驱动中给进程注入DLL,模拟GlobaHook,不完整,某些情况下报错

最新推荐文章于 2024-05-31 19:34:41 发布
最新推荐文章于 2024-05-31 19:34:41 发布
阅读量3.2k 收藏 3
点赞数
分类专栏: 驱动开发学习
利用 PsSetLoadImageNotifyRoutine 设置回调,等有镜像被加载的时候,根据进程PID获取基址,然后和镜像基址对比,
如果相同,则加载的是进程EXE的镜像,这个时候通过修改镜像头中的导入表 来注入DLL。
修改导入表部分的代码,是修改的MS的detours库来的。
经过测试大部分进程注入都没问题,碰到一些比较特殊的进程运行的时候会报错,请教高手。。。
一下是核心代码:

//获取进程基址
PVOID GetProcessBaseAddress(IN HANDLE PID)
{
    NTSTATUS status;
    HANDLE hProcess = NULL;
    CLIENT_ID clientid;
    OBJECT_ATTRIBUTES ObjectAttributes;
    PPROCESS_BASIC_INFORMATION pProcessBaseInfo;
    ULONG returnedLength;
    PMY_PEB Peb;
    PVOID ImageBase = NULL;

    if(KeGetCurrentIrql() >= DISPATCH_LEVEL)
    { 
        return ImageBase;
    }

    InitializeObjectAttributes(&ObjectAttributes, 0, OBJ_CASE_INSENSITIVE|OBJ_KERNEL_HANDLE, 0, 0);
    clientid.UniqueProcess = PID;
    clientid.UniqueThread = 0;
    //通过PID获得进程句柄
    status = ZwOpenProcess(&hProcess, PROCESS_ALL_ACCESS, &ObjectAttributes, &clientid);
    if(!NT_SUCCESS(status))
    {
        DbgPrint("[GetProcessBaseAddress] ZwOpenProcess 调用失败\n");
        return ImageBase;
    }

    pProcessBaseInfo = (PPROCESS_BASIC_INFORMATION)ExAllocatePoolWithTag(NonPagedPool, sizeof(PROCESS_BASIC_INFORMATION), 'sam1');
    if (pProcessBaseInfo == NULL)
    {
        DbgPrint("[GetProcessBaseAddress]ExAllocatePoolWithTag 分配内存失败\n");
        ZwClose(hProcess);
        return ImageBase;        
    }
    RtlZeroMemory(pProcessBaseInfo, sizeof(PROCESS_BASIC_INFORMATION));

    //获得文件镜像名
    status = ZwQueryInformationProcess(hProcess, ProcessBasicInformation, pProcessBaseInfo, sizeof(PROCESS_BASIC_INFORMATION), &returnedLength);
    if(NT_SUCCESS(status)) 
    {
        Peb = (PMY_PEB)pProcessBaseInfo->PebBaseAddress;
        ImageBase = Peb->Reserved3[1];
    }
    else
    {
        DbgPrint("[GetProcessBaseAddress]2.ZwQueryInformationProcess 调用失败\n");
    }

    ZwClose(hProcess);
    ExFreePool(pProcessBaseInfo);
    return ImageBase;
}
//-----------------------------------------------------------------------------------------------------


//---------------------------------------
ULONG PadToDword(ULONG dw)
{
    return (dw + 3) & ~3u;
}

ULONG PadToDwordPtr(ULONG dw)
{
    return (dw + 7) & ~7u;
}

BOOLEAN StringCchCopyA(CHAR *pszDest, size_t cchDest, const CHAR *pszSrc)
{
    BOOLEAN hr = TRUE;

    if (cchDest == 0)
    {
        hr = FALSE;
    }
    else
    {
        while (cchDest && (*pszSrc != '\0'))
        {
            *pszDest++ = *pszSrc++;
            cchDest--;
        }

        if (cchDest == 0)
        {
            // we are going to truncate pszDest
            pszDest--;
            hr = FALSE;
        }

        *pszDest= '\0';
    }

    return hr;
}

//修改导入表注入DLL
BOOLEAN XXXXXDLL(IN HANDLE ProcessId,  IN PVOID pImageBase, PCHAR lpDlls[], ULONG nDlls)
{
    NTSTATUS ntStatus;

