首页
社区
课程
招聘
[讨论]再内核模式下获取用户态系统API地址的最方便的方法
发表于: 2009-9-2 21:12 7141

[讨论]再内核模式下获取用户态系统API地址的最方便的方法

2009-9-2 21:12
7141
用户层 的 API 被HOOK了
想再驱动里给还原

有没啥好的办法可以 快速的获取 用户态API的函数地址

我能想到的是爆搜内存。效率太低。。
还有 再用户态写个程序传递 地址给驱动 让驱动来处理
如果想完全靠驱动来获取这个地址的话  有什么方便快捷的办法?

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (13)
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
2
我还真以为是原创呢~~什么Hook方式?IAT Hook?
2009-9-2 21:21
0
雪    币: 635
活跃值: (101)
能力值: ( LV12,RANK:420 )
在线值:
发帖
回帖
粉丝
3
鄙视楼主标题党
2009-9-2 21:35
0
雪    币: 71
活跃值: (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
4


倒。。太心急了。。。没注意咋写成原创了。。各位老大不好意思。。。
2009-9-3 01:41
0
雪    币: 71
活跃值: (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
5
inlinehook
主要就是 想在驱动里 获取用户态API函数地址的最方便的方法
谁给提提思路啊
2009-9-3 01:42
0
雪    币: 129
活跃值: (31)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
毛毛,半夜不睡数毛啊..

加油,好好学习..我也想知道你这答案,待大牛解答.

可以在内核得到用户层模块句柄的吧.
2009-9-3 03:35
0
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
7
自己实现一个GetProcAddress,然后想搞谁就Attach到谁,遍历PEB中的Ldr链找到目标模块的基址,然后GetProcAddress想取谁就取谁
2009-9-3 06:31
0
雪    币: 636
活跃值: (174)
能力值: ( LV9,RANK:260 )
在线值:
发帖
回帖
粉丝
8
或者想搞谁就到谁的领土上开个线程搞
2009-9-3 08:22
0
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
9
楼上办事的时候比较喜欢开线程啊
2009-9-3 09:03
0
雪    币: 636
活跃值: (174)
能力值: ( LV9,RANK:260 )
在线值:
发帖
回帖
粉丝
10
因为被MSDN恐吓过
Note that attaching a thread to a different process can prevent asynchronous I/O operations from completing and can potentially cause deadlocks. In general, the lines of code between the call to KeStackAttachProcess and the call to KeUnstackDetachProcess should be very simple and should not call complex routines or send IRPs to other drivers.
——MSDN
2009-9-3 09:24
0
雪    币: 251
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
开线程的 那个程序只要预先载入个Dll,在DllMain里停下,占住loader lock 就能让你一直等下去
或者在DLL_THREAD_ATTACH的时候干点坏事
2009-9-3 14:40
0
雪    币: 636
活跃值: (174)
能力值: ( LV9,RANK:260 )
在线值:
发帖
回帖
粉丝
12
非也非也,开内核线程不会被对方的DLL_THREAD_ATTACH截获
2009-9-3 15:39
0
雪    币: 284
活跃值: (106)
能力值: ( LV9,RANK:160 )
在线值:
发帖
回帖
粉丝
13
自己写GetProcAddress还不如分析PE文件得了……
2009-9-5 02:13
0
雪    币: 7651
活跃值: (523)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
14
自己写GetProcAddress本来就是分析PE文件嘛,而且用起来更爽
2009-9-5 06:12
0
游客
登录 | 注册 方可回帖
返回
//