首页
社区
课程
招聘
[原创]另类挂钩-RING3数据包监视
发表于: 2009-2-1 15:20 182600

[原创]另类挂钩-RING3数据包监视

2009-2-1 15:20
182600
收藏
免费 8
支持
分享
最新回复 (178)
雪    币: 299
活跃值: (25)
能力值: ( LV10,RANK:170 )
在线值:
发帖
回帖
粉丝
51
现在拜师小沈阳去了???
2009-2-13 17:50
0
雪    币: 299
活跃值: (25)
能力值: ( LV10,RANK:170 )
在线值:
发帖
回帖
粉丝
52
王小姐的函数名果然有杀气!!!
SuperHookDeviceIoControl!!!!
下次得用Ultra了吧???
2009-2-13 17:55
0
雪    币: 230
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
53
强烈支持楼主!
2009-2-16 14:23
0
雪    币: 251
活跃值: (25)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
54
支持注释版,看得爽
2009-2-16 19:32
0
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
55
老V说此code已经被病毒用上了
2009-2-16 20:21
0
雪    币: 297
活跃值: (10)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
56
莫非是传说中的云安全系统发现得?
2009-2-16 22:22
0
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
57
此code据说被用来过滤某些数据包以对抗云安全~
2009-2-16 23:10
0
雪    币: 297
活跃值: (10)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
58
这要看各家杀软云客户端探针的保护机制了,昨天用ring3下的一些手段来试图hook某云端产品,可耻地失败了。
2009-2-17 08:44
0
雪    币: 635
活跃值: (101)
能力值: ( LV12,RANK:420 )
在线值:
发帖
回帖
粉丝
59
我的这份代码至少对360的云无效 呵呵
2009-2-17 14:25
0
雪    币: 190
活跃值: (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
60
HOOK太黄太暴力
SPI还是比较正规
2009-2-17 23:30
0
雪    币: 97
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
61
没效果
拦到的数据都不是网页返回的。
根本没有GET POST 头!
2009-2-22 16:10
0
雪    币: 635
活跃值: (101)
能力值: ( LV12,RANK:420 )
在线值:
发帖
回帖
粉丝
62
楼上应该看看别人实验的结果~
2009-2-23 10:26
0
雪    币: 635
活跃值: (101)
能力值: ( LV12,RANK:420 )
在线值:
发帖
回帖
粉丝
63
DeviceIoControl才是NtDeviceIoControl的wrape
另外mswsock是直接调用ntdeviceiocontrol的,如果你HOOK DEVICEIOCONTROL是拿不到数据的
好好学习基础再出来说话吧
2009-2-23 10:27
0
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
64

老兄都没搞清楚哪个更底层
2009-2-23 10:52
0
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
65
这个方法,可以啊
2009-2-23 11:45
0
雪    币: 251
活跃值: (25)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
66
很详细的注释,顶一下
2009-2-25 15:32
0
雪    币: 281
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
67
谢谢qihoocom和木桩
努力学习ing……