    PEPROCESS EProcess;
    KAPC_STATE ApcState;
    HANDLE hProcessHandle;
    CHAR curProcessName[16] = {0};

    PIMAGE_DOS_HEADER pDos;                            //DOS头
    PIMAGE_NT_HEADERS pHeader;                        //NT头
    PIMAGE_IMPORT_DESCRIPTOR pImportDesc;    //原始导入表
    PDETOUR_CLR_HEADER pClr;

    ULONG nBound = 0;
    ULONG dwFileSize = 0;
    ULONG dwSec = 0;

    PVOID pbNewIid = NULL;
    PVOID pbNew = NULL;
    ULONG cbNew = 0;
    ULONG obRem = 0;
    ULONG obTab = 0;
    ULONG obDll = 0;
    ULONG obStr = 0;
    ULONG cbTmp = 0;
    ULONG obBase = 0;
    ULONG i=0, n=0;

    ULONG OldProtect = 0;
    PVOID lpTemp1 = NULL;
    ULONG dwTemp1 = 0;

    if(ProcessId == 0 || pImageBase == NULL)
    {
        return FALSE;
    }

    pDos =(PIMAGE_DOS_HEADER) pImageBase;
    pHeader = (PIMAGE_NT_HEADERS)((ULONG)pImageBase + (ULONG)pDos->e_lfanew);
    pImportDesc = (PIMAGE_IMPORT_DESCRIPTOR)((ULONG)pImageBase + pHeader->IMPORT_DIRECTORY.VirtualAddress);

    if(pHeader->IMPORT_DIRECTORY.VirtualAddress == 0)
    {
        return FALSE;
    }

    if(PsLookupProcessByProcessId( (PVOID)ProcessId, (PEPROCESS *)&EProcess) != STATUS_SUCCESS) 
    {
        DbgPrint("[XXXXXDLL] PsLookupProcessByProcessId failed\n");
        return FALSE;
    }

    __try
    {
        KeStackAttachProcess(EProcess, &ApcState);

        ntStatus = ObOpenObjectByPointer(EProcess, OBJ_KERNEL_HANDLE, NULL, 0x008,  NULL, KernelMode, &hProcessHandle);
        if(!NT_SUCCESS(ntStatus)) 
        {
            DbgPrint("[XXXXXDLL] ObOpenObjectByPointer failed error [%08X]\n", ntStatus);
            __leave;
        }

        lpTemp1 = (PVOID)(&pHeader->BOUND_DIRECTORY.VirtualAddress);
        dwTemp1 = 4;
        ZwProtectVirtualMemory(hProcessHandle, &lpTemp1, &dwTemp1, PAGE_EXECUTE_READWRITE, &OldProtect);
        pHeader->BOUND_DIRECTORY.VirtualAddress = 0;
        ZwProtectVirtualMemory(hProcessHandle, &lpTemp1, &dwTemp1, OldProtect, NULL);

        lpTemp1 = (PVOID)(&pHeader->BOUND_DIRECTORY.Size);
        dwTemp1 = 4;
        ZwProtectVirtualMemory(hProcessHandle, &lpTemp1, &dwTemp1, PAGE_EXECUTE_READWRITE, &OldProtect);
        pHeader->BOUND_DIRECTORY.Size = 0;
        ZwProtectVirtualMemory(hProcessHandle, &lpTemp1, &dwTemp1, OldProtect, NULL);


        dwSec = (ULONG)pDos->e_lfanew + FIELD_OFFSET( IMAGE_NT_HEADERS, OptionalHeader ) + pHeader->FileHeader.SizeOfOptionalHeader;
        for (i=0; i<pHeader->FileHeader.NumberOfSections; i++) 
        {
            PIMAGE_SECTION_HEADER pSectionHeader;
            pSectionHeader = (PIMAGE_SECTION_HEADER)((ULONG)pImageBase + dwSec + (sizeof(IMAGE_SECTION_HEADER) * i));

