[原创]简单inline hook ObReferenceObjectByHandle保护进程和屏蔽文件执行-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]简单inline hook ObReferenceObjectByHandle保护进程和屏蔽文件执行

发表于: 2008-5-30 19:16 38908

[原创]简单inline hook ObReferenceObjectByHandle保护进程和屏蔽文件执行

Sysnap

2008-5-30 19:16

38908

// ***************************************************************
//  Author:  Sysnap
//  Link: http://hi.baidu.com/sysnap
//
// ***************************************************************

好久没弄hook了.最近看到还是很多人弄,而且蓝屏,就把我以前的inline hook的code改下,于是有此文,呵呵,给跟我一样的菜鸟科普用的,高手飘过
现在一般工具的进程保护可能是hook NtOpenProcess和NtTerminateProcess...其实关于进程的话题很多,印象中Sudami同学对这方面面比较懂.下面的代码可以保护进程
WsysCheck--->>>failed
IceSword---->>>failed
Gmer-->>>failed
RUK--->>>failed
SnipeSword---->>>failde(不包括内存清0)
其实这只是简单的进程保护,唯一的好处就是hook导出函数ObReferenceObjectByHandle,稳定...而结束之的方法也有很多,比如内存清0..PspTerminateProcess...PspExitThread等等...其中很多很强大的办法很多anti-rootkit的工具没使用,我想可能就是为了稳定吧.的确
另外,你可以用这个code来屏蔽某些程序的运行...其实这个code的效果就是已经运行的保护其进程,没有运行的屏蔽其运行....代码写得很草/.对系统性能也有一定影响,自己根据需要再改下吧...
代码就是inline hook ObReferenceObjectByHandle使其跳到T_ObReferenceObjectByHandle中
__declspec(naked)  T_ObReferenceObjectByHandle(
IN HANDLE  Handle,
IN ACCESS_MASK  DesiredAccess,
IN POBJECT_TYPE  ObjectType  OPTIONAL,
IN KPROCESSOR_MODE  AccessMode,
OUT PVOID  *Object,
OUT POBJECT_HANDLE_INFORMATION  HandleInformation  OPTIONAL
)
{

_asm
{

mov    edi,edi------>>>执行被修改的前5个字节
push ebp
mov    ebp,esp

push [ebp+0x1c]------>>>参数压栈
push [ebp+0x18]
push [ebp+0x14]
push [ebp+0x10]
push [ebp+0xc]
push [ebp+8]

call MyObReferenceObjectByHandle  -------->>>>调用我们的功能函数
cmp eax,1
jz    end

mov eax,ObReferenceObjectByHandle -------->>>>正常运行原来的函数
add eax,5
jmp eax
end:
mov [ebp+8],-1------>>>>如果不想让这个函数正常运行..无效句柄就可以
mov eax,ObReferenceObjectByHandle
add eax,5
jmp eax

}
  对原来函数是否要让其正常运行的判断由MyObReferenceObjectByHandle完成

  int  MyObReferenceObjectByHandle(
IN HANDLE  Handle,
IN ACCESS_MASK  DesiredAccess,
IN POBJECT_TYPE  ObjectType  OPTIONAL,
IN KPROCESSOR_MODE  AccessMode,
OUT PVOID  *Object,
OUT POBJECT_HANDLE_INFORMATION  HandleInformation  OPTIONAL
)
{

PEPROCESS Process;
KIRQL  oldIrql;
int JmpOffSet;
unsigned char Code[5]={0x8b,0xff,0x55,0x8b,0xec};
unsigned char JmpCode[5] = { 0xe9, 0x00, 0x00, 0x00, 0x00 };

if(*PsProcessType==ObjectType)//判断句柄所属对象类型是不是*PsProcessType
{

     oldIrql = KeRaiseIrqlToDpcLevel();
__asm
{
CLI
MOV eax, CR0
AND eax, NOT 10000H
MOV CR0, eax
}

