R3下猥琐NTDLL钩子

最新推荐文章于 2024-03-26 17:25:18 发布
最新推荐文章于 2024-03-26 17:25:18 发布
阅读量1.6k 收藏
点赞数
链 接:  http://bbs.pediy.com/showthread.php?t=163658


在R3下对NTDLL里面的Zw函数的HOOK 大部分都是在函数前几个字节做HOOK,或者IAT之类的.这样的HOOK 虽然比较方便,不过也存在一个很大的弊端,就是函数HOOK 很容易被检测,所以我们需要一种更猥琐的HOOK方式.当然这只是相对.而不是真的很猥琐......

NTDLL里面的ZW函数大部分都是这样的
代码: 
MOV EAX,1
MOV EDX,7FFE0300
CALL DWORD PTR DS:[EDX]
RETN 20
NTDLL里面的ZW函数都是通过系统全局共享内存7FFE0300调用KiFastSystemCall进入内核,所以我们要做的就是HOOK这个函数.
代码: 
77866190 >  8BD4             MOV EDX,ESP
77866192    0F34             SYSENTER
77866194 >  C3               RETN
大家看到了,大小5个字节 而且还有个返回函数,所以我们只能短跳再长跳.....


代码: 
void HookSystemCall_HOOK()
{
  DWORD dwOldProtect;
  HMODULE hModule = GetModuleHandleA("NTDLL.dll");

  DWORD dwKiFastSystemCall = PtrToUlong(GetProcAddress(hModule, "KiFastSystemCall"));
  VirtualProtect(ULongToPtr(dwKiFastSystemCall - 0xA), 100, PAGE_EXECUTE_READWRITE, &dwOldProtect);


  *(PWORD)ULongToPtr(dwKiFastSystemCall) = 0xF4EB;
  *(PBYTE)ULongToPtr(dwKiFastSystemCall - 0xA) = 0xE9;
  *(PDWORD)ULongToPtr(dwKiFastSystemCall - 0x9) = PtrToUlong(KiFastSystemCall) - (dwKiFastSystemCall - 0xA) - 5;
}
接下来就是JMP到我们的函数里面了.接下来要处理的就是把我们要的ZW函数给分拣出来.大家肯定注意到ZW的汇编代码MOV EAX,1,没错这个1就是ZW函数的序号.既然如此分拣出我们要的函数也不是什么问题

代码: 
__declspec(naked) void KiFastSystemCall()
{
  
  __asm{
      cmp         eax,1 ;EAX保存着我们需要的函数的序号.我们跳.....
      jz          Label
      jmp         KiFastSystemCallEx
      ;其他的返回原始KiFastSystemCall的地方,当然,原来的函数已经被我们JMP出来啦.需要特别处理
Label:
      add         esp,4
      ;不再返回到原始的ZwAccessCheck函数里面.而是直接返回调用ZwAccessCheck的函数.
      jmp         MyZwAccessCheck ;
  }
}
上面的函数就是我们的KiFastSystemCall啦.接下来就是我们的MyZwAccessCheck函数.还有一个我们需要自己进入内核的KiFastSystemCallEx函数,我们自己构造一个.当然我们还需要构造一个新的ZwAccessCheck函数,原始的那个函数调用的KiFastSystemCall已经被我们HOOK了.
代码: 
//自己构造一个KiFastSystemCall  这样原始的RETN问题就解决了.
__declspec(naked) void KiFastSystemCallEx()
{
  __asm  {
    mov edx,esp
    __emit 0x0F
    __emit 0x34
    retn
  }
}

//跳板函数  
__declspec(naked) NTSTATUS NTAPI ZwAccessCheck(
    IN PSECURITY_DESCRIPTOR SecurityDescriptor,
    IN HANDLE ClientToken,
    IN ACCESS_MASK DesiredAccess,
    IN PGENERIC_MAPPING GenericMapping,
    OUT PPRIVILEGE_SET PrivilegeSet,
    OUT PULONG ReturnLength,
    OUT PACCESS_MASK GrantedAccess,
    OUT PNTSTATUS AccessStatus)
{
    __asm
  {
    MOV EAX,1
    CALL KiFastSystemCallEx
    RETN 20
  }
}

