windows内核 win7 和 xp下 hook过滤KiFastCallEntry的不同之处(远离360 hook)

最新推荐文章于 2024-03-27 09:50:57 发布
最新推荐文章于 2024-03-27 09:50:57 发布
阅读量2k 收藏
点赞数
分类专栏: windows内核开发 汇编 驱动 文章标签: hook windows xp 360 byte
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/basketwill/article/details/6845040
版权



  

 

 我们先看下hook  kiFastCallentry 点的汇编代码:

 

winXp: 

FF05 38060000  inc    dword ptr [638]
80542656  8BF2  mov    esi, edx
80542658  8B5F 0C  mov    ebx, dword ptr [edi+C]
8054265B  33C9  xor    ecx, ecx
8054265D  8A0C18  mov    cl, byte ptr [eax+ebx]
80542660  8B3F  mov    edi, dword ptr [edi]
80542662  8B1C87  mov    ebx, dword ptr [edi+eax*4]
80542665  2BE1  sub    esp, ecx
80542667  C1E9 02  shr    ecx, 2
8054266A  8BFC  mov    edi, esp
8054266C  3B35 34315680  cmp    esi, dword ptr [80563134]
80542672  0F83 A8010000  jnc    80542820
80542678  F3:A5  rep(e) movsw/d  dword ptr es:esi, es:edi
8054267A  FFD3  call   ebx

 

红色显示的是kiFastCallEntry函数内  调用 ssdt或者shadow ssdt的过程,eax是调用号,ebx是调用的函数地址edi是ssdt 或者shadow SSDT表的地址,以上是XP的

 

win7:

 

mov edx, dword ptr [edi+C]
mov edi, dword ptr [edi]
mov cl, byte ptr [eax+edx]
mov edx, dword ptr [edi+eax*4]
sub esp, ecx
shr ecx, 2
mov edi, esp
cmp esi, dword ptr [8418584C]
jnb 8405A3F5
rep movs dword ptr es:[edi], dword ptr [esi]
test byte ptr [ebp+6C], 1
je short 8405A1E5
mov ecx, dword ptr fs:[124]
mov edi, dword ptr [esp]
mov dword ptr [ecx+13C], ebx
mov dword ptr [ecx+12C], edi
mov ebx, edx
test byte ptr [84152688], 40
setne byte ptr [ebp+12]
jne 8405A584
call ebx

 

红色显示的是kiFastCallEntry函数内  调用 ssdt或者shadow ssdt的过程,eax是调用号,edx是调用的函数地址edi是ssdt 或者shadow SSDT表的地址,以上是win7的

可以看到 winXp和win7 最后都是通过call ebx来调用函数,只是winXP 前面直接把地址 给ebx,而win7是先把地址给edx,后面再把edx给ebx,所以但是他们都有相同的特征码

80542665  2BE1  sub    esp, ecx
80542667  C1E9 02  shr    ecx, 2
8054266A  8BFC  mov    edi, esp

 

所以在Hook   KiFastCallEntry时 可以 搜索相同的特征码,然后在返回过滤ssdt  或者shadow ssdt函数时,处理不同的寄存器,

在驱动初始化的时候 或者KiFastCallEntry的地址后,搜索以上特征码,然后在判断这里是 ebx 还是 edx,然后 就可以动态的返回ebx还是edx 地址

1.初始判断

 

 if ( dwCallType == 0x1C8B )
   {
    pSysCallFilterInfo->FastCallType = FAST_CALL_EBX;
   }
   else if ( dwCallType == 0x148B  )
   {
    pSysCallFilterInfo->FastCallType = FAST_CALL_EDX;
   }

 

2.Hook filter 动态处理

#pragma LOCKEDCODE

__declspec(naked) NTSTATUS FakeKiFastCallEntry(VOID)
{
 __asm{
  pop esi
  pushfd
  pushad
 
  mov     ecx,dword ptr [pSysCallFilterInfo]
  cmp     dword ptr [ecx + 29h],FAST_CALL_EBX   //如果是ebx则
  jne     _fun2
 