            // 如果该文件不具有IAT_DIRECTORY,我们创建一个.
            if (pHeader->IAT_DIRECTORY.VirtualAddress == 0 &&
                pHeader->IMPORT_DIRECTORY.VirtualAddress >= pSectionHeader->VirtualAddress &&
                pHeader->IMPORT_DIRECTORY.VirtualAddress < pSectionHeader->VirtualAddress +pSectionHeader->SizeOfRawData
                ) 
            {
                lpTemp1 = (PVOID)(&pHeader->IAT_DIRECTORY.VirtualAddress);
                dwTemp1 = 4;
                ZwProtectVirtualMemory(hProcessHandle, &lpTemp1, &dwTemp1, PAGE_EXECUTE_READWRITE, &OldProtect);
                pHeader->IAT_DIRECTORY.VirtualAddress = pSectionHeader->VirtualAddress;
                ZwProtectVirtualMemory(hProcessHandle, &lpTemp1, &dwTemp1, OldProtect, NULL);

                lpTemp1 = (PVOID)(&pHeader->IAT_DIRECTORY.Size);
                dwTemp1 = 4;
                ZwProtectVirtualMemory(hProcessHandle, &lpTemp1, &dwTemp1, PAGE_EXECUTE_READWRITE, &OldProtect);
                pHeader->IAT_DIRECTORY.Size = pSectionHeader->SizeOfRawData;
                ZwProtectVirtualMemory(hProcessHandle, &lpTemp1, &dwTemp1, OldProtect, NULL);
            }

            // Find the end of the file...
            if (dwFileSize < pSectionHeader->PointerToRawData + pSectionHeader->SizeOfRawData)
            {
                dwFileSize = pSectionHeader->PointerToRawData + pSectionHeader->SizeOfRawData;
            }
        }

        obRem = sizeof(IMAGE_IMPORT_DESCRIPTOR) * nDlls;
        obTab = PadToDwordPtr(obRem + pHeader->IMPORT_DIRECTORY.Size);
        obDll = obTab + sizeof(DWORD_PTR) * 4 * nDlls;
        obStr = obDll;
        cbNew = obStr;

        for(n=0; n<nDlls; n++) 
        {
            cbNew += PadToDword((DWORD)strlen(lpDlls[n]) + 1);
        }

        // 分配本地内存,先在本地内存中构造好输入表
        pbNew = ExAllocatePoolWithTag(NonPagedPool, cbNew, 'sam1');
        if (pbNew == NULL) 
        {
            DbgPrint("[XXXXXDLL] ExAllocatePoolWithTag cbNew faile\n");
            __leave;
        }
        RtlZeroMemory(pbNew, cbNew);

        // 在进程中分配和本地内存同样大小的虚拟内存
        cbTmp = cbNew;
        ntStatus = ZwAllocateVirtualMemory(hProcessHandle, &pbNewIid, 0, &cbTmp, MEM_COMMIT|MEM_TOP_DOWN, PAGE_EXECUTE_READWRITE);
        if(!NT_SUCCESS(ntStatus))
        { 
            DbgPrint("[XXXXXDLL] ZwAllocateVirtualMemory pbNewIid failed error [%08X]\n", ntStatus);
            __leave;
        }
        RtlZeroMemory(pbNewIid, cbNew);

        // pbNewIid 是我们在远程线程分配的新的输入表的首地址,和pbModule想减后就得到它的RVA了
        obBase = (ULONG)((ULONG)pbNewIid - (ULONG)pImageBase);

        // 将旧的输入表读入到本地内存,注意有一个偏移obRem
        RtlCopyMemory((PUCHAR)((ULONG)pbNew + obRem), pImportDesc, pHeader->IMPORT_DIRECTORY.Size);

