

飘零丶

为你点赞~

2023-6-20 00:33

查看更多

最新回复 (12)
hfyy 雪币： 235 活跃值： (23) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 122 粉丝 2 关注私信	hfyy 2 2 楼学习了为什么还用ssdt hook呢直接inline hook不可以吗感觉ssdt太显眼了 2008-5-13 16:47 0
HSQ 雪币： 388 活跃值： (235) 能力值： ( LV13，RANK：330 ) 在线值：发帖 36 回帖 332 粉丝 7 关注私信	HSQ 8 3 楼 ssdt是故意做样子的,迷惑而已. 真正的目的是用inline hook, 由于我的inline hook无法检测出来,让人检测到ssdt HOOK狂喜，而忘了还有真正的HOOK在该是，这应该是技术上的欺骗吧 2008-5-13 17:05 0
aigozi 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	aigozi 4 楼感觉这个办法,欺骗得了点白痴类型的，对于玩电脑, 可能就不好办了.但是你的思路很不错..我也学习过ROKKIT if(HookSSDTZwQuerySystemInformation!=TempCheckInSSDTSpace) 这也太明显了吧,处理得不怎么样. 2008-5-13 17:21 0
hfyy 雪币： 235 活跃值： (23) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 122 粉丝 2 关注私信	hfyy 2 5 楼这是心里战......... 感觉现在还是inline hook比较难弄楼主在哪inline hook？前5个nop么还是深层inline hook 2008-5-13 17:47 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 6 楼这么厉害的INLINE？ memcmp检测不出来的inline hook？挂了缺页中断？ 2008-5-13 17:47 0
HSQ 雪币： 388 活跃值： (235) 能力值： ( LV13，RANK：330 ) 在线值：发帖 36 回帖 332 粉丝 7 关注私信	HSQ 8 7 楼其实，我处理inline hook是借助一个反汇编引擎，自己动态解析被挂钩API内部指令，进行更深层次的HOOK，于是memcmp检测不出来那是很自然的事。也没有什么神奇的，就是进入更深层次的HOOK，不再停留于表面。有时间的话，我打算让他支持inline层次基本设置，通过动态调整层次级别，尽量让他能通用于所有API。我觉得通用是最重要的，要是得为每个要inline hook重新编码，HOOK多了，人可受不了。 “ if(HookSSDTZwQuerySystemInformation!=TempCheckInSSDTSpace) 这也太明显了吧,处理得不怎么样.” 置于这个也没太在意，要是显眼的话，简单的XOR下不就解决了，我不可能手把手的教，有些东西需要我们自己去领悟和创新，不要局限于他人的表面之词。^_^ 2008-5-14 18:57 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 8 楼无非就是使用里面的调用（比如CALL指令）来进行所谓“深层次”的HOOK吧。你自己把ANIT ROOTKIT作者想得太傻了，早就有ROOTKIT用过了，ANIT-ROOTKIT当然也就会有防范。本人自用的HOOK检测引擎（已经实现），是递归检测指定代码,对比被执行的前M条指令、N层深的CALL涉及的代码，另外使用VM来虚拟执行待检测代码目标代码前X条指令来检查执行流异常转移，你那种小把戏早就测试过，基本废掉更不用说其他专业点的ANIT-ROOTKIT作者 2008-5-14 19:17 0
洋洋洒洒雪币： 249 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 6 回帖 110 粉丝 0 关注私信	洋洋洒洒 9 楼映射目标文件对比代码..检测恢复都简单着 2008-5-14 20:17 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 10 楼原始文件可能打不开或者内容明显错误，你的程序就不工作了？ 2008-5-14 20:46 0
HSQ 雪币： 388 活跃值： (235) 能力值： ( LV13，RANK：330 ) 在线值：发帖 36 回帖 332 粉丝 7 关注私信	HSQ 8 11 楼原来是这样，再一次火星人了 2008-5-14 20:49 0
洋洋洒洒雪币： 249 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 6 回帖 110 粉丝 0 关注私信	洋洋洒洒 12 楼不能打开内容明显错误都有猫腻就算检测到了 2008-5-14 22:50 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 13 楼给你伪造个内核文件，去检测吧 2008-5-14 23:33 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

HSQ

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区