RtlCopyMemory ( ObReferenceObjectByHandle, Code, 5 );//恢复inline hook以便正确调用ObReferenceObjectByHandle
///////////////////////////////////////////////////////////////////////////////////////////////////////////////

ObReferenceObjectByHandle(Handle,DesiredAccess,ObjectType,AccessMode,&Process,NULL);
if (_stricmp((char*)((char*)Process+0x174), ProtectName) == 0 )//判断是不是我们要保护的进程
   {
   JmpOffSet= (char*)T_ObReferenceObjectByHandle - (char*)ObReferenceObjectByHandle - 5;
   RtlCopyMemory ( JmpCode+1, &JmpOffSet, 4 );
   RtlCopyMemory ( ObReferenceObjectByHandle, JmpCode, 5 );


__asm
{
   MOV eax, CR0
   OR eax, 10000H
   MOV CR0, eax
   STI
}

KeLowerIrql(oldIrql);
return 1;

   }
///////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//否则再次HOOK这个函数
JmpOffSet= (char*)T_ObReferenceObjectByHandle - (char*)ObReferenceObjectByHandle - 5;
RtlCopyMemory ( JmpCode+1, &JmpOffSet, 4 );
RtlCopyMemory ( ObReferenceObjectByHandle, JmpCode, 5 );

__asm
{
MOV eax, CR0
OR eax, 10000H
MOV CR0, eax
STI
}

KeLowerIrql(oldIrql);

}

return 0;
}

[课程]FART 脱壳王！加量不加价！FART作者讲授！

上传的附件：

未命名1.jpg （34.39kb，3743次下载）
未命名2.jpg （11.74kb，3727次下载）
未命名3.jpg （28.72kb，3747次下载）
未命名4.jpg （22.42kb，3741次下载）
sysnap.rar （2.92kb，909次下载）