        {
            PIMAGE_IMPORT_DESCRIPTOR piid = (PIMAGE_IMPORT_DESCRIPTOR)pbNew;
            ULONG_PTR *pt = NULL;
            ULONG nOffset = 0;

            for(n=0; n<nDlls; n++)
            {
                if(!StringCchCopyA((char*)pbNew + obStr, cbNew - obStr, lpDlls[n]))
                {
                    DbgPrint("StringCchCopyA 拷贝DLL路径失败\n");
                    __leave;
                }

                nOffset = obTab + (sizeof(ULONG_PTR) * (4 * n));
                piid[n].OriginalFirstThunk = obBase + nOffset;
                pt = ((ULONG_PTR*)((ULONG)pbNew + nOffset));
                pt[0] = IMAGE_ORDINAL_FLAG + 1;
                pt[1] = 0;

                nOffset = obTab + (sizeof(ULONG_PTR) * ((4 * n) + 2));
                piid[n].FirstThunk = obBase + nOffset;
                pt = ((ULONG_PTR*)((ULONG)pbNew + nOffset));
                pt[0] = IMAGE_ORDINAL_FLAG + 1;
                pt[1] = 0;

                piid[n].TimeDateStamp = 0;
                piid[n].ForwarderChain = 0;
                piid[n].Name = obBase + obStr;

                obStr += PadToDword((ULONG)strlen(lpDlls[n]) + 1);
            }
        }

        //Update the CLR header.
        if (pHeader->CLR_DIRECTORY.VirtualAddress != 0 && pHeader->CLR_DIRECTORY.Size != 0) 
        {
            ULONG flg = 0;
            pClr = (PDETOUR_CLR_HEADER)((ULONG)pImageBase + pHeader->CLR_DIRECTORY.VirtualAddress);
            flg = pClr->Flags & 0xfffffffe;

            lpTemp1 = (PVOID)(&pClr->Flags);
            dwTemp1 = 4;
            ZwProtectVirtualMemory(hProcessHandle, &lpTemp1, &dwTemp1, PAGE_EXECUTE_READWRITE, &OldProtect);
            pClr->Flags = flg;
            ZwProtectVirtualMemory(hProcessHandle, &lpTemp1, &dwTemp1, OldProtect, NULL);
        }

        if(pHeader->IMPORT_DIRECTORY.VirtualAddress > 0)
        {
            //拷贝本地内存中的新的输入表数据到虚拟内存中
            ntStatus = ZwWriteVirtualMemory(hProcessHandle, pbNewIid, pbNew, obStr, NULL);
            if(!NT_SUCCESS(ntStatus))
            {
                DbgPrint("[XXXXXDLL] ZwWriteVirtualMemory pbNewIid failed error [%08X]\n", ntStatus);
                __leave;
            }


            KdPrint(("原导入表: [%08X] - [%d]\n", pHeader->IMPORT_DIRECTORY.VirtualAddress, pHeader->IMPORT_DIRECTORY.Size));
            //设置输入表的地址和大小,为刚才分配的虚拟内存
            lpTemp1 = (PVOID)(&pHeader->IMPORT_DIRECTORY.VirtualAddress);
            dwTemp1 = 4;
            ZwProtectVirtualMemory(hProcessHandle, &lpTemp1, &dwTemp1, PAGE_EXECUTE_READWRITE, &OldProtect);
            pHeader->IMPORT_DIRECTORY.VirtualAddress = obBase;
            ZwProtectVirtualMemory(hProcessHandle, &lpTemp1, &dwTemp1, OldProtect, NULL);

            lpTemp1 = (PVOID)(&pHeader->IMPORT_DIRECTORY.Size);
            dwTemp1 = 4;
            ZwProtectVirtualMemory(hProcessHandle, &lpTemp1, &dwTemp1, PAGE_EXECUTE_READWRITE, &OldProtect);
            pHeader->IMPORT_DIRECTORY.Size = cbNew;
            ZwProtectVirtualMemory(hProcessHandle, &lpTemp1, &dwTemp1, OldProtect, NULL);

            KdPrint(("新导入表: [%08X] - [%d]\n", pHeader->IMPORT_DIRECTORY.VirtualAddress, pHeader->IMPORT_DIRECTORY.Size));
        }
    }
    __finally
    {
        if(pbNew)
        {
            ExFreePool(pbNew);
        }

        if(hProcessHandle)
        {
            ZwClose(hProcessHandle);
            hProcessHandle = NULL;
        }

