inline hook未导出函数PspTerminateProcess

最新推荐文章于 2023-04-28 14:38:48 发布
最新推荐文章于 2023-04-28 14:38:48 发布
阅读量1.6k 收藏
点赞数
分类专栏: windows底层核心編程 文章标签: hook module 测试 工作 虚拟机 null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/2292302
版权
本文详细介绍了如何在Windows内核中对未导出函数PspTerminateProcess进行inline hook操作,通过内存搜索定位函数地址,修改指令实现跳转,确保函数在hook前后能正确执行,并提供了卸载驱动时恢复原函数的方法。
摘要由CSDN通过智能技术生成
之前inline Hook SSDT中的一些函数学,感觉比较容易,可是想hook一些未导出的函数时,

却发现还有点难,开始是蓝了N次屏,最后HOOK成功了,用一些anti-rootkit的工具却查不出

来,以为没成功.郁闷了好久,最后用windbg看,原来是成功,于是写下这篇文章,很多东西应该讲的不太好,还请矫正

今天就是要inline hook PspTerminateProcess,这是一个没有被导出的函数,这个会了,基本什么函数都会hook,呵呵,先看下它的

定义吧
NTSTATUS
PspTerminateProcess(
    PEPROCESS Process,
    NTSTATUS ExitStatus
    )
由于没有被导出的函数,那只能内存搜索定位了,先用windbg看(本机的情况,后面的图是虚拟机的)
lkd> u PspTerminateProcess
nt!PspTerminateProcess:
805d23a0 8bff            mov     edi,edi
805d23a2 55              push    ebp
805d23a3 8bec            mov     ebp,esp
805d23a5 56              push    esi
805d23a6 64a124010000    mov     eax,dword ptr fs:[00000124h]
805d23ac 8b7508          mov     esi,dword ptr [ebp+8]
805d23af 3b7044          cmp     esi,dword ptr [eax+44h]
805d23b2 7507            jne     nt!PspTerminateProcess+0x1b (805d23bb)

再用dd命令
lkd> dd PspTerminateProcess
805d23a0  8b55ff8b a16456ec 00000124 3b08758b
805d23b0  07754470 00000db8 575aebc0 0248be8d
805d23c0  47f60000 12742001 0174868d 56500000
805d23d0  5d237268 ef50e880 086affff 0709f058
805d23e0  e856006a 00004f78 ff85f88b 75ff1e74
805d23f0  07e8570c 57fffffd 4f62e856 f88b0000
805d2400  ea75ff85 00bc8639 06740000 ff04e856
805d2410  c033fffe c25d5e5f cccc0008 cccccccc

那它的特征码是8b55ff8b a16456ec 00000124 3b08758b,内存搜索吧,找到地址之后我们

就重写其开头的5个字节,也就是修改
mov     edi,edi
push    ebp
mov     ebp,esp
(现在一般的函数学编译之后都是这样子,个别例外)
为一条jmp指令,这条指令将跳到我们自己的函数学里执行,这就是inline hook
好了,搜索地址吧,怎么搜索,当然是用一种通用的方法来定位,在<<学习笔记之钩住驱动程