收藏・38

免费・7

支持

最新回复 (38) 1 2 ▶
winnip 雪币： 145 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 100 回帖 902 粉丝 0 关注私信	winnip 1 2 楼沙发 ............ 2008-5-30 19:22 0
wowzjj 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 39 粉丝 0 关注私信	wowzjj 3 楼先占楼再看。 2008-5-30 19:58 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 4 楼 hook ObReferenceObjectByHandle可以拒绝很多东西，不光是进程方面，只要和对象相关的都可以过滤掉。。。不过你的处理流程有点儿烦琐，里面的反复恢复有可能会出问题。写的很好哦。顶下~~~ 2008-5-30 20:13 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 5 楼的确/////使用被自己HOOK的函数的确是比较麻烦....我也想不到更好的办法....呵呵 2008-5-30 20:17 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 6 楼俺是这样处理的，不需要太烦琐： -------------------------------------- VOID fake_ObReferenceObjectByHandle ( IN HANDLE Handle, IN ACCESS_MASK DesiredAccess, IN POBJECT_TYPE ObjectType, IN KPROCESSOR_MODE AccessMode, OUT PVOID *Object, OUT POBJECT_HANDLE_INFORMATION HandleInformation ) { NTSTATUS status; WCHAR Name[300]; BOOL bFuck = FALSE; PEPROCESS Process = NULL; PUCHAR currentProcessName = NULL; HANDLE ProcessID = NULL; // the owner process status = OldObReferenceObjectByHandle( Handle, DesiredAccess, ObjectType, AccessMode, Object, HandleInformation); _asm pushad _asm pushfd // // 过滤操作 // end: _asm popfd _asm popad skip: _asm nop } 2008-5-30 20:26 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 7 楼谢谢sudami ........OldObReferenceObjectByHandle这应该是个地址吧....但inline hook后....ObReferenceObjectByHandle地址没变....只是前面几个字节变了... 2008-5-30 20:50 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 55 关注私信	combojiang 26 8 楼很好，很强大 2008-5-30 22:33 0
hfyy 雪币： 235 活跃值： (23) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 122 粉丝 2 关注私信	hfyy 2 9 楼问个问题 MyObReferenceObjectByHandle 不会被page out么 2008-5-31 09:33 0
lOOp 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 260 粉丝 0 关注私信	lOOp 10 楼 nice 2008-5-31 15:57 0
hfyy 雪币： 235 活跃值： (23) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 122 粉丝 2 关注私信	hfyy 2 11 楼楼主没注意到我这个问题吧重新发一下希望解答一下谢谢 2008-6-1 16:27 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 12 楼照你那么说岂不是所有驱动程序都要自己分非分页内存.....一般不会拉....如果你要保险..也可以lock下....反正在我机器试了那么多次没事... 2008-6-1 17:18 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 13 楼可能其他inline hook会把他们的函数放在非分页内存里...这样有一个最大的好处就是可以卸栽自己的驱动.....一般情况下我们的驱动程序不会被换出..你要换出可以加编译指令 #pragma alloc_text(PAGE, MyFunction)就好....还有一般驱动要运行在非分页是因为其代码运行于或高于DISPATCH_LEVEL的IRQL上的级别或者使用自旋锁的 2008-6-1 17:33 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 14 楼 MmProbeAndLockPages 2008-6-1 18:30 0
loien 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 46 粉丝 0 关注私信	loien 15 楼突然见发现为什么ObReferenceObjectByHandle(Handle,DesiredAccess,ObjectType,AccessMode,&Process,NULL); 不能用Process=PsGetCurrentProcess();代替呢 2008-6-21 09:41 0
loien 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 46 粉丝 0 关注私信	loien 16 楼 sysnap为什么不能用Process=PsGetCurrentProcess();代替呢 2008-6-21 11:25 0
bluecode 雪币： 303 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 184 粉丝 0 关注私信	bluecode 17 楼 Cool...... 2008-11-8 00:45 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 18 楼偶的双核下蓝掉了。。 2008-11-8 02:33 0