        KeUnstackDetachProcess(&ApcState);
    }

    ObDereferenceObject(EProcess);
    return TRUE;
}
//--------------------------------------------------------------------------------------


//LoadImage回调,在此注入DLL
VOID LoadImageRoutine(
                      IN PUNICODE_STRING  FullImageName,
                      IN HANDLE  ProcessId, // where image is mapped
                      IN PIMAGE_INFO  ImageInfo
                      )
{
    PVOID pProcessBase = NULL;

    if(ImageInfo->SystemModeImage)
    {
    }
    else
    {
        pProcessBase = GetProcessBaseAddress(ProcessId);
        if(pProcessBase == ImageInfo->ImageBase)
        {
            //注入DLL
            CHAR *rlpDlls[2];
            ULONG nDlls = 0;
            rlpDlls[nDlls++] = "HookReg.dll";
            XXXXXDLL(ProcessId, ImageInfo->ImageBase, rlpDlls, nDlls);
        }
    }
}
cosmoslife
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
《导入表内注入代码》文章代码
02-22
《导入表内注入代码》文章代码,本文介绍注入代码到PE(Portable Executable可移植的执行体)文件格式的Import Table(导入表,也有译为“引入表”)技术,其也被称为API重定向技术(API redirection technique)。
易语言内存清零杀进程
07-16
易语言内存清零杀进程源码,内存清零杀进程,OpenProcess,ZwWriteVirtualMemory,ZwProtectVirtualMemory,ZwClose
Windows内核Dll注入(一)
最新发布
xsinlink的博客
05-31 830
近期在云桌面遇到许多情况都需要对应用层程序的函数进行HOOK,并需要对函数参数进行各种修改,以便能够在虚拟桌面里面支持一些特性(尤其是一些3D的场景)。因此这里最主要的就是需要对HOOK进程进行注入,来实现HOOK函数的功能。在早期开发,就实现过DLL注入的功能,不过都是基于用户层的注入来实现的,例如有远线程注入,消息钩子注入,用户层OPE注入HOOK注入的第一步是需要找到一个函数,这个函数可以确保所有的进程启动的时候都会被调用,这个函数就是。下面的文章主要是针对HOOK函数的注入,这个函数是。
DLL巧妙的绕过被VMP壳HOOK的ZwProtectVirtualMemory
JUST DO IT.
11-24 4363
被VMP HOOK的ZwProtectVirtualMemory介绍 ZwProtectVirtualMemory,是一个修改内存输入的API函数,VirtualProtect和VirtualProtectEx修改内存属性都会通过ZwProtectVirtualMemory这个API函数. 在VMP壳的程序,注入DLL进行一定的内存修改,但会发现,对WINAPI或者程序的代码段等进行WriteProcessMemory操作,会发现修改错误,错误提示是没有修改权限. 而WriteProcessMemo
32位和64位系统内核函数调用从ZwProtectVirtualMemory到NtProtectVirtualMemory
weixin_30624825的博客
09-01 969
0x01 前言   我们知道R3层,Zw系列函数和Nt系列函数函数是一样的,但是在内核Zw系列函数调用了Nt系列函数,但是为什么要在内核设置一个Zw系列函数而不是直接调用Nt函数呢?Zw系列函数又是怎么调用Nt系列函数的呢?我们利用IDA分析NtosKrnl.exe文件。 0x02 ZwProtectVirtualMemory   我们先看看ZwProtectVirtualMemor...
驱动DLL注入,APC注入驱动回调注入等实现详细流程及代码!