序导入表>>中修改一下GetDriverBaseAdress这个函数就可以了,,用

ZwQuery
最低0.47元/天 解锁文章
iiprogram
关注
专栏目录
定位导出函数地址(SHCreateProcess
myjisgreat的专栏
06-13 3301
定位导出函数地址(SHCreateProcess) 搬运自我的百度空间,文章基于windows7 64位   我们要Hook shell32.dll的SHCreateProcess这个函数,苦于他没有导出,也无从知道地址。 其实我们还是有办法的。windbg有功能叫做栈回朔技术,可以看到函数的调用者,函数的调用者的调用者,函数的调用
Detours版HOOK 导出的API函数CreateProcessInternalW
追逐光芒,追随内心
11-22 1680
#include <stdio.h> //#include <tchar.h> #include <windows.h> #include "detours.h" #pragma comment(lib,"detours.lib") //以下是HOOK需要的头文件 //#include <winsock2.h> //#include <MSWSock.h> //#pragma comment(lib,"ws2_32.lib") //.
InlineHookPsTerminateProcess(0环)
weixin_33836223的博客
10-21 297
PsTerminateProcess函数用于结束一个进程。 #include <ntddk.h> typedef NTSTATUS (*PSPTERMINATETPROCESS)( PEPROCESS Process, NTSTATUS ExitStatus ); ...
根据特征码找到导出的内核函数 PspTerminateProcess
pluginL的博客
09-13 978
使用的是一个UINT32数组来存放shellcode没有考虑全局变量的问题 #include <ntifs.h> typedef NTSTATUS(*pFunTerminateProcess)(IN PEPROCESS Process, IN NTSTATUS ExitStatus); typedef struct _LDR_DATA_TABLE_ENTRY { LIST_ENTRY InLoadOrderLinks; LIST_ENTRY InMemoryOrderLinks; LIS
Inline Hook_inlinehook_x86_x64_64位HOOK_
09-28
2. **异常处理**:Inline Hook可能会引入预期的异常,因此需要处理可能出现的错误情况,如内存访问冲突或指令流水线问题。 3. **钩子注册与解除**:为了能够正确地启用和禁用Hook,需要维护一个钩子注册表,以便...
使用内核三步实现InlineHook的详细分析
07-06
Inlinehook原理:解析函数开头的几条指令,把他们Copy到数组保存起来,然后用一个调用我们的函数的几条指令来替换,如果要执行原函数,则在我们函数处理完毕,再执行我们保存起来的开头几条指令,然后调回我们取...
完美支持64&32位InlineHook,C语言,C++类 都有
09-17
Inline Hook是一种技术,它允许你修改程序中的函数调用,以在不替换原函数的情况下,在其内部注入自定义的行为。这种技术在系统监控、调试、性能优化和恶意软件中都有广泛应用。本文将深入探讨64位和32位环境下如何...
代码实例分析android中inline hook
08-28
在实现注入函数时,我们需要编写一个 hook_inline_make 函数,该函数将被注入到目标函数中。该函数将执行用户指定的代码,然后执行被替换掉的原指令。例如,在本实例代码中,我们使用 hook_inline_make 函数来将 my_...
获取导出的内核函数地址
09-10 2098
使用导出的内核函数 (2010-01-12 17:40)    函数如果没有导出,我们基本上来说是没办法使用的,   但是,我们可以通过搜索系统模块内存的方式找出那些没导出函数地址,   当然,我们首先要知道函数的特征值,这是必须的。   如果有了函数地址,我们再声明一下,就可以用了。   首先我们要使用ZwQuerySystemInformation这个Nativ API。  
PsTerminateProcess结束进程
weixin_30781433的博客
08-11 290
PsTerminateProcess函数用于结束一个进程,其声明如下 NTSTATUS NTAPI PsTerminateProcess(IN PEPROCESS Process, IN NTSTATUS ExitStatus) 其中第一个参数是PEPROCESS的指针,如果你只知道pid,可以通过PsLookupProcessByProcessId 获得,而第二个参数指定退出状...
模拟PspTerminateProcess结束进程-学习笔记
MichaelJScofield的专栏
05-27 5558
此文是阅读黑防上胡文亮大牛《模拟实现NT系统通用PspTerminateProcess》后作为学习笔记记录下来的,仅作学习记录,理解错的请勿拍砖。和通过特征暴力搜索定位PspTerminateProcess的地址的方法相比,亮点就是模拟了实现PspTerminateProcessPspTerminateThreadByPointer等函数。 此前先看PJF大牛的一篇《进程终止的内幕》
PspTerminateProcess 结束冰刃进程
十年磨一剑,霜刃未曾试!
03-31 1848
#include typedef  NTSTATUS  (*PSPTERPROC) ( PEPROCESS Process, NTSTATUS ExitStatus );PSPTERPROC MyPspTerminateProcess ;NTSTATUSPsLookupProcessByProcessId(                        IN HANDLE ProcessId,  
终于完成了Ring3下Call PspTerminateProcess
chenhui530的专栏
10-23 2821
出差到现在都即将两个月了,无聊郁闷中,好在昨天晚上成功在Ring3下Call PspTerminateProcess总算是有一份值得高兴得事情了,目前还只支持XP,关于搜索PspTerminateProcess的特征码定位是参考了网络上的一篇文章.目前工作正在移植到DLL中封装成标准函数供VB等语言调用.现在冰刃也可以轻易被结束了^_^. 
03 特征码搜索PspTerminateProcess函数、隐藏驱动模块
最新发布
qq_50242229的博客
04-28 351
函数地址。
寻找导出函数函数地址
weixin_30433075的博客
04-19 434
今天读了一篇 如何寻找导出函数函数地址的文章,重在思路吧,万一以后用到了呢? why? 内核里有些函数直接导出了,那我们可以直接通过函数名调用它,导出函数也不是不可以调用,我们需要自己找到函数名称所对应的地址即可。 How? 文章涉及3个函数: PsTerminateSystemThread PspTerminateThreadByPointer PspExitThread 这3个函数的...
进程强杀
kernweak的博客
05-28 776
应用层杀进程会调用terminateProcess,往下会调用zwterminateProcess,再往下 PsTerminateProcess->PspTerminateProcess->PspTerminateThreadByPoint->PspExitThread 所以我们想调用PspTerminateProcess(再往下就是线程函数了),但是导出。所以只能暴力搜索...
深入解析内核 Inline Hook 实现
二是对导出函数Hook,如`KiInsertQueueApc`,需要自行解析指令来确定Hook的字节数。这两种情况都需要对目标函数的结构和执行流程有深入了解。 在实现Inline Hook时,会遇到一些挑战,比如正确识别和处理目标...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值