[讨论]再内核模式下获取用户态系统API地址的最方便的方法-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (13)
achillis 雪币： 7651 活跃值： (493) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 46 关注私信	achillis 15 2009-9-2 21:21 2 楼 0 我还真以为是原创呢~~什么Hook方式？IAT Hook?
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 48 回帖 1176 粉丝 22 关注私信	qihoocom 9 2009-9-2 21:35 3 楼 0 鄙视楼主标题党
mmhkh 雪币： 71 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 26 回帖 124 粉丝 0 关注私信	mmhkh 2009-9-3 01:41 4 楼 0 倒。。太心急了。。。没注意咋写成原创了。。各位老大不好意思。。。
mmhkh 雪币： 71 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 26 回帖 124 粉丝 0 关注私信	mmhkh 2009-9-3 01:42 5 楼 0 inlinehook 主要就是想在驱动里获取用户态API函数地址的最方便的方法谁给提提思路啊
六月雪币： 129 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 299 粉丝 1 关注私信	六月 2009-9-3 03:35 6 楼 0 毛毛，半夜不睡数毛啊.. 加油，好好学习..我也想知道你这答案，待大牛解答. 可以在内核得到用户层模块句柄的吧.
achillis 雪币： 7651 活跃值： (493) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 46 关注私信	achillis 15 2009-9-3 06:31 7 楼 0 自己实现一个GetProcAddress,然后想搞谁就Attach到谁，遍历PEB中的Ldr链找到目标模块的基址，然后GetProcAddress想取谁就取谁
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 7 关注私信	Fypher 4 2009-9-3 08:22 8 楼 0 或者想搞谁就到谁的领土上开个线程搞
achillis 雪币： 7651 活跃值： (493) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 46 关注私信	achillis 15 2009-9-3 09:03 9 楼 0 楼上办事的时候比较喜欢开线程啊
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 7 关注私信	Fypher 4 2009-9-3 09:24 10 楼 0 因为被MSDN恐吓过： Note that attaching a thread to a different process can prevent asynchronous I/O operations from completing and can potentially cause deadlocks. In general, the lines of code between the call to KeStackAttachProcess and the call to KeUnstackDetachProcess should be very simple and should not call complex routines or send IRPs to other drivers. ——MSDN
leftup 雪币： 251 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 269 粉丝 1 关注私信	leftup 2009-9-3 14:40 11 楼 0 开线程的那个程序只要预先载入个Dll，在DllMain里停下，占住loader lock 就能让你一直等下去或者在DLL_THREAD_ATTACH的时候干点坏事
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 7 关注私信	Fypher 4 2009-9-3 15:39 12 楼 0 非也非也，开内核线程不会被对方的DLL_THREAD_ATTACH截获
鹿剑雪币： 284 活跃值： (106) 能力值： ( LV9，RANK：160 ) 在线值：发帖 24 回帖 187 粉丝 1 关注私信	鹿剑 3 2009-9-5 02:13 13 楼 0 自己写GetProcAddress还不如分析PE文件得了……
achillis 雪币： 7651 活跃值： (493) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 46 关注私信	achillis 15 2009-9-5 06:12 14 楼 0 自己写GetProcAddress本来就是分析PE文件嘛，而且用起来更爽
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

最新回复 (13)
achillis 雪币： 7651 活跃值： (493) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 46 关注私信	achillis 15 2009-9-2 21:21 2 楼 0 我还真以为是原创呢~~什么Hook方式？IAT Hook?
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 48 回帖 1176 粉丝 22 关注私信	qihoocom 9 2009-9-2 21:35 3 楼 0 鄙视楼主标题党
mmhkh 雪币： 71 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 26 回帖 124 粉丝 0 关注私信	mmhkh 2009-9-3 01:41 4 楼 0 倒。。太心急了。。。没注意咋写成原创了。。各位老大不好意思。。。
mmhkh 雪币： 71 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 26 回帖 124 粉丝 0 关注私信	mmhkh 2009-9-3 01:42 5 楼 0 inlinehook 主要就是想在驱动里获取用户态API函数地址的最方便的方法谁给提提思路啊
六月雪币： 129 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 299 粉丝 1 关注私信	六月 2009-9-3 03:35 6 楼 0 毛毛，半夜不睡数毛啊.. 加油，好好学习..我也想知道你这答案，待大牛解答. 可以在内核得到用户层模块句柄的吧.
achillis 雪币： 7651 活跃值： (493) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 46 关注私信	achillis 15 2009-9-3 06:31 7 楼 0 自己实现一个GetProcAddress,然后想搞谁就Attach到谁，遍历PEB中的Ldr链找到目标模块的基址，然后GetProcAddress想取谁就取谁
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 7 关注私信	Fypher 4 2009-9-3 08:22 8 楼 0 或者想搞谁就到谁的领土上开个线程搞
achillis 雪币： 7651 活跃值： (493) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 46 关注私信	achillis 15 2009-9-3 09:03 9 楼 0 楼上办事的时候比较喜欢开线程啊
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 7 关注私信	Fypher 4 2009-9-3 09:24 10 楼 0 因为被MSDN恐吓过： Note that attaching a thread to a different process can prevent asynchronous I/O operations from completing and can potentially cause deadlocks. In general, the lines of code between the call to KeStackAttachProcess and the call to KeUnstackDetachProcess should be very simple and should not call complex routines or send IRPs to other drivers. ——MSDN
leftup 雪币： 251 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 269 粉丝 1 关注私信	leftup 2009-9-3 14:40 11 楼 0 开线程的那个程序只要预先载入个Dll，在DllMain里停下，占住loader lock 就能让你一直等下去或者在DLL_THREAD_ATTACH的时候干点坏事
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 7 关注私信	Fypher 4 2009-9-3 15:39 12 楼 0 非也非也，开内核线程不会被对方的DLL_THREAD_ATTACH截获
鹿剑雪币： 284 活跃值： (106) 能力值： ( LV9，RANK：160 ) 在线值：发帖 24 回帖 187 粉丝 1 关注私信	鹿剑 3 2009-9-5 02:13 13 楼 0 自己写GetProcAddress还不如分析PE文件得了……
achillis 雪币： 7651 活跃值： (493) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 46 关注私信	achillis 15 2009-9-5 06:12 14 楼 0 自己写GetProcAddress本来就是分析PE文件嘛，而且用起来更爽
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复