QQ1289671197的博客
10-16 5450
DLL注入有很多方法,远线程,钩子,输入法,劫持,APC等等。 现在的好多进程都有保护,特别是一些游戏有各种保护如TP TS HS NP CD GPK BE SG3等等保护,这样常规的注入方法就没效果了。 现在流行且稳定的注入方法一般都要用驱动来实现了,驱动注入,APC,回调等都可以用驱动注入驱动部分代码: #include "apc_inject_test.h" #include "asm_...
ZwProtectVirtualMemory使用出现的问题和
被遗弃的庸才博客
08-10 670
需要注意的是这个函数未文档话,网上随便找了个定义,发现报错0xC00000F1注意第三个参数应该是SIZE_T*类型了,PULONG传进去如果复制的时候是ULONG,前面的高4位不会清零会出错。
驱动注入DLL指定进程.rar_dll注入_驱动 dll注入_驱动注入_驱动注入dll_驱动进程
07-15
驱动注入是计算机编程一种高级技术,主要用于在目标进程加载动态链接库(DLL),从而实现对目标进程的扩展或控制。这里的"驱动注入DLL进程"是指通过驱动程序来完成DLL注入操作,这种方式通常涉及到操作系统...
易语言创建进程注入DLL
07-21
在易语言,创建进程注入DLL是一项常见的技术操作,它主要用于实现程序间的数据共享、功能扩展或者隐蔽执行某些任务。这里我们将深入探讨这个主题。 首先,让我们了解什么是“创建进程”和“DLL注入”。创建进程是...
进程注入器,dll注入
08-30
进程注入DLL注入是计算机安全领域的技术,主要用于软件调试、功能增强以及恶意软件的渗透测试。这些技术涉及操作系统的核心层面,尤其是进程管理和动态链接库(DLL)的加载机制。 DLL注入是一种技术,通过将一...
API创建暂停进程进行DLL注入.rar
04-04
这在需要对进程进行调试或者在不影响其他线程的情况下对进程进行操作时非常有用。 然后,DLL注入是一种技术,常用于调试、监控、甚至恶意软件。它涉及将一个动态链接库加载到目标进程,使得DLL的代码可以在...
驱动开发实现修改导入表注入dll
12-21
导入表注入dll其实就是给程序的导入表添加一个dll和相应函数,程序在被载入时,系统会自动加载该dll,从而实现dll注入。 我在驱动实现修改导入表的方法就是使用PsSetLoadImageNotifyRoutine函数创建回调,在回调修改导入表。
郁金香vc过驱动保护
05-15
郁金香VC++过驱动保护全套 免key版 天異赤提供 教程下载地址获取方法: 第一步:打开下方链接,填写QQ邮箱,系统会往QQ邮箱发一封确认订阅邮件 第二步:打开QQ邮箱查看邮件,确认订阅,订阅成功后系统会自动把下载地址和解压密码一起发送到你QQ邮箱http://list.qq.com/cgi-bin/qf_invite?id=585e150c59f30e1213af9a9352367711b2e45c217582cf35 最近时间有些多,一时对网络游戏的保护机制感兴趣了,来研究了一下,听说QQ系列的TesSafe.sys 有些强,于是拿来看看驱动都做了些什 么.以下是对DNF和QQffo(自由幻想)研究结果(xp sp2) 在网上找了些TesSafe的资料,说TesSafe并不怎么样 现在这个版本保护的结果为:任务管理器可以看到游戏进程,但OD和CE看不见,更不用说什么调试了,iceword可以 看到EPROCSS,但WSysCheck看 郁金香驱动 不见,自己写程序,也不能注入受保护的游戏进程. 可见,NtOpenProcess被Hook了,恢复SSDT后,没有任何效果,可见是inline hook , 用一般的软件检测一下,没有发现inline hook,看来hook得比较深,在网上一找资料才发现,原来的确够隐藏的 郁金香驱动 以下是上一个TesSafe版本的分析结果 从网上找出来的资料,TesSafe.sys保护原理(DNF的保护,我听说,QQ系列游戏的保护机制都是一样的) ================================================================= 保护得比较没有意思,强度也不高.可能隐藏性稍好一些. 用IDA反汇编TesSafe.sys可以看到: 这个驱动一加载,ExAllocPoolWithTag分配了一块内存,然后将一个函数写进这块内存,接着做好保护,然后 PsCreateSystemThread()创建的 郁金香驱动 线程调用ZwUnloadDriver将驱动卸载。虽 然驱动被卸载了,但是ExAllocPoolWithTag分配的内存仍然在起作用。 具体来看它如何进行保护: 郁金香驱动 先是得到了ObOpenObjectByPointer的地址,然后在 NtOpenProcess搜索0xe8 ,也就是跳转指令,直到遇见RET为止。 