360内核 inline Hook 分析

最新推荐文章于 2021-08-26 16:12:58 发布
最新推荐文章于 2021-08-26 16:12:58 发布
阅读量164 收藏
点赞数
原文链接:http://www.cnblogs.com/russinovich/archive/2011/04/19/2020385.html
版权

  

今天下载了360的最新的版本,想看下最近360在内核的钩子与以前有没有变化!

与以前一样还是通过分析找到360下钩子的地方。结果发现与以前没有什么变化。

Hook之前:

kd> u nt!KiFastCallEntry+0xe1
nt!KiFastCallEntry+0xe1:
8053e621 2be1            sub     esp,ecx
8053e623 c1e902          shr     ecx,2
8053e626 8bfc            mov     edi,esp
8053e628 3b35d4995580    cmp     esi,dword ptr [nt!MmUserProbeAddress (805599d4)]

Hook之后:

kd> u 8053E621
nt!KiFastCallEntry+0xe1:
8053e621 e90abbca01      jmp     821ea130

8053e626 8bfc            mov edi,esp
8053e628 3b35d4995580    cmp esi,dword ptr [nt!MmUserProbeAddress (805599d4)]

360还是inline hook nt!KiFastCallEntry+0xe1 这个地方!


 

 

不过,我们不能直接恢复这个钩子,因为360的驱动Hookport.sys会对这个钩子进行保护

我们需要把这保护的地方也打掉才行!
通过简单的分析我们知道具体的检查的函数是在:

kd> u f86b4354
Hookport+0xa354:

f86b4354 a184576bf8      mov     eax,dword ptr [Hookport+0xb784 (f86b5784)]
f86b4359 8038e9          cmp     byte ptr [eax],0E9h
f86b435c 750b            jne     Hookport+0xa369 (f86b4369)
f86b435e 8b4001          mov     eax,dword ptr [eax+1]
f86b4361 3b0574576bf8    cmp     eax,dword ptr [Hookport+0xb774 (f86b5774)]
f86b4367 7405            je      Hookport+0xa36e (f86b436e)
f86b4369 e894ffffff      call    Hookport+0xa302 (f86b4302)
f86b436e 33c0            xor     eax,eax
f86b4370 c20c00          ret     0Ch

 

这个函数很简单比较了第一个字节是不是等于0xE9和后面的4个字节是不是等于0x01cabb0a;

我就直接让这个函数返回

kd> eb f86b4354 c2 0c 00

 

现在我们再恢复刚才被Hook的地方

eb 8053e621 2b e1 c1 e9 02

 

到这儿360在内核的Hook被恢复了!我们看一下360在界面上的变化:

 

Untitled

 

不过总体感觉360比以前有进步了!