NTSTATUS NTAPI MyZwAccessCheck(
    IN PSECURITY_DESCRIPTOR SecurityDescriptor,
    IN HANDLE ClientToken,
    IN ACCESS_MASK DesiredAccess,
    IN PGENERIC_MAPPING GenericMapping,
    OUT PPRIVILEGE_SET PrivilegeSet,
    OUT PULONG ReturnLength,
    OUT PACCESS_MASK GrantedAccess,
    OUT PNTSTATUS AccessStatus)
{
    return ZwAccessCheck(
    ISecurityDescriptor,
    ClientToken,
    DesiredAccess,
    GenericMapping,
    PrivilegeSet,
    ReturnLength,
    GrantedAccess,
    AccessStatus);
}
差不多一个意思....剩下的就是依葫芦画瓢....自由发挥了. 

cqzj70
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
支持x64,反一切R3下的常规Hook,完全基于Baby大佬的KiFastSystemCall-易语言
06-12
前言 本程序完全基于Baby大佬的Kernel,保留Baby大佬的一切权限! 原理部分介绍: 以“OpenProcess”这个大家熟悉的API为例子: 程序若其中任意一步被Hook,则相当于“OpenProcess”被Hook了 但是,这也启发了我们一些东西,假如我们去直接用SSDT编号调用Api的话,是不是相当于接近了内核,那么直接Hook“OpenProcess”或者“ZwOpenProcess”是也无效了?(理论上,这个方法可以绕过R3下一切的常规Hook,我们根本没有调用“ZwOpenProcess”,IAT,EAT钩子理论上全部失效!) 程序例子: 首先先编写好代码:没有Hook下直接调用ZwSuspendProcess: 有Hook的情况下: 这时调用KiSuspendProcess: 你会发现,Hook根本对它没有效果,程序任然按照计划执行的 最后声明 本程序完全基于Baby大佬的Kernel,保留Baby大佬的一切权限!
在Ring0下HOOK Ntdll.dllNt*函数的方法
坦然
08-13 2914
typedef struct _SECTION_IMAGE_INFORMATION { PVOID EntryPoint; ULONG StackZeroBits; ULONG StackReserved; ULONG StackCommit; ULONG ImageSubsystem; WORD SubsystemVersionLow; WORD SubsystemVe
关于hook ntdll 代码详解
最新发布
qq_63217130的博客
03-26 427
节的头是连续的 每个节的头的大小 即IMAGE_SIZEOF_SECTION_HEADER都等于40。节头存放的是节的各种信息包括 节的名称、虚拟地址、大小等但是 不是存放的具体内容。关于代码中的IMAGE_SIZEOF_SECTION_HEADER。找一个dll看看 确实节的头是连续 也确实大小是 5*8=40字节。
钩子检测程序,钩子查看程序
11-17
这是一个钩子检测,枚举程序,可以发现系统中安装了哪些钩子.然后你就可以卸载它了.这个rar包含原EnumHook工程,但原工程是用RadAsm2.2.1.1汉语增强版编译的,是汇编源代码,我将它重写成c++源码,这样就有利于进一步的开发了.
学习记录--HooKSystemCall
weixin_30563917的博客
03-17 308
前言: 这两天看了一个github上的项目,记录一下学习的心得。 Win32 API大多数都要从Ring3层进入Ring0层,在内核中完成主要操作。这中间肯定要经过KiFastSystemCall这个过程,这个调用是Ring3层的。这些知识在《Windows内核安全与驱动开发》21章中。 项目: HookSystemCall大致原理就是自己构建一个类似SSDT的东西,当有函数通过KiFas...
解决VS2019 ntdll.dll下载符号失败的问题
09-28
2. 将该程序安装到之前设置的缓存目录下:`F:\NTDLL\X86\Symbols`。 ##### 第三步:等待符号文件下载 1. 安装完成后,首次下载所有所需的符号文件可能需要较长时间,这取决于网络条件和微软服务器的状态。 2. 根据...
Call_Ntdll_API.rar如何才能调用Native API即ntdll.dll
08-06
在Windows下,通常有两种方式来调用DLL中的函数:隐式链接和显式链接。对于ntdll.dll这样的系统库,我们通常采用显式链接,因为这样可以更好地控制加载和卸载库的过程。 1. **显式链接**: - 引入头文件:由于...
