分析了一下360安全卫士的hook(zt)

最新推荐文章于 2024-08-31 20:51:07 发布
最新推荐文章于 2024-08-31 20:51:07 发布
阅读量2.8k 收藏
点赞数
分类专栏: Kernel 文章标签: hook 360 2010 c
分析了一下360安全卫士的hook(zt) 2010-6-3 18:36阅读(12)
连接: http://blog.csdn.net/lionzl/article/details/7738179

分析了一下360的HOOK,通过直接hook KiFastCallEntry实现以所有系统调用的过滤。

我分析的版本如下:

主程序版本: 6.0.1.1003

HookPort.sys版本: 1, 0, 0, 1005

HookPort.sys的TimeStamp: 4A8D4AB8

简单说明:360把所有被hook的系统服务的过滤函数放在了一个表里,索引即对应的系统服务在该过滤函数表中的索引。

所有列出来的函数都会被hook掉的,是否处理指某个系统服务有没有相应的过滤函数进行处理,拒绝还是放行就是在过滤函数中完成判断的。

不处理的系统服务,将会直接调用原始服务例程。

函数如下:

服务名称          索引  是否处理  备注

===============================================

NtCreateKey          0×00  否

NtQueryValueKey        0×01  是

NtDeleteKey          0×02  是

NtDeleteValueKey      0×03  是

NtRenameKey          0×04  是

NtReplaceKey        0×05  是

NtRestoreKey        0×06  是

NtSetValueKey        0×07  是

NtCreateFile        0×08  是

NtFsControl          0×09  是

NtSetInformationFile     0×0A  是

NtWriteFile          0×0B  是

NtWriteFileGather      0×0B  是    //和NtWriteFile共用一个过滤函数

NtCreateProcess        0×0D  是

NtCreateProcessEx      0×0E  是

NtCreateUserProcess      0×0F  是    //Only on Vista or later

NtCreateThread        0×10  是

NtCreateThreadEx      0×10  是    //和NtCreateThread共用一个过滤函数,for vista or later

NtOpenThread        0×11  是

NtDeleteFile        0×12  是

NtOpenFile          0×13  是

NtReadVirtualMemory      0×14  否

NtTerminateProcess      0×15  是

NtQueueApcThread      0×16  是

NtSetContextThread      0×17  是

NtSetInformationThread    0×18  否

NtProtectVirtualMemory    0×19  否

NtWriteVirtualMemory    0×1A  是

NtAdjustGroupToken      0×1B  否

NtAdjustPrivilegesToken   0×1C  否

NtRequestWaitReplyPort    0×1D  是

NtCreateSection        0×1E  是

NtOpenSecton        0×1F  是

NtCreateSymbolicLinkObject  0×20  是

NtOpenSymbolicLinkObject  0×21  否

NtLoadDriver        0×22  是

NtUnloadDriver        0×22  是    //和NtLoadDriver共用一个过滤函数

NtQuerySystemInformation  0×23  是

NtSetSystemTime        0×25  否

NtSystemDebugControl    0×26  是

NtUserBuildHwndList      0×27  是

NtUserQueryWindow      0×28  是

NtUserFindWindowEx      0×29  是

NtUserWindowFromPoint    0×2A  是

NtUserMessageCall      0×2B  是

NtUserPostMessage      0×2C  是

NtUserSetWindowsHookEx    0×2D  是

NtUserPostThreadMessage    0×2E  是

NtOpenProcess        0×2F  是

NtDeviceIoControlFile    0×30  是

NtUserSetParent        0×31  是

NtOpenKey          0×32  是

NtDuplicateObject      0×33  是

NtResumeThread        0×34  否

NtUserChildWindowFromPointEx 0×35  是

NtUserDestroyWindow      0×36  是

NtUserInternalGetWindowText  0×37  否

NtUserMoveWindow      0×38  是    //和NtSetParent共用一个过滤函数

NtUserRealChildWindowFromPoint 0×39 是    //和NtUserChildWindowFromPointEx共用一个过滤函数

NtUserSetInformationThread  0×3A  否

NtUserSetInternalWindowPos  0×3B  是    //和NtSetParent共用一个过滤函数

NtUserSetWindowLong      0×3C  是    //和NtSetParent共用一个过滤函数

NtUserSetWindowPlacement  0×3D  是    //和NtSetParent共用一个过滤函数

