首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. 编程技术
    3. 发新帖
[分享][下载]让所有ssdt(shadow) hook(inline)失效
2009-1-14 08:41 12955

[分享][下载]让所有ssdt(shadow) hook(inline)失效

wowocock 活跃值
1
2009-1-14 08:41
12955
从垃圾箱里翻出来的,驱动加载后让所有ssdt(shadow) hook(inline)失效.卸载后恢复的东西.主要用来临时做点事,可又不想破坏原来系统的所有HOOK的用途.

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 0
打赏
分享
最新回复 (18)
thinkSJ
雪    币: 196
活跃值: (135)
能力值: ( LV10,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
thinkSJ 4 2009-1-14 08:46
2
0
下载一次LZ垃圾箱里的东西 谢谢了
dico
雪    币: 94
活跃值: (425)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
dico 2009-1-14 09:37
3
0
经过测试没效果
NaX
雪    币: 218
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
NaX 2009-1-14 10:13
4
0
804de972 64ff0538060000  inc     dword ptr fs:[638h]   
804de979 8bf2            mov     esi,edx
804de97b 8b5f0c          mov     ebx,dword ptr [edi+0Ch]
804de97e 33c9            xor     ecx,ecx
804de980 8a0c18          mov     cl,byte ptr [eax+ebx]
804de983 8b3f            mov     edi,dword ptr [edi]
804de985 8b1c87          mov     ebx,dword ptr [edi+eax*4]
804de988 ba11804d80      mov     edx,offset nt!_imp__VidInitialize <PERF> (nt+0x11) (804d8011) // inline hook 这里 R.K.U可以扫描出
804de98d ffd2            call    edx
804de98f 3b35d48e5680    cmp     esi,dword ptr [nt!MmUserProbeAddress (80568ed4)]
804de995 0f83a8010000    jae     nt!KiSystemCallExit2+0x9f (804deb43)

804d8011 68e074c1b4      push    0B4C174E0h   //做这么多功夫也是白费,早被R.K.U检测出
804d8016 c3              ret

b4c174e0 5a              pop     edx
b4c174e1 9c              pushfd
b4c174e2 60              pushad
b4c174e3 53              push    ebx  //<-- CurrentServiceAddress
b4c174e4 50              push    eax  //<-- ServiceIndex
b4c174e5 57              push    edi  //<-- KeServiceTable
b4c174e6 e815010000      call    b4c17600 //做一些判断比较
b4c174eb 89442410        mov     dword ptr [esp+10h],eax //<--mov ebx,eax
b4c174ef 61              popad
b4c174f0 9d              popfd
b4c174f1 2be1            sub     esp,ecx
b4c174f3 8bff            mov     edi,edi
b4c174f5 c1e902          shr     ecx,2
b4c174f8 8bfc            mov     edi,esp
b4c174fa ff35b026c3b4    push    dword ptr ds:[0B4C326B0h] <--804de98f
b4c17500 c3              ret

//------------------------------------------------------------------------------
果然垃圾,跟The Age-Old Art of SSDT Hooking(But Bypass Most ARK Tools...) 如出一撤,只对SSDT HOOK有效,对inline hook无效,这么垃圾的东西居然还加密???说你这个sys比这篇文章《The Age-Old Art of SSDT Hooking(But Bypass Most ARK Tools...) 》早,还不相信呢。
poppig
雪    币: 195
活跃值: (1115)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
poppig 2 2009-1-14 10:25
5
0

以为是wowocock大牛放出的code
Sysnap
雪    币: 581
活跃值: (149)
能力值: ( LV12,RANK:600 )
在线值:
发帖
回帖
粉丝
私信
Sysnap 14 2009-1-14 11:16
6
0
[QUOTE=NaX;564838]804de972 64ff0538060000  inc     dword ptr fs:[638h]   
804de979 8bf2            mov     esi,edx
804de97b 8b5f0c          mov     ebx,dword ptr [edi...[/QUOTE]
应该是早的....以前记得在驱网看过,...不过没代码
wowocock
雪    币: 405
活跃值: (1990)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
wowocock 1 2009-1-14 11:17
7
0
对inline hook无效么??我只测试了直接TASKMGR关ICWSORD。哪些没效的麻烦提示下。本来就没有技术含量的东西,加密只是为了绕开360保险箱,不然凡是包含特征码的驱动一律别想加载。
NaX
雪    币: 218
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
NaX 2009-1-14 11:41
8
0
你要知道inline hook不只是修改函数头,还包括函数中,函数尾甚至函数所CALL的函数,R.K.U在NtOpenProcess+5处JMP 你这个SYS就无法绕过。
NaX
雪    币: 218
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
NaX 2009-1-14 11:45
9
0
如果每次System call 都要被这个SYS判断一下所CALL的函数的整体完整性,有修改做出替换,那么对整个系统性能有很大影响,因为System call 是非常非常频繁的。
wowocock
雪    币: 405
活跃值: (1990)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
wowocock 1 2009-1-14 11:48
10
0
我当然知道,目前只是针对开头的,以后将针对所有的,包括未导出的处理.好在目前没还发现蓝的,嘿嘿......
wowocock
雪    币: 405
活跃值: (1990)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
wowocock 1 2009-1-14 11:49
11
0
影响不大,因为只有内存操作,关键还是稳定性,通用于2K,XP,2K3,VISTA ,WIN7.
qihoocom
雪    币: 635
活跃值: (101)
能力值: ( LV12,RANK:420 )
在线值:
发帖
回帖
粉丝
私信
qihoocom 9 2009-1-14 11:54
12
0
果然没什么意思 这种无聊的HOOK技巧GF里可以找到无数种~
ppanger
雪    币: 255
活跃值: (49)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
私信
ppanger 4 2009-1-14 12:05
13
0
膜拜一下wowocock大牛 学习收藏了 ^_^
dayang
雪    币: 220
活跃值: (641)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
dayang 2009-1-14 19:43
14
0
加密只是为了绕开360保险箱,不然凡是包含特征码的驱动一律别想加载。

360保险箱,还用特征码过滤驱动?过滤什么类型的驱动呢?
在就是如何对驱动加密,呵呵
boainfall
雪    币: 116
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
boainfall 2009-1-15 14:21
15
0
期待LZ清空垃圾箱
一民
雪    币: 85
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
一民 2009-1-17 00:50
16
0
用 FSD Hook 吧,rootkit的最后一招了
HSQ
雪    币: 381
活跃值: (135)
能力值: ( LV13,RANK:330 )
在线值:
发帖
回帖
粉丝
私信
HSQ 8 2009-1-17 01:03
17
0
认真点写INLINE HOOK,不要跟着套路走,还是可以轻易得让最新的RUK无法检测到的
wowocock
雪    币: 405
活跃值: (1990)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
wowocock 1 2009-1-17 11:10
18
0
修改代码段的方法是无法绕过检测的,只有挂那些动态调用的地方,比如大量动态生成的指针.
qihoocom
雪    币: 635
活跃值: (101)
能力值: ( LV12,RANK:420 )
在线值:
发帖
回帖
粉丝
私信
qihoocom 9 2009-1-17 14:03
19
0
fsd hook ?最后一招?这个笑话真无聊

INLINE hook做一些间接跳转或者处理就可以绕过RKU的检测,但不能绕过GMER的
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回