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

转载于:https://www.cnblogs.com/russinovich/archive/2011/04/19/2020385.html

anxi2128
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
详谈内核三步走Inline Hook实现
Rprop
08-16 3651
前置知识:汇编 驱动 windbg 函数参数调用 关键词:堆栈平衡  inline hook  详谈内核三步走InlineHook实现 文/图  wofeiwo (一)Inline hook原理 Inline hook通俗的说就是对函数执行流程进行修改,达到控制函数过滤
static inline内联函数
zhichaosong的专栏
01-13 1391
内联函数有些类似于宏。内联函数的代码会被直接嵌入在它被调用的地方,调用几次就嵌入几次,没有使用call指令。这样省去了函数调用时的一些额外开销,比如保存和恢复函数返回地址等,可以加快速度。不过调用次数多的话,会使可执行文件变大,这样会降低速度。相比起宏来说,内核开发者一般更喜欢使用内联函数。因为内联函数没有长度限制,格式限制。编译器还可以检查函数调用方式,以防止其被误用。 static inli
linux系统下的各种hook方式\Linux内核hook系统调用
热门推荐
西京刀客
08-26 1万+
文章目录一、linux系统下的各种hook方式1. 函数指针hook2. 动态库劫持3. Linux系统调用劫持 hook4. 堆栈式文件系统5. LSM二、Linux内核hook系统调用 一、linux系统下的各种hook方式 在计算机中,基本所有的软件程序都可以通过hook方式进行行为拦截,hook方式就是改变原始的执行流, Linux平台上常见的拦截: 修改函数指针。 用户态动态库拦截。 内核态系统调用拦截。 堆栈式文件系统拦截。 LSM(Linux Security Modules) 1. 函数
详解恢复Inline Hook源码
03-30
详解恢复inline Hook的源代码
内核HOOK的几种实现与应用
ljtt的专栏
06-24 1086
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们 添加文章 English Version  文章分类  专题文章 漏洞分析 安全配置 黑客教学 编程技术 工具介绍 火墙技术 入侵检测 破解专题 焦点公告 焦点峰会  文章推荐  LSD RPC 溢出漏洞之分析 任意用户模式下执行 ring 0 代码 IIS的NSIISLOG.
使用内核三步实现InlineHook的详细分析
07-06
Inlinehook.通俗的说就是对函数执行流程进行修改。达到控制函数过滤操作的目的。理论上我们可以在函数任何地方把原来指令替换成我们的跳转指令,也确实有些人在inlineHook的时候做得很深,来躲避inlineHook的检测。...
详谈内核Inline Hook实现.rar
06-17
内核Inline Hook是一种在操作系统内核级别进行代码注入的技术,它允许开发者在不修改原始函数源码的情况下,动态地改变函数的行为。这种技术在系统调试、性能优化、安全监控等领域有着广泛的应用。本文将深入探讨...
内核inlinehook的界面工程代码
10-21
内核inlinehook是一种在操作系统内核层面上进行代码注入的技术,它通过替换目标函数的机器指令,实现在不修改原有函数逻辑的情况下,在函数调用时插入自定义的行为。这种技术在系统调试、性能监控、安全防护等领域有...
代码实例分析android中inline hook
08-28
Android 中的 Inline Hook 技术详解 Android 中的 Inline Hook 技术是指在 Android 操作系统中,使用 Hook 技术来拦截和修改应用程序的行为。Inline Hook 是一种常用的 Hook 技术,通过在应用程序的代码中注入一段...
inline hook 源码
11-14
**inline hook**是一种在程序运行时修改代码行为的技术,它涉及到计算机...cpp-stub-master这个库可能是学习和研究这一技术的一个好起点,通过阅读和分析源码,我们可以更深入地了解如何在实际项目中应用inline hook
ssdt hook监控进程,注册表,内核模块的加载_禁止程序运行 禁止修改注册表 禁止加载sys文件.zip
01-25
ssdt hook监控进程,注册表,内核模块的加载_禁止程序运行 禁止修改注册表 禁止加载sys文件.zip
内核三步走实现Inline Hook
06-18
内核三步走实现Inline Hook,介绍如何挂钩内核函数的模版
所有种类的钩子,用户层的API HOOK,内核驱动层的SSDT-hook,IDT-hook,sysenter-hook.zip
01-27
所有种类的钩子,用户层的API HOOK,内核层的SSDT-hook,IDT-hook,sysenter-hook.zip
驱动绕过360的KiFastCallEntry钩子
weixin_30739595的博客
03-28 437
delphi驱动绕过360的KiFastCallEntry钩子加载后360自我保护就换效了,但进程还在,可以直接用任务管理器结束之unitunhook360;interfaceusesnt_status,ntoskrnl,native,winioctl,fcall,macros;typeTHEAD=array[0..4]ofbyte;THEAD1=array[0..5]o...
Windows驱动学习(八)-- 通过InlineHook实现变速齿轮
安全杂货铺
01-04 3759
教程参考自:https://www.bilibili.com/video/av26193169/?p=9 代码地址:https://github.com/G4rb3n/Windows-Driver/tree/master/MT_InlineHook 1. 概述 之前的章节我们介绍了FSD Hook技术,这章我们来讲解一下更底层一点的Inline Hook技术。 2. 原理介绍 Inline Hoo...
hook API系列---理解内核hook
内核小菜的专栏
02-18 1228
hook分为应用层hook内核hook, 应用层的hook在这里不做讨论。 内核级的hook分为 1. ssdt  hook 2. inline hook  关于这两种hook举个比较形象的例子。  假如我是第一次进入A2大楼去财务科找小赵办手续, 在A2门口有一张大楼位置表 写着: 321 : 财务科 我的办事顺序是: 1. 去位置表
VT笔记(2)突破patchguard保护完成X64Hook
kernweak的博客
06-24 8843
win10,2018新年版后好像不支持了? MSR hook MSR (Model Specific Registers)是CPU 的一组64 位寄存器,可以分别通过RDMSR 和WRMSR 两条指令进行读和写的操作,前提要在ECX 中写入MSR 的地址(MSR地址就像一个宏STAR,LSTAR,CSTAR,SFMASK)。对于RDMSR 指令,将会返回相应的MSR 中64bit 信息到(ED...
Win764位系统下使用ObRegisterCallbacks内核函数来实现进程保护
r250414958的博客
11-16 932
先发代码 参考了: https://bbs.pediy.com/thread-200048.htm forwardbob https://bbs.pediy.com/thread-168023-1.htm tianhz http://www.cnblogs.com/aliflycoris/p/5468175.html LycorisGuard 这三位大牛的代码以及原理 #ifndef C...
C/C++:Windows编程—Inline Hook内联钩子(上)
重庆李四
06-10 4374
前言 先介绍下Windows中的Hook技术。Hook是Windows中提供的一种用以替换DOS下“中断”的系统机制,中文译为“挂钩”或“钩子”。在对特定的系统事件进行hook后,一旦发生已hook事件,对该事件进行hook的程序就会收到系统的通知,这时程序就能在第一时间对该事件做出响应。Windows中的Hook技术的方法较多,常见的有Inline Hook、IAT Hook、EAT Hook ...
inline hook
最新发布
04-29
Inline hook是一种常见的hook技术,它是指在程序运行时通过修改程序代码的方式来实现hook的目的。具体来说,当程序执行到某个函数时,inline hook会将原来的函数代码替换成hook函数的代码,从而实现对原函数的拦截和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值