[原创]简单inline hook ObReferenceObjectByHandle保护进程和屏蔽文件执行-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]简单inline hook ObReferenceObjectByHandle保护进程和屏蔽文件执行

发表于: 2008-5-30 19:16 39063

[原创]简单inline hook ObReferenceObjectByHandle保护进程和屏蔽文件执行

Sysnap

活跃值

14

2008-5-30 19:16

39063

查看主题内容

收藏・38

免费・7

支持

分享

最新回复 (38) ◀ 1 2
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 26 楼 PsProcess已经导出了，所以只需声明一下就可以了，就像搞SSDT时需要声明KeServiceDescriptorTable一样。顺便再把此帖顶出来，楼主闭关许久，现在功力大增啊 2009-3-5 15:57 0
yaolibing 雪币： 252 活跃值： (13) 能力值： ( LV3，RANK：20 ) 在线值：发帖 21 回帖 68 粉丝 0 关注私信	yaolibing 27 楼请楼上再解释一下。怎么知道它们也经导出啦呢，比如没有导出的话就要暴力找，导出的话就可以用MmGetSystemRoutineAddress()得到地址。是不是就看ntoskernel的导出表？ 2009-3-5 18:10 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 28 楼正确！看导出表就可以了，但并不是所有导出的函数在DDK中都有声明，有时候就得自己声明了 2009-3-5 18:26 0
marslord 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 18 粉丝 0 关注私信	marslord 29 楼会不会花掉啊? 2009-3-8 01:58 0
debugii 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 11 粉丝 0 关注私信	debugii 30 楼这个HOOK会有线程来操作它吗？有的话我是否先要判断操作它的类型是线程还是进程? 2009-3-8 02:43 0
waynelue 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	waynelue 31 楼留名学习 2009-3-8 15:30 0
gzlgzl 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	gzlgzl 32 楼 //不匹配的..调用原来的地址+5个字节.ObReferenceObjectByHandle正常执行 mov eax,ObReferenceObjectByHandle add eax,5 jmp eax +++++++++++++++++++++++++++++++++++++++++++++++++++++++++ 我纳闷:没有考虑"调用原来的地址+5"是不是指令的开头啊?如果一个函数HOOK_FUN以下指令开头: .text:006C7E10 HOOK_FUN proc near .text:006C7E10 push 0FFFFFFFFh .text:006C7E12 push offset loc_6E106F .text:006C7E17 mov eax, large fs:0 .text:006C7E1D push eax 如果这样: mov eax,HOOK_FUN add eax,5 jmp eax 必蹦无疑吧? 所以楼主是不是会误导初学者? 是不是这方法是不是没有考虑通用性? 谢谢! 2009-3-11 21:55 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 33 楼必蹦无疑吧? 所以楼主是不是会误导初学者? 是不是这方法是不是没有考虑通用性? 谢谢! 嗯...你说得对.这份代码的确有问题,,但当时水平就这样...但误导初学者可能间接有吧..但我本意不是误导人..因为我也是初学者.. 2009-3-12 07:45 0
feierin 雪币： 474 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 314 粉丝 0 关注私信	feierin 34 楼期待楼主把代码写得更完美一点 2009-3-12 12:36 0
vieripreng 雪币： 218 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	vieripreng 35 楼学习，最近很想这方面的东西 2009-5-20 08:54 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 36 楼对这样不停地hook 恢复 hook 恢复不是很好，我也推荐 mycode 五个字节 jmp 2009-7-26 19:46 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 37 楼这个问题在这一帖http://bbs.pediy.com/showthread.php?t=93570谈过了…… 2009-7-26 20:27 0
冰蓝色烟雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	冰蓝色烟 38 楼很强大的教程，慢慢看看，学习了 2009-7-26 21:53 0
kieepog 雪币： 135 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	kieepog 39 楼强帖，要好好研究下 2009-8-2 17:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

Sysnap

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

//