分析了一下360安全卫士的HOOK

最新推荐文章于 2024-03-05 15:57:42 发布
最新推荐文章于 2024-03-05 15:57:42 发布
阅读量381 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jgftyfc/article/details/83688595
版权

分享一下我老师大神的人工智能教程!零基础,通俗易懂!http://blog.csdn.net/jiangjunshow

也欢迎大家转载本篇文章。分享知识,造福人民,实现我们中华民族伟大复兴!

               

by: achillis

 

 分析了一下360的HOOK,通过直接hook KiFastCallEntry实现对所有系统调用的过滤。
我分析的版本如下:
主程序版本: 6.0.1.1003
HookPort.sys版本: 1, 0, 0, 1005
HookPort.sys的TimeStamp: 4A8D4AB8

简单说明:360把所有被hook的系统服务的过滤函数放在了一个表里,索引即对应的系统服务在该过滤函数表中的索引。
所有列出来的函数都会被hook掉的,是否处理指某个系统服务有没有相应的过滤函数进行处理,拒绝还是放行就是在过滤函数中完成判断的。
不处理的系统服务,将会直接调用原始服务例程。
函数如下:
服务名称                    索引    是否处理    备注
==================================

最低0.47元/天 解锁文章
有水有房子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
仿360安全卫士9.6New
10-27
【标题】"仿360安全卫士9.6New" 涉及的主要知识点是模仿360安全卫士的用户界面(UI)设计以及Windows消息钩子(Hook)技术的应用。360安全卫士是一款知名的电脑安全软件,其用户界面设计简洁且功能丰富,深受用户...
windows内核情景分析--窗口消息
maomao171314的专栏
04-04 3341
消息与钩子 众所周知,Windows系统是消息驱动的,现在我们就来看Windows的消息机制. 早期的Windows的窗口图形机制是在用户空间实现的,后来为了提高图形处理效率,将这部分移入内核空间,在Win32k.sys模块中实现。这个模块作为一个扩展的内核模块,提高了一个扩展额系统服务表,专用于窗口图形操作,相应的,这个模块中添加了一个扩展系统调用服务表Shadow SSDT,以及一个扩
Windows内核新手上路2——挂钩shadow SSDT
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
08-15 1624
Windows内核新手上路2——挂钩shadow SSDT          文章核心内容:安全软件窗口保护、安全输入、截屏保护的一些思路。挂钩NtUserFindWindowEx、NtUserGetForegroundWindow、NtUserBuildHwndList、NtUserQueryWindow、NtUserWindowFromPoint、NtUserSetParent、NtUser
处理PUBG过CE窗口最小化检测
最新发布
微尘网络安全
03-05 571
游戏逆向辅助开发教学
XTrap驱动分析
03-22 2488
最近拿到一个使用XTrap的游戏,据说此物乃NP和HS之外的第三大反外挂系统,so拿来瞧了瞧。Ring3层包括几个dll和一个进程。看里面貌似使用了pipe相关的函数,运行时也起了一个进程。所以XTrap的架构应该和NP很类似,但是实现上就要弱很多了。1、  现在还没发现有ring3全局注入的dll。2、  大量工作放到了作为和游戏接口的dll里面。通过dll方式提供游戏使用这点不同于NP的lib
分析一下360安全卫士hook(zt)
lionzl的专栏
07-11 3347
分析一下360安全卫士hook(zt)2010-6-3 18:36阅读(12) 分析一下360HOOK,通过直接hook KiFastCallEntry实现以所有系统调用的过滤。 我分析的版本如下: 主程序版本: 6.0.1.1003 HookPort.sys版本: 1, 0, 0, 1005 HookPort.sys的TimeStamp: 4A8D4AB8 简
Android应用源码之击溃360手机卫士的三大防护.zip
10-14
2. **恶意软件检测技术**:360手机卫士等安全应用通常采用特征匹配、行为分析、云查杀等方法来检测潜在的恶意应用。源码分析将揭示这些技术的实现细节,包括如何识别恶意行为模式,以及如何与云端数据库交互进行实时...
360误杀
09-24
在IT行业中,"过360误杀"通常是指一种技术手段,用于让软件或程序避开360安全卫士等安全软件的检测,以免被误判为病毒或恶意软件并被清除。360安全卫士是一款广泛使用的电脑安全防护软件,其主要功能包括病毒查杀、...
360免杀一步到位猛壳
09-22
"360免杀一步到位猛壳"是一个针对360安全软件的免杀工具,主要目的是让其他软件或程序能够绕过360安全卫士等反病毒软件的检测,从而实现顺利运行。在IT行业中,免杀技术通常被用于合法的软件调试、系统优化,但同时...