samisgod 雪币： 239 活跃值： (10) 能力值： ( LV9，RANK：170 ) 在线值：发帖 18 回帖 276 粉丝 0 关注私信	samisgod 4 19 楼我的也双核可以退出进程，但退出后就BSOD 不错，反正要的效果也能达到，让别人不敢退了 2008-11-12 14:52 0
choday 雪币： 239 活跃值： (190) 能力值： ( LV8，RANK：130 ) 在线值：发帖 58 回帖 405 粉丝 3 关注私信	choday 2 20 楼我就搞不懂，你们在inline hook的时候，为什么要反复的hook 恢复->hook 恢复->hook 恢复呢，不觉得这样很烦很不稳定吗为什么不用以下方案： hook jmp to mycode mycode: 处理事务虚拟函数的头五个字节 jmp 函数地址+5 上面的方案不是很好吗？不用反复hook，如果被HOOK函数头不是五字节，那你就多跳几个字节就是了 2008-11-12 15:08 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 21 楼不好意思.............这份写得太燎草了. __declspec(naked) T_ObReferenceObjectByHandle( IN HANDLE Handle, IN ACCESS_MASK DesiredAccess, IN POBJECT_TYPE ObjectType OPTIONAL, IN KPROCESSOR_MODE AccessMode, OUT PVOID Object, OUT POBJECT_HANDLE_INFORMATION HandleInformation OPTIONAL ) { __asm { ///////////////执行原先被修改的字节码 mov edi,edi push ebp mov ebp,esp //因为调用了我们这个函数,所以栈现在的情况是 // 参数1-->>参数2-->>参数3-->>参数4-->>参数5-->>参数6-->>返回地址-->>老的EBP(push ebp) // 执行完mov ebp,esp 后,ebp指向了栈顶,这个时候我们就可以用ebp来引用参数了 // 如下面的push [ebp+0x1c]就是用ebp来引用栈中参数 // 保存相关寄存器的值 pushad push [ebp+0x1c] push [ebp+0x18] push [ebp+0x14] push [ebp+0x10] push [ebp+0xc] push [ebp+8] call FilterFunction cmp eax,1 //是否匹配 //上面的这个过程可以看做是透明的..虽然有很多push..但不会影响到我们的栈 jz end //不匹配的..调用原来的地址+5个字节.ObReferenceObjectByHandle正常执行 mov eax,ObReferenceObjectByHandle add eax,5 jmp eax //否则 end: popad / mov [ebp+8],-1 //--------->>无效句柄 mov eax,ObReferenceObjectByHandle add eax,5 jmp eax / //下面我们用栈会溯来解决问题 mov esp,ebp //esp指向栈顶 pop ebp //ebp指向原来的栈底 ret 0x18 //返回..0x18 == 24 == 6个参数4个字节这样esp才能指向正常.程序才不会崩溃 ///这个地方也可以用来抵抗调试..这样肯定会到XX去.. } } 2008-11-13 08:26 0
dnybz 雪币： 66 活跃值： (830) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 166 粉丝 0 关注私信	dnybz 22 楼好东东,很不错,双核退出,容易BSOD 2009-1-31 06:28 0
cjhuengame 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 62 粉丝 0 关注私信	cjhuengame 23 楼好东西，好东西， 2009-2-1 21:41 0
yaolibing 雪币： 252 活跃值： (13) 能力值： ( LV3，RANK：20 ) 在线值：发帖 21 回帖 68 粉丝 0 关注私信	yaolibing 24 楼用ida 看下sysnap.sys，什么都看不到。请问sysnap它是不是加壳了是不是? 2009-3-1 08:56 0
yaolibing 雪币： 252 活跃值： (13) 能力值： ( LV3，RANK：20 ) 在线值：发帖 21 回帖 68 粉丝 0 关注私信	yaolibing 25 楼哪位大哥解释下extern POBJECT_TYPE PsProcessType;这句是什么意思? #include "ntddk.h" //#include "hookiat.h" #include <windef.h> extern POBJECT_TYPE PsProcessType; VOID InlineHookObReferenceObjectByHandle(); VOID UnHook(); T_ObReferenceObjectByHandle( IN HANDLE Handle, IN ACCESS_MASK DesiredAccess, IN POBJECT_TYPE ObjectType OPTIONAL, IN KPROCESSOR_MODE AccessMode, OUT PVOID Object, OUT POBJECT_HANDLE_INFORMATION HandleInformation OPTIONAL ); char ProtectName = "notepad.exe"; ////////////////////////////////////////////////////////////////////////////////////////////// // 我们的主要功能函数,基本功能是恢复和钩住ObReferenceObjectByHandle,对传递进来的HANDLE进行判断 ////////////////////////////////////////////////////////////////////////////////////////////// 2009-3-1 17:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Sysnap

