Copy-On-Write机制,全局hook(一)

最新推荐文章于 2019-10-11 23:16:25 发布
最新推荐文章于 2019-10-11 23:16:25 发布
阅读量6.6k 收藏
点赞数
分类专栏: 内核、驱动 文章标签: hook x86 c dll keyboard prototype
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/better0332/article/details/5912585
版权

    我本来想在ring3下全局hook,大约有这么几种方法:

1: 用SetWindowsHookEx,安装的钩子类型,如WH_GETMESSAGE,WH_KEYBOARD等,但这种方法只能挂接系统中的所有GUI线程。

2: 还有一种通过插入注册表来实现 HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Windows/AppInit_DLLs,这种方法简单,但是还是只能挂钩GUI 程序,并且这个键值已经被广大HIPS所关注,吃力不讨好。

3: 用CreateRemoteThread注入到系统所有进程,但这种方法效率太低,特别是实时性太差,因为它要不停循环扫描所有进程,如果突然新建一个进程可能要过好久才能注进去,可能会漏掉很多API。

4: 通过挂钩NtResumeThread实现全局Hook,这种方法比较好,可以看http://www.xfocus.net/articles/200805/981.html

5: 禁用Copy-On-Write机制实现全局hook,但是难度很大,最终还是要去ring0禁用,http://www.xfocus.net/articles/200510/830.html (它是非PAE的)

 

说起Copy-On-Write,先看一个结构

struct   _hardware_pte_x86 (sizeof=4)
  

最低0.47元/天 解锁文章
better0332
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
在Ring0下HOOK Ntdll.dll的Nt*函数的方法
weixin_30632883的博客
03-30 141
typedefstruct_SECTION_IMAGE_INFORMATION{ PVOIDEntryPoint; ULONGStackZeroBits; ULONGStackReserved; ULONGStackCommit; ULONGImageSubsystem; WORDSubsystemVersionLow; WORDSubsystemVe...
各种HOOK方式和检测对抗方法
最新发布
任鸟飞2217777779的博客
09-26 1万+
hook翻译过来是拦截的意思, 我们很多时候也叫钩子,其实是很形象的.hook有什么作用呢?1.当代码执行到某行时,获取寄存器值和内存里的值,进行调试分析,例如hook明文包.2.当代码执行到某行时,插入想执行的代码.例如迅雷拦截发包函数.3.当代码执行到某行时,修改寄存器,达到某些篡改目的.
JIURL玩玩Win2k内存篇 内存共享(二) CopyOnWrite
jiurl的专栏
08-18 1978
JIURL玩玩Win2k内存篇 内存共享(二) CopyOnWrite作者: JIURL                 主页: http://jiurl.yeah.net     日期: 2003-7-30 CopyOnWrite     对于同一个可执行文件运行的两个进程,或
Windows和Linux都有的Copy-on-write技术
dingshen2767的博客
09-27 106
Windows和Linux都有的Copy-on-write技术 MySQL技术内幕Innodb存储引擎第2版 P375 SQL Server2008 实现与维护(MCTS教程)P199 LVM快照技术 LVM使用写时复制copy-on-write技术来创建快照,当创建一个快照时,仅复制原始卷中数据的元数据metadata,并不会有数据物理操作,因此快照创建过程非常...
apache-atlas-2.1.0-hbase-hook.tar.gz
05-10
压缩包内的“apache-atlas-hbase-hook-2.1.0”文件包含了实现上述功能所需的全部组件和配置文件。安装和配置此Hook通常包括以下步骤: 1. **解压文件**:首先,你需要解压“apache-atlas-2.1.0-hbase-hook.tar.gz”...
apache-atlas-2.1.0-kafka-hook.tar.gz
05-10
在"apache-atlas-kafka-hook-2.1.0"这个子目录中,你可能会找到以下关键组件和文件: 1. **配置文件**:通常包括`atlas-application.properties`,这是Atlas的主要配置文件,你可以在这里设置Kafka Hook的相关参数...
apache-atlas-2.1.0-falcon-hook.tar.gz
05-10
Apache Atlas 是一个元数据管理框架,专为大数据环境设计,用于提供数据治理、安全和合规性...这个压缩包中的 "apache-atlas-falcon-hook-2.1.0" 文件可能是实际的集成组件,用于部署和配置在相应的 Hadoop 集群上。
apache-atlas-2.1.0-impala-hook.tar.gz
05-10
在解压 `apache-atlas-impala-hook-2.1.0` 文件后,你将会得到一组用于配置和部署 Atlas Impala Hook 的资源。这些可能包括 Java 类库、配置文件以及安装和配置指南。通常,你需要在 Atlas 和 Impala 的配置中设置...
apache-atlas-2.1.0-hive-hook.tar.gz
05-10
Apache Atlas 是一个元数据管理...这个压缩包的解压后文件 "apache-atlas-hive-hook-2.1.0" 将包含所有必要的库和配置文件,用于在 Hive 中安装和配置 Atlas 的 Hive Hook,从而实现元数据自动化管理和数据治理的强化。
api hook writeprinter例子(系统API)
10-29
包括2个实例,第一个是api hook入门详细介绍,钩自己写的API例子,第二个是钩系统API的例子,非常详细,有测试源码,认证看完肯定明白其中原理,相信我,有什么不明白留言,一一回复!
用Apihook实现的打印监控
05-23
用Apihook实现的打印监控 拦截startDoc函数-Implemented by the print control block Apihook startDoc function
进程专题02篇———进程共享(读时共享写时复制copy-on-write)原理详解——超经典
博雅勇士的博客
10-11 2599
参考:https://blog.csdn.net/qq_33883085/article/details/88799947 写时拷贝(copy-on-write)技术 父子进程之间在刚fork后。父子相同处: 全局变量、.data、.bbs、.text、栈、堆、环境变量、用户ID、宿主目录(进程用户家目录)、进程工作目录、信号处理方式等等,即0~3G的用户空间是完全一样的。父子不同处: 1.进程I...
从win32中的写时复制(Copy on write )机制谈起
bobopeng
07-24 3363
我们知道,内存映射文件的物理存储器来自
HOOK 文件保护,隐藏 禁止访问
Play up! 程序人生 ZQC
06-02 4184
三个主要的函数:NtQueryDirectoryFile、NtCreateFile、NtOpenFile, 其它函数定义未用,保留。   源码.h头文件PathProtect.h: #pragma once #include "APIHook.h" #include "FileInfoDef.h" //typedef用来声明自定义数据类型 typedef NTSTATUS (WINA
(转)反远程线程注入 的思路
gxj1680的专栏
12-20 962
作者: churui 2005-11-05 12:22 某日,遇到一个奇怪的程序(你也许并不关心它的名字,我们就姑且称它为程序A)。这个程序是十分霸道的,在与我的程序(你也肯定不会关心它的名字,所以我们称为程序B)同时执行的时候,总能从程序B(这里也就是进程B了)的数据段中读取到一些内容。这一点让我非常不爽,于是我决定给B加入自我保护的功能,让A不能轻易的读取。听起来有点象“磁心大战”?呵呵
探索NTFS探寻Windows NT/2000 Copy On Write机制
03-31 1668
探寻Windows NT/2000 Copy On Write机制 WebCrazy(http://wecrazy.yeah.net) Copy On Write机制是典型的Lazy evaluation实现,现代操作系统如Windows NT/2000,UNIX/Linux的内存管理部分大量使用这种机制。本文通过对Windows NT/2000中Copy On Write机制作一深入分析,旨在探

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值