NtUserSetWindowPos      0×3E  是    //和NtSetParent共用一个过滤函数

NtUserSetWindowRgn      0×3F  是    //和NtSetParent共用一个过滤函数

NtUserShowWindow      0×40  是

NtUserShowWindowAsync    0×41  是    //和NtUserShowWindow共用一个过滤函数

NtQueryAttributesFile    0×42  否

NtUserSendInput        0×43  否

NtAlpcSendWaitReceivePort  0×44  是    //for vista or later

NtUnmapViewOfSection    0×46  是

NtUserSetWinEventHook    0×47  否

NtSetSecurityObject      0×48  是

NtUserCallHwndParamLock    0×49  是

NtUserRegisterUserApiHok  0×4A  否

anhkgg
关注
专栏目录
Python爬虫巧用Hook技巧分析接口数据加密
吴秋霖的博客
02-29 1663
极简的Hook方案,辅助通杀绝大部分网站接口响应数据加密
linux应用hook实例(含源码分析
啊渊的专栏
08-12 2663
函数地址替换是最简单的hook方式,在开发的时候发现C开发的程序和C++开发的程序hook还是有差别的。C开发的程序函数几乎是可以直接使用readelf查看,因此在查找函数偏移量的时候相对简单一些,但是如果是C++开发无法直接使用readelf命令查看函数地址,因此需要动态跟踪函数地址,找到函数偏移量然后针对该函数地址进行hook。..............................
分析一下360安全卫士HOOK(二)——架构与实现(zt)
lionzl的专栏
07-11 3391
上一篇的分析中漏掉了三个函数,现补上: NtSetSystemInformation    0×24 ProcessNotify        0×45 //这个并非Hook,只是HookPort安装的一个Notify KeUserModeCallback      0×4B 这样一共是从0到0×4B,共0×4C个过滤函数,齐了~~ 上次先列出了360hook的系统服务,让大家对它做了
精品!
Sunny_wwc的专栏
10-24 906
仿照了下360 的过滤架构,搭建了个Hook 框架,360Hook架构的确很优秀,我觉得很值得我们学习与研究。这里我按照大牛们已经逆向出来的思路实现了下代码(都逆向出来了坐下代码工作不会怎么样吧?….只是学习架构)。不要鄙视我等代码工………,好吧大牛们想BS就BS吧,我表示毫无压力~~~~,我是菜鸟我怕谁! 废话不多说发代码,如果有错误和白痴的地方请指出,我水平有限……. 搭建这个架构大致需要以下几个模块,一是安装KiFastCallEntry的Hook模块,二是FakeKiFastCallEnt
windows消息处理过程及消息钩子
研究源码的最底层,只持有正确的仓位
01-15 3215
应用层发消息: 发送消息过程 SendMessage(user32.dll)->SendMessageWorker,先检查有没有hook消息钩子,有的话调用CsSendMessage,进入消息钩子过滤函数。 没有的话,看是不是系统消息,是的话在Message表中找到对应msg id的索引值,通过索引值在在gapfnScSendMessage数组中找到对应的消息处理函数 如果是NtUser...
windows message manager
飞鸟的专栏
08-31 1553
SendMessage窗口过程函数的调用有两个入口,一个是自己的线程给自己窗口发通知,这样直接调用内部函数进行调用,使用IntCallMessageProc来调用函数,另一种方式是转换用户消息为内核消息,调用NtUserMessageCall来传递消息。LRESULT WINAPI SendMessageW(HWND Wnd, UINT Msg, WPARAM wParam
仿360安全卫士9.6New
10-27
【标题】"仿360安全卫士9.6New" 涉及的主要知识点是模仿360安全卫士的用户界面(UI)设计以及Windows消息钩子(Hook)技术的应用。360安全卫士是一款知名的电脑安全软件,其用户界面设计简洁且功能丰富,深受用户...
1.3.8.1版(18-04-02)360加固保Hook
05-26
- 识别目标类和方法:分析360加固保的源码或使用反编译工具,找到需要Hook的目标类和方法。 - 实现Hook:使用Xposed提供的API,如`XposedBridge.log()`和` XC_MethodHook`,设置Hook点,实现方法的前置和后置处理。 ...
基于QT(C++)实现安全卫士(软件行为分析)【100012955】
07-17
PFDLL:定义了需要 HOOK 的 winAPI 和替换的函数 syringe:注射器程序,主要将 PFDLL 程序中的替换函数替换测试程序 testCode 中的 API PFSafetyGuard:图形界面程序,接收 PFDLL 程序勾取的信息,然后做一些行为...
R0层获取ShadowSSDT函数原始地址实例
11-20
本实例由VS2008开发,在提供了一套驱动开发框架的同时,又演示了如何获取Shadow SSDT表函数原始地址的办法。 主要函数:ULONG GetShadowSSDT_Function_OriAddr(ULONG index); 原理说明: 根据特征码搜索导出函数KeAddSystemServiceTable来获取Shadow SSDT基址,以及通过ZwQuerySystemInformation()函数获取win32k.sys基址,然后解析PE定位到Shadow SSDT在win32k.sys的偏移地址,并通过进一步计算来得到Shadow SSDT表函数的原始地址。 这里只测试了三个函数:(460)NtUserMessageCall、(475)NtUserPostMessage和(502)NtUserSendInput,具体使用时可以举一反三,网上完整的源代码实例并不太多,希望可以帮到真正有需要的朋友。 系统环境: 在WinXP SP3系统 + 瑞星杀毒软件 打印输出: [ LemonInfo : Loading Shadow SSDT Original Address Driver... ] [ LemonInfo : 创建“设备”值为:0 ] [ LemonInfo : 创建“设备”成功... ] [ LemonInfo : 创建“符号链接”状态值为:0 ] [ LemonInfo : 创建“符号链接”成功... ] [ LemonInfo : 驱动加载成功... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP 开始... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP Enter IRP_MJ_DEVICE_CONTROL... ] [ LemonInfo : 获取ShadowSSDT表 (460)NtUserMessageCall 函数的“当前地址”为:0xB83ECFC4,“起源地址”为:0xBF80EE6B ] [ LemonInfo : 获取ShadowSSDT表 (475)NtUserPostMessage 函数的“当前地址”为:0xB83ECFA3,“起源地址”为:0xBF8089B4 ] [ LemonInfo : 获取ShadowSSDT表 (502)NtUserSendInput 函数的“当前地址”为:0xBF8C31E7,“起源地址”为:0xBF8C31E7 ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP_MJ_DEVICE_CONTROL 成功执行... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP 结束... ] [ LemonInfo : UnLoading Shadow SSDT Original Address Driver... ] [ LemonInfo : 删除“符号链接”成功... ] [ LemonInfo : 删除“设备”成功... ] [ LemonInfo : 驱动卸载成功... ]
SSDTHook实现进程保护
06-29
SSDTHook实现进程保护:http://blog.csdn.net/php_fly/article/details/9202379
Windows内核新手上路2——挂钩shadow SSDT
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
08-15 1664
Windows内核新手上路2——挂钩shadow SSDT          文章核心内容:安全软件窗口保护、安全输入、截屏保护的一些思路。挂钩NtUserFindWindowEx、NtUserGetForegroundWindow、NtUserBuildHwndList、NtUserQueryWindow、NtUserWindowFromPoint、NtUserSetParent、NtUser
Win64 驱动内核编程-22.SHADOW SSDT HOOK(宋孖健)
天使也掉毛
03-26 4798
SHADOWSSDTHOOK HOOK和UNHOOKSHADOWSSDT跟之前的HOOK/UNHOOKSSDT类似,区别是查找SSSDT的特征码,以及根据索引计算函数地址的公式,还有一个就是吧跳转函数写在什么位置,SSDT的时候是写在蓝屏函数里了。 一、获得wKeServiceDescriptorTableShadow的地址 这个跟获得KeServi...
WPF自定义控件——顶级控件
weixin_30892037的博客
12-25 630
作为一个WPF程序员,我最希望看到的是WPF的应用,或者更确切的说是绚丽的应用,虽然限于自身的实力还不能拿出成绩来,但看到别人的作品时,心里还是有很大的宽慰——WPF是可以做出更加动人地产品的,只要你坚定的走下去,带着不满现状的追求走下去。 下图是Telerik的WPF控件,我相信很多人也下过他的DEMO,研究过他的代码,并由此激起对WPF的信心。今天我们就来仿造他的Drag...
CVE-2022-21882 Win32k内核提权漏洞深入分析
二狗的博客
01-30 786
CVE-2022-21882是对CVE-2021-1732漏洞的绕过,属于win32k驱动程序中的一个类型混淆漏洞。攻击者可以在user_mode调用相关的GUIAPI进行内核调用,如xxxMenuWindowProc、xxxSBWndProc、xxxSwitchWndProc、xxxTooltipWndProc等,这些内核函数会触发回调xxxClientAllocWindowClassExtraBytes。攻击者可以通过hook
揭秘gapfnScSendMessage数组大部分都是NtUserMessageCall
最新发布
linux-0.11调试教程
08-31 367
揭秘gapfnScSendMessage数组大部分都是NtUserMessageCall client/clmsg.c里面的 RealDefWindowProcWorker函数里面大量调用了CsSendMessage函数 第一部分B: client/usercli.h文件里有CsSendMessage函数的宏定义 #define CsSendMessage(hwnd, msg, wParam, lParam, xParam, pfn, bAnsi) \ (((msg) >= WM
驱动编程:注册表回调,进程回调,文件回调,进程隐藏断链,窗口保护
追逐光芒,追随内心
10-28 1876
#include "struct.h" #define debug_pott_offset 0x298 //#define debug_pott_offset 0x1f0 DWORD changge_size_NtClose = 0; //NtClose被修改了N字节 PUCHAR ori_head_NtClose = NULL; //NtClose的前N字节数组 PVOID ori_addr_NtClose = NULL; //NtCl..
一个反键盘记录工具的分析
08-22 1470
除了nProtect,国外还有一些反键盘记录工具,比如下面这个还不错:http://www.anti-keyloggers.com/是个通用型的,与QQ的nProtect专门用于保护密码不同。而且反破解做的不错(对我这种破解外行而言,呵呵)。它的原理我简单的说一下,就是替换键盘类驱动的KeyboardClassServiceCallback,然后把得到的ScanCode传递到用户态
CydiaSubstrate Inline Hook漏洞分析与修复实践
修复可能包括使用更安全的内存管理技术,或者优化hook函数的实现以避免潜在的运行时错误。 在后续的SWITCHcmzU部分(编号!2和!3),作者继续关注不同情况下的inlinehook使用,可能涉及到更多的调试和修复工作。例如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值