发帖

389

回帖

600

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (38) 1 2 ▶
winnip 雪币： 145 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 100 回帖 902 粉丝 0 关注私信	winnip 1 2 楼沙发 ............ 2008-5-30 19:22 0
wowzjj 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 39 粉丝 0 关注私信	wowzjj 3 楼先占楼再看。 2008-5-30 19:58 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 4 楼 hook ObReferenceObjectByHandle可以拒绝很多东西，不光是进程方面，只要和对象相关的都可以过滤掉。。。不过你的处理流程有点儿烦琐，里面的反复恢复有可能会出问题。写的很好哦。顶下~~~ 2008-5-30 20:13 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 5 楼的确/////使用被自己HOOK的函数的确是比较麻烦....我也想不到更好的办法....呵呵 2008-5-30 20:17 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 6 楼俺是这样处理的，不需要太烦琐： -------------------------------------- VOID fake_ObReferenceObjectByHandle ( IN HANDLE Handle, IN ACCESS_MASK DesiredAccess, IN POBJECT_TYPE ObjectType, IN KPROCESSOR_MODE AccessMode, OUT PVOID *Object, OUT POBJECT_HANDLE_INFORMATION HandleInformation ) { NTSTATUS status; WCHAR Name[300]; BOOL bFuck = FALSE; PEPROCESS Process = NULL; PUCHAR currentProcessName = NULL; HANDLE ProcessID = NULL; // the owner process status = OldObReferenceObjectByHandle( Handle, DesiredAccess, ObjectType, AccessMode, Object, HandleInformation); _asm pushad _asm pushfd // // 过滤操作 // end: _asm popfd _asm popad skip: _asm nop } 2008-5-30 20:26 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 7 楼谢谢sudami ........OldObReferenceObjectByHandle这应该是个地址吧....但inline hook后....ObReferenceObjectByHandle地址没变....只是前面几个字节变了... 2008-5-30 20:50 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 55 关注私信	combojiang 26 8 楼很好，很强大 2008-5-30 22:33 0
hfyy 雪币： 235 活跃值： (23) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 122 粉丝 2 关注私信	hfyy 2 9 楼问个问题 MyObReferenceObjectByHandle 不会被page out么 2008-5-31 09:33 0
lOOp 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 260 粉丝 0 关注私信	lOOp 10 楼 nice 2008-5-31 15:57 0
hfyy 雪币： 235 活跃值： (23) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 122 粉丝 2 关注私信	hfyy 2 11 楼楼主没注意到我这个问题吧重新发一下希望解答一下谢谢 2008-6-1 16:27 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 12 楼照你那么说岂不是所有驱动程序都要自己分非分页内存.....一般不会拉....如果你要保险..也可以lock下....反正在我机器试了那么多次没事... 2008-6-1 17:18 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 13 楼可能其他inline hook会把他们的函数放在非分页内存里...这样有一个最大的好处就是可以卸栽自己的驱动.....一般情况下我们的驱动程序不会被换出..你要换出可以加编译指令 #pragma alloc_text(PAGE, MyFunction)就好....还有一般驱动要运行在非分页是因为其代码运行于或高于DISPATCH_LEVEL的IRQL上的级别或者使用自旋锁的 2008-6-1 17:33 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 14 楼 MmProbeAndLockPages 2008-6-1 18:30 0
loien 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 46 粉丝 0 关注私信	loien 15 楼突然见发现为什么ObReferenceObjectByHandle(Handle,DesiredAccess,ObjectType,AccessMode,&Process,NULL); 不能用Process=PsGetCurrentProcess();代替呢 2008-6-21 09:41 0
loien 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 46 粉丝 0 关注私信	loien 16 楼 sysnap为什么不能用Process=PsGetCurrentProcess();代替呢 2008-6-21 11:25 0