一但得到0xe8,比较后面的四个字节,如果转换后为 ObOpenObjectByPointer的地址,就把这个地址用自己代理函数的地址转换后替换掉,达到 保护自己的目的。 郁金香驱动 用WinDbg看了看,果然在我的机器上:0x80570e41这个在 NtOpenProcess的区域被TesSafe.sys修改,原来这里是:80570e41 e87c8dffff call nt!ObOpenObjectByPointer (80569bc2) 系统通过ObOpenObjectByPointer来通过 EPROCESS得到Handle返回给调用者。TENCENT在这里下了一个跳转:(TesSafe.sys加载后。)80570e41 e826542a78 call f881626c 很明显,系统执行到这里就会调用0x6881626c的函数,也就是 TesSafe.sys的 ObOpenObjectByPointer代理函数。这 样,Client.exe就会在这里被过滤掉,从而让R3程序无法得到QQT的句柄,从而保护进程。 郁金香驱动 ================================================================================= 我手头拿到的版本是2008年8月5号的,把TesSafe逆出来一看,比上个版本有所加强. 在这个新版本,TesSafe一共InLine Hook了六个函数,我只逆出并恢复了五个 其: 1. KeAttachProcess NtOpenProcess NtOpenThread 这三个函数的HOOK方式与上一个版本一样,就是上面蓝色字体的方法,把本应该call ObOpenObjectByPointe的代码修改成了call他自己的代码, 然后在他自己的代码处理保护的进程 上面三个函数,原来正常的代码为 80581ce3 e8a658ffff call nt!ObOpenObjectByPointer (8057758e) 被HOOK后的代码变成了 call a8724af4(TesSafe自己搞出来的函数) lkd> u a8724af
易语言API创建暂停进程进行DLL注入
07-21
易语言API创建暂停进程进行DLL注入源码,API创建暂停进程进行DLL注入,GetCmdLine,命令行缓冲区_,取文本内容长度_,CopyMemory,SN_CreateProcessA,SN_InjectDllA
7.1 Windows驱动开发:内核监控进程与线程回调
CSDN
11-21 4506
系统监控进程与线程可以使用微软提供给我们的两个新函数来实现,此类函数的原理是创建一个回调事件,当有进程或线程被创建或者注销时,系统会通过回调机制将该进程相关信息优先返回给我们自己的函数待处理结束后再转向系统层。那么会提示连接的设备没有发挥作用,我们则成功拦截了这次打开,当然如果在打开进程之前扫描其特征并根据特征拒绝进程打开,那么就可以实现一个简单的防恶意程序,进程监控在防恶意程序也是用的最多的。一直在重复的实现对系统底层模块的枚举,今天我们将展开一个新的话题,内核监控,我们以。
一个PsSetLoadImageNotifyRoutine回调内核注入DLL,支持xp ~ win7源码
kingswb的博客
05-21 5676
标 题: 【原创】一个PsSetLoadImageNotifyRoutine回调内核注入DLL,支持xp ~ win7源码 作 者: oxlwj 时 间: 2011-09-11,10:43:53 链 接: http://bbs.pediy.com/showthread.php?t=139986 一个PsSetLoadImageNotifyRoutine回调内核注入DLL,支持xp ~ 
mhook钩ZwProtectVirtualMemory直接崩溃的问题与解决
suprole的黑皮本
05-25 2393
Mhook_SetHook()的相关大致流程:
火绒内核注入dll方式win7-win10通用x64下不触发PG
chio1994的博客
07-09 2440
帖子原地址为:http://www.mengwuji.net/thread-6765-1-1.html 看起来相当简单.结果踩进去以后全都是坑 32位下完工代码地址:http://git.oschina.net/ockdieso/nahequdongzhurudll 只是对哪个帖子做一些...
请用python写一个游戏内存驱动读写和驱动注入dll的程序给我
02-06
在 Windows 系统,可以使用 Python 的 ctypes 模块来进行内存驱动的读写和 DLL注入。 下面是一个示例程序,它将读取指定进程的内存的数据并打印出来,然后将一个 DLL 注入到指定进程: ```python import ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值