安全稳定的实现进线程监控

最新推荐文章于 2023-11-21 19:46:54 发布
最新推荐文章于 2023-11-21 19:46:54 发布
阅读量874 收藏
点赞数
分类专栏: windows底层核心編程 文章标签: hook bbs thread
关于清除线程创建监视例程这个问题,我以前在水木清华问过了。
那时候2k源代码好像还没被hack出来,但高手就是高手啊,看看这个回答:

文章出处:水木清华

发信人: soycola (酱油可乐), 信区: MSDN
标  题: Re: 关于PsSetCreateThreadNotifyRoutine的问题
发信站: BBS 水木清华站 (Mon Nov 24 22:53:32 2003), 转信

这个确实比较搞怪,下面这个也许行,针对2000的,
原理:PsSetCreateThreadNotifyRoutine返回的时候
edx=ecx*4 + PspCreateThreadNotifyRoutine,你
分析一下ntoskrnl就知道了。

/*
    demo code of PsRemoveThreadNotifyProc()
    by Soycola@smth.org
*/
DWORD install_hook(PROC p)
{
    DWORD cookie;
    __asm{
        push p
        call PsSetCreateThreadNotifyRoutine
        or eax, eax
        jnz __failed
        lea eax, [edx-ecx*4]
        mov cookie, eax
        jmp __next
__failed:
        xor eax, eax
        mov cookie, eax
__next:
    }
    return cookie;
}

BOOL remove_hook(DWORD cookie, PROC pp)
{
    int i;
    PROC * p;
    BOOL r = FALSE;

    KeRaiseIrql(DISPATCH_LEVEL, &oldIrql);
    for(i=0, p=(PROC*)cookie; i<8; i++, p++){
        if(*p == pp){
            *p = 0;
            r = TRUE;
            break;
        }
    }
    KeLowerIrql(oldIrql);

    return r;
}

int main()
{
    DWORD cookie;
    cookie = install_hook(p);
    // do some-thing
    // ....
    remove_hook(cookie, p);
    return 0;
}
【 在 zzzevazzz (初号机,暴走!) 的大作中提到: 】
: 如何取消PsSetCreateThreadNotifyRoutine()注册的回调函数?
: 对于PsSetCreateProcessNotifyRoutine(
:     IN PCREATE_PROCESS_NOTIFY_ROUTINE NotifyRoutine,
:     IN BOOLEAN Remove
:     );