00000012 19:01:04 [2672] [HOOK] NDIC_Hook dll loaded.
00000013 19:01:04 [2672] [HOOK] Lock "NtDeviceIoControlFile" for HOOK.
00000014 19:01:04 [2672] [HOOK] Base=719C0000, Thunk=0000127C, ID=F
00000015 19:01:04 [2672] [HOOK] Orign[0x719C12B8]=0x7C92D260, new Addr=0x0263C73C
00000016 19:01:16 [2672] [HTTP Send] Length = 675
00000017 19:01:16 [2672] GET / HTTP/1.1
00000018 19:01:16 [2672] Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/msword, application/vnd.ms-excel, application/vnd.ms-powerpoint, */*
00000019 19:01:16 [2672] Accept-Language: zh-cn
00000020 19:01:16 [2672] Accept-Encoding: gzip, deflate
00000021 19:01:16 [2672] User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)
00000022 19:01:16 [2672] Host: www.baidu.com
00000023 19:01:16 [2672] Connection: Keep-Alive
00000024 19:01:16 [2672] Cookie: BAIDUID=200EBC1FF848C35666CFF60515814388:FG=1; BDSTAT=69fc243a78d116558701a18b87d6277f9e2f07086a381f30e924b899a9013eb8; BD_UTK_DVT=1; PASSPORTRETRYSTRING=1226237180|1226237185; vjuids=-429893efe.11ec95cffe2.0.ef1fd26ec4d1c; vjlast=1231738962,1231738962,30; MAPCITY=0311_0,; BDLFONT=0
00000025 19:01:16 [2672]
00000026 19:01:16 [2672] [HTTP Recv] Length = 1024
00000027 19:01:16 [2672] HTTP/1.1 200 OK
00000028 19:01:16 [2672] Date: Thu, 26 Feb 2009 11:02:34 GMT
00000029 19:01:16 [2672] Server: BWS/1.0
00000030 19:01:16 [2672] Content-Length: 1993
00000031 19:01:16 [2672] Content-Type: text/html
00000032 19:01:16 [2672] Cache-Control: private
00000033 19:01:16 [2672] Expires: Thu, 26 Feb 2009 11:02:34 GMT
00000034 19:01:16 [2672] Content-Encoding: gzip
00000035 19:01:16 [2672]
00000036 19:01:16 [2672] ?
00000037 19:01:16 [2672] [HTTP Send] Length = 630
00000038 19:01:16 [2672] GET /js/bdsug.js?v=1.0.2.0 HTTP/1.1
00000039 19:01:16 [2672] Accept: */*
00000040 19:01:16 [2672] Referer: http://www.baidu.com/
00000041 19:01:16 [2672] Accept-Language: zh-cn
00000042 19:01:16 [2672] Accept-Encoding: gzip, deflate
00000043 19:01:16 [2672] If-Modified-Since: Mon, 19 Jan 2009 13:18:00 GMT; length=5529
00000044 19:01:16 [2672] User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)
00000045 19:01:16 [2672] Host: www.baidu.com
00000046 19:01:16 [2672] Connection: Keep-Alive
00000047 19:01:16 [2672] Cookie: BAIDUID=200EBC1FF848C35666CFF60515814388:FG=1; BDSTAT=69fc243a78d116558701a18b87d6277f9e2f07086a381f30e924b899a9013eb8; BD_UTK_DVT=1; PASSPORTRETRYSTRING=1226237180|1226237185; vjuids=-429893efe.11ec95cffe2.0.ef1fd26ec4d1c; vjlast=1231738962,1231738962,30; MAPCITY=0311_0,; BDLFONT=0
00000048 19:01:16 [2672]
00000049 19:01:16 [2672] [HTTP Recv] Length = 1024
00000050 19:01:16 [2672] HTTP/1.1 304 Not Modified
00000051 19:01:16 [2672] Date: Thu, 26 Feb 2009 11:02:34 GMT
00000052 19:01:16 [2672] Server: Apache/1.3.27
00000053 19:01:16 [2672] ETag: "1599-49747d88"
00000054 19:01:16 [2672]
2009-2-26 19:01
0
雪    币: 260
活跃值: (11)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
68
qihoocom和mj是同一人?
2009-2-27 15:49
0
雪    币: 183
活跃值: (228)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
69
转眼都到第5页了,占位学习~
2009-2-28 21:01
0
雪    币: 246
活跃值: (91)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
70
如果可以,为什么不用原始Socket....
2009-3-3 09:16
0
雪    币: 201
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
71
支持下
2009-3-3 13:17
0
雪    币: 199
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
72
果然是标新立异.
2009-3-4 14:31
0
雪    币: 296
活跃值: (20)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
73
1 承认你是高手。

2  既然是高手,就应该很明白我说的意思。我的意思是NtDeviceIoControlFile是NtDeviceIoControl 的wrape(现在收回这句话,因为我没有验证这是否是正确),当时不过是漏洞了Nt两个字母,但如果是高手的话应该能明白我表达的意思。不过我还是接受批评,毕竟造成了误会。

来这里是为讨论技术,而不是来讨伐人。

3 本人做安全已经6年了,驱动写了无数,但我承认还得继续学习。

4 本人喜欢讨论技术,但讨厌人身攻击。
2009-3-4 15:48
0
雪    币: 635
活跃值: (101)
能力值: ( LV12,RANK:420 )
在线值:
发帖
回帖
粉丝
74
再看小白不懂装懂,你做了6年安全&驱动连这点东西都不懂 ******
系统中根本没有个函数叫做NtDeviceIoControl
2009-3-4 16:04
0
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
75
好强大的函数,MJ你赶紧找微软加上,估计在win7正式版上可以看到了,这样子,MJ的LS的话就正确了~~

~~~~~飘过
2009-3-4 16:09
0
游客
登录 | 注册 方可回帖
返回
//