 

//ebx的情况
  push edi
  push ebx
  push eax

  mov esi,0x12345678 //特征码驱动初始化时 修改为自己的过滤函数
  call esi
  mov  dword ptr [esp+10h],eax
  jmp  _exit
_fun2:
  mov     ecx,dword ptr [pSysCallFilterInfo]
  cmp     dword ptr [ecx + 29h],FAST_CALL_EDX //edx的情况
  jne     _exit
  
  push edi
  push edx
  push eax

  mov esi,0x12345678  //特征码驱动初始化时 修改为自己的过滤函数
  call esi
  mov  dword ptr [esp+14h],eax  //注意这里要改成esp + 0x14
 
_exit: 
  popad
  popfd
  nop
  nop
  nop
  nop
  nop
  nop
  nop
  nop
  nop
  nop
  nop
  nop
  push g_ulRetEntry
  retn
  __emit 0xCC
  __emit 0xCC
  __emit 0xCC
  __emit 0xCC
 }

}

 

以上处理 适合在winXp win7中

basketwill
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows xp 热键管理 HookDLL
05-02
Windows xp 热键管理 HookDLL
XP_HOOK 插件案例.zip
08-22
XP_HOOK 插件案例,对应博客文章学习
监控应用层通信_hook_kifastcallentry(系统服务调用)
02-02 896
#include"ntddk.h" #pragma pack(1) //写这个内存以一字节对齐 如果不写是以4字节的对齐的 typedef struct ServiceDescriptorEntry {//这个结构就是为了管理这个数组而来的 内核api所在的数组 才有这个结构的 这个是ssdt unsigned int *ServiceTableBase;//就是ServiceT
xposed hook 简单教程
蜂蜜_柚子茶的博客
12-06 8412
一、准备: 1、root手机一部(夜神模拟器) 2、Android studio 二、创建Android studio项目 1、创建项目 2、Module根目录下创建lib文件夹(注意是lib文件夹,不是libs) 3、拷贝XposedBridgeApi-54.jar问价到lib文件夹内 4、项目引入XposedBridgeApi-54.jar包,注:需将implementation...
探索技术新星:XposedHook - 动态 Hook 的强大工具
最新发布
gitblog_00072的博客
03-27 308
探索技术新星:XposedHook - 动态 Hook 的强大工具 项目地址:https://gitcode.com/shuihuadx/XposedHook 项目简介 XposedHook 是一个基于 Android 平台的框架,它允许开发者在不修改 APK 文件的情况下影响应用的行为。此项目的精髓在于其强大的动态 Hook 能力,使得对应用程序进行调试、性能优化或功能扩展变得更加灵活和方便。 ...
Windows下利用HOOK和进程挂起实现的桌面锁屏
01-20
Windows操作系统中,开发一款桌面锁屏程序可以利用高级编程技术来实现,如HOOK和进程挂起等。本文将深入探讨这些技术,并结合Qt库,介绍如何构建这样的应用。 首先,我们来理解“HOOK”。HOOKWindows API提供的...
SSDT.rar_WINDOWS ssdt_hook_ssdt_ssdt hook_windows xp hook ss
09-21
5. **Windows XP Hook SSDT**:由于XP系统相对旧,可能需要特别处理兼容性和安全问题,这部分可能会讲解在XP环境下Hook SSDT的注意事项和可能遇到的问题。 6. **实例分析**:通过具体的代码示例或者工具演示,展示...
WINDOWS钩子与API截获和替换Win32 API的开发包HookAPI源码1.62版
02-23
HookAPI1.62是一个专门用于开发Windows钩子和API截获功能的工具包,它提供了源码和使用手册,便于开发者深入了解并实现相关功能。 API截获是Hook技术的一种应用,主要用于替代或修改特定的Win32 API函数的行为。在...