: 但PsSetCreateThreadNotifyRoutine(
:     IN PCREATE_THREAD_NOTIFY_ROUTINE NotifyRoutine
:     );
: 只有一个参数。
: 怎么取消?
: ...................
iiprogram
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安全稳定实现线程监控.rar_win2000源代码_监控
09-23
安全稳定实现线程监控 线程监视在底层是如何实现的,在win2000源代码中先找到创建线程的函数实现 然后实现线程监视
PspCreateProcessNotifyRoutine,PspCreateThreadNotifyRoutine,PspLoadImageNotifyRoutine表全部清空
KernelEx的专栏
08-20 4892
RtlInitUnicodeString(&name,L"PsSetCreateProcessNotifyRoutine");RemoveNotifyRoutine((PVOID)MmGetSystemRoutineAddress(&name));RtlInitUnicodeString(&name,L"PsRemoveCreateThreadNotifyRoutine");Rem
[原创]通过PsSetCreateProcessNotifyRoutineEx和PsSetCreateThreadNotifyRoutine实现程与线程监控
追逐光芒,追随内心
12-10 1683
PsSetCreateProcessNotifyRoutineEx是Windows提供得一个可以通过设置回调函数实现监控的内核API。其在文档的定义如下: 1 2 3 4 5 NTSTATUS PsSetCreateProcessNotifyRoutineEx( INPCREATE_PROCESS_NOTIFY_ROUTINE_EXNotifyRoutine, INBOOLEAN...
驱动开发:内核监控程与线程创建
CSDN
10-14 6542
监控程的启动与退出可以使用 `PsSetCreateProcessNotifyRoutineEx` 来创建回调,当新程产生时,回调函数会被率先执行,然后执行我们自己的`MyCreateProcessNotifyEx`函数,并在内部行打印输出。而检测线程操作与检测程差不多,检测线程需要调用`PsSetCreateThreadNotifyRoutine` 创建回调函数,然后就可以检测线程的创建了。
(转载)安全稳定实现线程监控
Kendiv's Box
03-26 5224
安全稳定实现线程监控创建时间:2005-03-24文章属性:原创文章提交:suei8423 (suei8423_at_163.com)安全稳定实现线程监控作者:ZwelL    用PsSetCreateProcessNotifyRoutine,PsSetCreateThreadNotifyRoutine线程监控我想大家已经都非常熟练了.sinister在>一文中已经实现得很好了.
7.1 Windows驱动开发:内核监控程与线程回调
CSDN
11-21 4356
系统中监控程与线程可以使用微软提供给我们的两个新函数来实现,此类函数的原理是创建一个回调事件,当有程或线程被创建或者注销时,系统会通过回调机制将该程相关信息优先返回给我们自己的函数待处理结束后再转向系统层。那么会提示连接的设备没有发挥作用,我们则成功拦截了这次打开,当然如果在打开程之前扫描其特征并根据特征拒绝程打开,那么就可以实现一个简单的防恶意程序,监控在防恶意程序中也是用的最多的。一直在重复的实现对系统底层模块的枚举,今天我们将展开一个新的话题,内核监控,我们以。
安全稳定实现线程监控.zip_MyCopyHook.rar_create process_sys文件_监视 程_驱动程监
09-24
PsSetCreateProcessNotifyRoutine,PsSetCreateThreadNotifyRoutine线程监控我想大家已经都非常熟练了.sinister在编写程/线程监视器>>一文中已经实现得很好了.前一段时间看到网上有人在研究监视远线程...
基于Linux、QT的视频监控系统的设计与实现毕业论文
11-15
展之迅速是有目共睹的,在银行,商场监控,城市交通管理,酒店等安全保卫方面, 视频监控系统的市场需求量大幅度上升,市场上出现了多种图像采集和传输的产品, 视频监控系统的发展趋势必然是数字化,网络化,即采用...
油库实时安全监控及信息管理系统 (2009年)
06-19
针对目前油库管理中存在的问题和实际需求,设计并实现了一个油库实时安全监控及信息管理系统。提供了一种基于. NET平台,利用3层架构、多线程和泛型等概念开发此类系统的方法和思路。对系统的拓扑结构、主要功能、核心...
concurrent 多线程 教材
03-26
07 使用JAVA建立稳定的多线程服务器 (3) 08 线程池的介绍及简单实现 09 Java实时多任务调度过程中的安全监控设计 (3) 10 不要重新分配被锁定对象的对象引用 11 以全局的固定顺序获取多个锁来避免死锁 12 Java...
扩展内核函数 PsSetCreateProcessNotifyRoutine 等的蹲坑数量
12-01
扩展内核函数 PsSetCreateProcessNotifyRoutine 等的蹲坑数量
郁金香vc过驱动保护
05-15
郁金香VC++过驱动保护全套 免key版 天異赤提供 教程下载地址获取方法: 第一步:打开下方链接,填写QQ邮箱,系统会往QQ邮箱发一封确认订阅邮件 第二步:打开QQ邮箱查看邮件,确认订阅,订阅成功后系统会自动把下载地址和解压密码一起发送到你QQ邮箱http://list.qq.com/cgi-bin/qf_invite?id=585e150c59f30e1213af9a9352367711b2e45c217582cf35 最近时间有些多,一时对网络游戏的保护机制感兴趣了,来研究了一下,听说QQ系列的TesSafe.sys 有些强,于是拿来看看驱动都做了些什 么.以下是对DNF和QQffo(自由幻想)研究结果(xp sp2) 在网上找了些TesSafe的资料,说TesSafe并不怎么样 现在这个版本保护的结果为:任务管理器中可以看到游戏程,但OD和CE看不见,更不用说什么调试了,iceword可以 看到EPROCSS,但WSysCheck看 郁金香驱动 不见,自己写程序,也不能注入受保护的游戏程. 