bluecode 雪币： 303 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 184 粉丝 0 关注私信	bluecode 17 楼 Cool...... 2008-11-8 00:45 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 18 楼偶的双核下蓝掉了。。 2008-11-8 02:33 0
samisgod 雪币： 239 活跃值： (10) 能力值： ( LV9，RANK：170 ) 在线值：发帖 18 回帖 276 粉丝 0 关注私信	samisgod 4 19 楼我的也双核可以退出进程，但退出后就BSOD 不错，反正要的效果也能达到，让别人不敢退了 2008-11-12 14:52 0
choday 雪币： 239 活跃值： (190) 能力值： ( LV8，RANK：130 ) 在线值：发帖 58 回帖 405 粉丝 3 关注私信	choday 2 20 楼我就搞不懂，你们在inline hook的时候，为什么要反复的hook 恢复->hook 恢复->hook 恢复呢，不觉得这样很烦很不稳定吗为什么不用以下方案： hook jmp to mycode mycode: 处理事务虚拟函数的头五个字节 jmp 函数地址+5 上面的方案不是很好吗？不用反复hook，如果被HOOK函数头不是五字节，那你就多跳几个字节就是了 2008-11-12 15:08 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 21 楼不好意思.............这份写得太燎草了. __declspec(naked) T_ObReferenceObjectByHandle( IN HANDLE Handle, IN ACCESS_MASK DesiredAccess, IN POBJECT_TYPE ObjectType OPTIONAL, IN KPROCESSOR_MODE AccessMode, OUT PVOID Object, OUT POBJECT_HANDLE_INFORMATION HandleInformation OPTIONAL ) { __asm { ///////////////执行原先被修改的字节码 mov edi,edi push ebp mov ebp,esp //因为调用了我们这个函数,所以栈现在的情况是 // 参数1-->>参数2-->>参数3-->>参数4-->>参数5-->>参数6-->>返回地址-->>老的EBP(push ebp) // 执行完mov ebp,esp 后,ebp指向了栈顶,这个时候我们就可以用ebp来引用参数了 // 如下面的push [ebp+0x1c]就是用ebp来引用栈中参数 // 保存相关寄存器的值 pushad push [ebp+0x1c] push [ebp+0x18] push [ebp+0x14] push [ebp+0x10] push [ebp+0xc] push [ebp+8] call FilterFunction cmp eax,1 //是否匹配 //上面的这个过程可以看做是透明的..虽然有很多push..但不会影响到我们的栈 jz end //不匹配的..调用原来的地址+5个字节.ObReferenceObjectByHandle正常执行 mov eax,ObReferenceObjectByHandle add eax,5 jmp eax //否则 end: popad / mov [ebp+8],-1 //--------->>无效句柄 mov eax,ObReferenceObjectByHandle add eax,5 jmp eax / //下面我们用栈会溯来解决问题 mov esp,ebp //esp指向栈顶 pop ebp //ebp指向原来的栈底 ret 0x18 //返回..0x18 == 24 == 6个参数4个字节这样esp才能指向正常.程序才不会崩溃 ///这个地方也可以用来抵抗调试..这样肯定会到XX去.. } } 2008-11-13 08:26 0
dnybz 雪币： 66 活跃值： (830) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 166 粉丝 0 关注私信	dnybz 22 楼好东东,很不错,双核退出,容易BSOD 2009-1-31 06:28 0
cjhuengame 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 62 粉丝 0 关注私信	cjhuengame 23 楼好东西，好东西， 2009-2-1 21:41 0
yaolibing 雪币： 252 活跃值： (13) 能力值： ( LV3，RANK：20 ) 在线值：发帖 21 回帖 68 粉丝 0 关注私信	yaolibing 24 楼用ida 看下sysnap.sys，什么都看不到。请问sysnap它是不是加壳了是不是? 2009-3-1 08:56 0
yaolibing 雪币： 252 活跃值： (13) 能力值： ( LV3，RANK：20 ) 在线值：发帖 21 回帖 68 粉丝 0 关注私信	yaolibing 25 楼哪位大哥解释下extern POBJECT_TYPE PsProcessType;这句是什么意思? #include "ntddk.h" //#include "hookiat.h" #include <windef.h> extern POBJECT_TYPE PsProcessType; VOID InlineHookObReferenceObjectByHandle(); VOID UnHook(); T_ObReferenceObjectByHandle( IN HANDLE Handle, IN ACCESS_MASK DesiredAccess, IN POBJECT_TYPE ObjectType OPTIONAL, IN KPROCESSOR_MODE AccessMode, OUT PVOID Object, OUT POBJECT_HANDLE_INFORMATION HandleInformation OPTIONAL ); char ProtectName = "notepad.exe"; ////////////////////////////////////////////////////////////////////////////////////////////// // 我们的主要功能函数,基本功能是恢复和钩住ObReferenceObjectByHandle,对传递进来的HANDLE进行判断 ////////////////////////////////////////////////////////////////////////////////////////////// 2009-3-1 17:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复