win7 64位 ssdthook
11-21
通过hook内核中ssdt表中的ntopenprocess函数,标号为35,可通过遍历ssdt表查找得知,可实现进程保护。 适用系统:win7 64,需关闭驱动签名保护 编程工具:vs2012+wdk8.0
开发Windows 2000 XP下的防火墙.rar_firewall_hook driver_windows 防火墙_防火墙
09-14
开发Windows 2000 XP下的防火墙
驱动层Hook系统内核调用的,拦截对进程的操作.驱动编程的绝好样例.zip
01-27
驱动层Hook系统内核调用的,拦截对进程的操作.驱动编程的绝好样例.zip
挂钩KiFastCallEntry实现驱动级进程保护
06-12
采用挂钩KiFastCallEntry函数来保护进程,使运行进程不会被恶意软件非正常终止,代码包含VC,vb调用实例.
OD插件之重载内核.rar
05-31
OD插件之重载内核.rar
64位驱动SSDTHOOK教程
10-02
完整的64位驱动SSDTHOOK文档资料,学习win7 64位驱动很好的
新版XPHook SSDT隐藏进程
yjz1409276的专栏
12-01 1584
// 网上的代码里,很多函数都是很早之前的,像什么MmCreateMdl,MmMapLockedPages啊,现在早已被废弃。所以想自己写个。蓝了几十次,OMG // 隐藏名称为Demo.exe的进程 #ifdef __cplusplus extern "C" { #endif #include #pragma pack(1) typedef struct ServiceDescript
xp hook 自定义类_使Windows XP在经典登录屏幕上使用自定义主题
cuma1988的博客
10-04 171
xp hook 自定义类This article was written by our excellent reader Leon Steadman. 本文由我们的优秀读者Leon Steadman撰写。 In a previous article, we covered how to customize the logon screen for Windows XP, but that meth...
hook系列——Xposed框架入门(一)
qq_30548105的博客
02-28 8119
说到hook技术,顾名思义就能形象解释了它的作用。 常用的hook技术框架莫过于substrace cydia,frida还有就是这个Xposed了。 先说一下Xposed原理吧 Android 有一个Zygote(受精卵)这个东西,大家应该不陌生,它本质是一个应用层的程序。每个应用程序由它fork()出。其最初的名字是app_process,通过直接调用pctrl把名字给改成了
Xposed hook 极致教学 step by step
weixin_41020820的博客
07-22 1070
Xposed hook 简单第一步hook前提:这里默认你打搭建好了环境1、创建xposed项目demo2、创建lib目录并添加xposedBrager.jar包:3、右键点击jar选择添加到依赖库:4、创建xposed demo类 ,并实现代码:5、编写HOOK代码,这里简单实现打印启动app包名:6、在清单文件添加xposed的配置:7、在src下创建assets目录,并添加text文件:xposed_init:编译运行,一般手机会提示有新的模块没有开启,然后在xposed此框架里面的module里
Xposed Hook Module(模块)开发流程总结
qq_18401643的博客
08-27 1827
start:2020年8月27日 一、前言: 最近在分析某看点App的网络协议,通过jadx静态分析之后,最重要就是要知道分析的位置到底传递了那些信息,第一反应是直接用AK插入log打印出来,但是回编译失败了,为了节约时间我就没有去分析回编译失败的原因了,然后我就选择hook对应的函数,然后打印参数。 开发工具:Android Studio Hook框架:Xposed 二、第一步:创建项目 根据自己的需求选择项目模块,然后填入项目名、项目路径即可。(截图只做参考) 三...
深入解析内核 Inline Hook 实现
本文深入探讨了内核级Inline Hook的原理和实现,Inline Hook是一种强大的技术,它允许我们在函数执行过程中插入自定义的行为,以达到控制或过滤函数操作的目的。在理解Inline Hook之前,需要掌握一些基本知识,如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值