ntdll_sdk.rar_ntdll_ntdll.dll .h_ntdll.lib_tp ntdll pass_troopsm
07-15
然而,由于ntdll.dll是系统库,通常情况下开发者直接使用动态链接来调用其函数。 4. **tp_ntdll_pass_troopsm**: 这可能是某种特定的编程或调试工具的标识,或者是某种特殊功能的标志。"tp"可能代表"thread pool",...
20201130__NTDLL.DLL.v1.zip
12-01
6. **API钩子**:某些情况下,NTDLL.DLL会被用来设置API钩子,用于监控或修改其他进程的行为。 7. **进程初始化**:在进程启动时,NTDLL.DLL负责初始化工作,包括加载动态链接库、设置堆等。 在压缩包中的文件名称...
ntdll.lib x64/x86
07-08
这里的"ntdll"是“NT Dynamic Link Library”的缩写,它在x64和x86架构下都有对应的版本,即64位的ntdll.lib和32位的btdll.lib。 首先,我们要理解Windows操作系统的架构。Windows采用的是微内核设计,其中ntdll....
R3 HOOK NtDeleteFile 做文件保护
weixin_33885253的博客
11-30 287
2019独角兽企业重金招聘Python工程师标准>>> ...
一种注册表沙箱的思路、实现——Hook Nt函数
方亮的专栏
06-11 5590
        Nt函数是在Ring3层最底层的函数了,选择此类函数进行Hook,是为了提高绕过门槛。我的Hook方案使用的是微软的Detours。(转载请指明出处)        Detours的Hook和反Hook的写入如下:DetourTransactionBegin(); DetourUpdateThread(GetCurrentThread()); DetourAttach(lpOriF...
SSDT Hook技术详解与应用
flydragonhero的专栏
03-10 6476
SSDT Hook技术详解与应用SSDT Hook技术详解与应用 一SSDT简介 1什么是SSDT 2SSDT结构 3应用层调用 Win32 API 的完整执行流程 二SSDT Hook原理 1SSDT Hook原理简介 2进程隐藏与保护 3文件隐藏与保护 4端口隐藏一、SSDT简介1、什么是SSDT​ SSDT 的全称是 System Services Descriptor Table,系统服
调试游戏程序的学问
热门推荐
游戏编程实践
06-02 1万+
1.1  调试游戏程序的学问 作者:Steve Rabin, Nintendo of America Inc.<span lang="EN-US" style="FONT-FAMILY: ս̥
DLL注入技术
Karka_的博客
08-11 400
DLL是windows平台提供的一种模块共享和重用机制,它本身不能直接独立运行,但可以被加载到其他进程中间接执行。DLL注入,是将代码插入/注入到正在运行的进程中的过程。本来是软件用于向其他程序添加/扩展功能、调试或逆向工程的一种合法技术。不过,后来恶意软件也常用这种方式来干坏事。是一种广泛应用于恶意软件和无文件攻击中的逃避技术。
HOOK 文件保护,隐藏 禁止访问
Play up! 程序人生 ZQC
06-02 4261
三个主要的函数:NtQueryDirectoryFile、NtCreateFile、NtOpenFile, 其它函数定义未用,保留。   源码.h头文件PathProtect.h: #pragma once #include "APIHook.h" #include "FileInfoDef.h" //typedef用来声明自定义数据类型 typedef NTSTATUS (WINA
ntdll.dll报错
06-09
ntdll.dll是Windows操作系统的重要组件之一,如果出现ntdll.dll报错,可能是由于以下几个原因导致的: 1. 磁盘错误:磁盘出现硬件故障或软件错误时,可能损坏ntdll.dll文件。 2. 病毒感染:计算机感染病毒或恶意软件时,可能会破坏系统文件,包括ntdll.dll。 3. 应用程序冲突:某些应用程序可能会冲突,导致ntdll.dll文件被破坏或删除。 4. 操作系统损坏:操作系统出现错误或损坏时,可能会影响ntdll.dll文件。 要解决ntdll.dll报错问题,可以尝试以下方法: 1. 运行系统文件检查器:在命令提示符下输入sfc /scannow命令,可以检查和修复系统文件。 2. 扫描病毒:使用杀毒软件扫描计算机,清除病毒和恶意软件。 3. 卸载冲突应用程序:如果出现应用程序冲突,可以尝试卸载或更新该应用程序。 4. 修复操作系统:如果操作系统损坏,可以尝试使用系统还原或重新安装操作系统。 如果以上方法都不能解决问题,建议联系专业技术人员进行诊断和修复。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值