可见,NtOpenProcess被Hook了,恢复SSDT后,没有任何效果,可见是inline hook , 用一般的软件检测一下,没有发现inline hook,看来hook得比较深,在网上一找资料才发现,原来的确够隐藏的 郁金香驱动 以下是上一个TesSafe版本的分析结果 从网上找出来的资料,TesSafe.sys保护原理(DNF的保护,我听说,QQ系列游戏的保护机制都是一样的) ================================================================= 保护得比较没有意思,强度也不高.可能隐藏性稍好一些. 用IDA反汇编TesSafe.sys可以看到: 这个驱动一加载,ExAllocPoolWithTag分配了一块内存,然后将一个函数写这块内存,接着做好保护,然后 PsCreateSystemThread()创建的 郁金香驱动 线程调用ZwUnloadDriver将驱动卸载。虽 然驱动被卸载了,但是ExAllocPoolWithTag分配的内存仍然在起作用。 具体来看它如何行保护: 郁金香驱动 先是得到了ObOpenObjectByPointer的地址,然后在 NtOpenProcess中搜索0xe8 ,也就是跳转指令,直到遇见RET为止。 一但得到0xe8,比较后面的四个字节,如果转换后为 ObOpenObjectByPointer的地址,就把这个地址用自己代理函数的地址转换后替换掉,达到 保护自己的目的。 郁金香驱动 用WinDbg看了看,果然在我的机器上:0x80570e41这个在 NtOpenProcess中的区域被TesSafe.sys修改,原来这里是:80570e41 e87c8dffff call nt!ObOpenObjectByPointer (80569bc2) 系统通过ObOpenObjectByPointer来通过 EPROCESS得到Handle返回给调用者。TENCENT在这里下了一个跳转:(TesSafe.sys加载后。)80570e41 e826542a78 call f881626c 很明显,系统执行到这里就会调用0x6881626c的函数,也就是 TesSafe.sys的 ObOpenObjectByPointer代理函数。这 样,Client.exe就会在这里被过滤掉,从而让R3程序无法得到QQT的句柄,从而保护程。 郁金香驱动 ================================================================================= 我手头拿到的版本是2008年8月5号的,把TesSafe逆出来一看,比上个版本有所加强. 在这个新版本中,TesSafe一共InLine Hook了六个函数,我只逆出并恢复了五个 其中: 1. KeAttachProcess NtOpenProcess NtOpenThread 这三个函数的HOOK方式与上一个版本一样,就是上面蓝色字体的方法,把本应该call ObOpenObjectByPointe的代码修改成了call他自己的代码, 然后在他自己的代码中处理保护的程 上面三个函数,原来正常的代码为 80581ce3 e8a658ffff call nt!ObOpenObjectByPointer (8057758e) 被HOOK后的代码变成了 call a8724af4(TesSafe自己搞出来的函数) lkd> u a8724af
读写文件的源代码资源
07-01
读写文件 读写文件 读写文件 读写文件 读写文件 读写文件 读写文件 读写文件
window动态检测工具的实现
12-29
window下可以动态识别指导盘符下文件的修改
64位下使用回调函数实现监控
hongduilanjun的博客
11-01 1499
在32位的系统下,我们想要实现某些监控十分简单,只需要找到对应的API实现挂钩操作即可检测程。但在64位系统下随着的引入,导致我们如果继续使用挂钩API的方式监控会出现不可控的情况发生。微软也考虑到了用户程序的开发,所以开放了方便用户调用的系统回调API函数,在64位系统下的监控,使用系统回调相对于直接hook的方式往往是更值得青睐的一方。
系统回调介绍
12-10 159
使用   设置 PspNotifyEnableMask 为 0 CreateProcess CreateThread LoadImage 回调函数都不会起作用 目的: 遍历系统中的回调 类型: 与Xuetr遍历到的类型相同 如有雷同,还望见谅。。。有错误或者不恰当的地方请指正。 附件中代码大量冗余,可以将相同的部分写成一个函数,...
线程的创建过程——PspCreateThread逆向分析
weixin_45678798的博客
08-01 1219
通过之前的分析NtCreateThread函数,可以看到线程的创建实际是在PspCreateThread中。在IDA交叉引用中可以看到仅仅被NtCreateThreadPsCreateSystemThread这两个函数调用,分别用于创建用户线程和系统线程对象。......
超爽的抽屉效果.zip
04-19
android 源码学习. 资料部分来源于合法的互联网渠道收集和整理,供大家学习参考与交流。本人不对所涉及的版权问题或内容负法律责任。如有侵权,请通知本人删除。感谢CSDN官方提供大家交流的平台
关于学习C语言时写的代码.zip
最新发布
04-19
C语言诞生于美国的贝尔实验室,由丹尼斯·里奇(Dennis MacAlistair Ritchie)以肯尼斯·蓝·汤普森(Kenneth Lane Thompson)设计的B语言为基础发展而来,在它的主体设计完成后,汤普森和里奇用它完全重写了UNIX,且随着UNIX的发展,c语言也得到了不断的完善。为了利于C语言的全面推广,许多专家学者和硬件厂商联合组成了C语言标准委员会,并在之后的1989年,诞生了第一个完备的C标准,简称“C89”,也就是“ANSI C”,截至2020年,最新的C语言标准为2018年6月发布的“C18”。 [5] C语言之所以命名为C,是因为C语言源自Ken Thompson发明的B语言,而B语言则源自BCPL语言。 1967年,剑桥大学的Martin Richards对CPL语言行了简化,于是产生了BCPL(Basic Combined Programming Language)语言。
用Java实现远程实时监控
06-01
实现远程实时监控可以使用Java的网络编程技术和多线程技术。 首先需要建立一个服务器程序,该程序可以监听客户端的请求,并将实时监控的数据发送给客户端。可以使用Java的Socket类来实现服务器程序。建立一个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值