360compkill
03-19
标题“360compkill”指的是360安全卫士中的一个特定功能,可能是其针对计算机病毒和恶意软件,特别是木马病毒的查杀工具。360安全卫士是一款广为中国用户使用的免费安全软件,它包含了多种防护功能,如病毒扫描、...
沙盘Sandboxie 原理分析
xcntime的专栏
08-23 5719
Sandboxie. Process isolation with kernel hooks. May 23rd, 2011 Posted in Uncategorized Write comment 1. Introduction: Sandboxie
windows message manager
飞鸟的专栏
08-31 1517
SendMessage窗口过程函数的调用有两个入口,一个是自己的线程给自己窗口发通知,这样直接调用内部函数进行调用,使用IntCallMessageProc来调用函数,另一种方式是转换用户消息为内核消息,调用NtUserMessageCall来传递消息。LRESULT WINAPI SendMessageW(HWND Wnd, UINT Msg, WPARAM wParam
Win64 驱动内核编程-22.SHADOW SSDT HOOK(宋孖健)
天使也掉毛
03-26 4766
SHADOWSSDTHOOK HOOK和UNHOOKSHADOWSSDT跟之前的HOOK/UNHOOKSSDT类似,区别是查找SSSDT的特征码,以及根据索引计算函数地址的公式,还有一个就是吧跳转函数写在什么位置,SSDT的时候是写在蓝屏函数里了。 一、获得wKeServiceDescriptorTableShadow的地址 这个跟获得KeServi...
简单实现了下SSDT SHADOW HOOK
huobengle
11-03 683
介绍: SSDT SHADOW HOOK可用于安全软件窗口保护、安全输入、截屏保护等。例如:挂钩NtUserFindWindowEx、NtUserGetForegroundWindow、NtUserBuildHwndList、NtUserQueryWindow、NtUserWindowFromPoint、NtUserSetParent、NtUserPostMessage、NtUserMes...
Windows消息机制
kernweak的博客
09-04 2716
消息队列在哪 消息队列 进程-->消息队列 消息队列-->鼠标 消息队列-->键盘 消息队列-->其他进程的消息 消息队列放在哪里 这个模式怎么区分消息属于谁,是通过一个专门进程处理消息,这样问题是有跨进程通信太费时。Windows不是这样,Linux是这样。微软是把消息队列存到了0环。 怎么找到消息结构体,是KThread(任何一个线程都有个内核结构...
WPF自定义控件——顶级控件
weixin_30892037的博客
12-25 609
作为一个WPF程序员,我最希望看到的是WPF的应用,或者更确切的说是绚丽的应用,虽然限于自身的实力还不能拿出成绩来,但看到别人的作品时,心里还是有很大的宽慰——WPF是可以做出更加动人地产品的,只要你坚定的走下去,带着不满现状的追求走下去。 下图是Telerik的WPF控件,我相信很多人也下过他的DEMO,研究过他的代码,并由此激起对WPF的信心。今天我们就来仿造他的Drag...
Win32k(2) 报文驱动的通信机制
weixin_30782331的博客
03-26 151
一.应用层的apiint APIENTRY _tWinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPTSTR lpCmdLine,intnCmdShow){ WNDCLASSEXwcex; wcex.lpfnWndProc ...
Shadow SSDT
crkres9527
09-28 446
 A、Shadow SSDT表基址定位    B、Shadow SSDT表结构    C、Shadow SSDT HOOK KeServiceDescriptorTable //系统描述符表 extern KeServiceDescriptorTableShadow //影子系统描述符表  win32k.sys bp win32k!NtUserPostMessage bp win32k...
说说猎豹安全浏览器
莫灰灰的专栏
05-24 5315
最近金山也加入了浏览器大军,推出了其首款浏览器 - “猎豹”,主打安全牌,直指360安全浏览器。我在第一时间拿到了猎豹浏览器的安装包,使用感受是,总体来说还不错,但是需要完善的地方还有很多。 其中其主打宣称的BIPS (Browser Intrusion Prevention System)安全系统有种令人眼前一亮的赶脚,是否真的有这么神奇吗?于是我操起IDA简单的分析一下。 1.猎豹浏览器
卡巴斯基HOOK引擎分析
11-07
本文通过分析卡巴斯基PURE3.0 Total Security的HOOK引擎技术,针对操作系统为32位的Windows7专业...通过这一系列分析,我们对HOOK引擎的工作原理和应用场景有了更深入的了解,并为反病毒软件的安全防护提供了理论支持。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值