分析了一下360安全卫士的HOOK

最新推荐文章于 2024-04-10 10:20:12 发布
最新推荐文章于 2024-04-10 10:20:12 发布
阅读量410 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jgftyfc/article/details/83716409
版权

分享一下我老师大神的人工智能教程!零基础,通俗易懂!http://blog.csdn.net/jiangjunshow

也欢迎大家转载本篇文章。分享知识,造福人民,实现我们中华民族伟大复兴!

               

by: achillis

 

 分析了一下360的HOOK,通过直接hook KiFastCallEntry实现对所有系统调用的过滤。
我分析的版本如下:
主程序版本: 6.0.1.1003
HookPort.sys版本: 1, 0, 0, 1005
HookPort.sys的TimeStamp: 4A8D4AB8

简单说明:360把所有被hook的系统服务的过滤函数放在了一个表里,索引即对应的系统服务在该过滤函数表中的索引。
所有列出来的函数都会被hook掉的,是否处理指某个系统服务有没有相应的过滤函数进行处理,拒绝还是放行就是在过滤函数中完成判断的。
不处理的系统服务,将会直接调用原始服务例程。
函数如下:
服务名称                    索引    是否处理    备注
==============================================================================
NtCreateKey                    0x00    否
NtQueryValueKey                0x01    是
NtDeleteKey                    0x02    是
NtDeleteValueKey            0x03    是
NtRenameKey                    0x04    是
NtReplaceKey                0x05    是
NtRestoreKey                0x06    是
NtSetValueKey                0x07    是
NtCreateFile                0x08    是
NtFsControl                    0x09    是
NtSetInformationFile         0x0A    是
NtWriteFile                    0x0B    是
NtWriteFileGather            0x0B    是        //和NtWriteFile共用一个过滤函数
NtCreateProcess                0x0D    是
NtCreateProcessEx            0x0E    是
NtCreateUserProcess            0x0F    是        //Only on Vista or later
NtCreateThread                0x10    是
NtCreateThreadEx            0x10    是        //和NtCreateThread共用一个过滤函数,for vista or later
NtOpenThread                0x11    是
NtDeleteFile                0x12    是
NtOpenFile                    0x13    是
NtReadVirtualMemory            0x14    否
NtTerminateProcess            0x15    是
NtQueueApcThread            0x16    是
NtSetContextThread            0x17    是
NtSetInformationThread        0x18    否
NtProtectVirtualMemory        0x19    否
NtWriteVirtualMemory        0x1A    是
NtAdjustGroupToken            0x1B    否
NtAdjustPrivilegesToken     0x1C    否
NtRequestWaitReplyPort        0x1D    是
NtCreateSection                0x1E    是
NtOpenSecton                0x1F    是
NtCreateSymbolicLinkObject    0x20    是
NtOpenSymbolicLinkObject    0x21    否
NtLoadDriver                0x22    是
NtUnloadDriver                0x22    是        //和NtLoadDriver共用一个过滤函数
NtQuerySystemInformation    0x23    是
NtSetSystemTime                0x25    否
NtSystemDebugControl        0x26    是
NtUserBuildHwndList            0x27    是
NtUserQueryWindow            0x28    是
NtUserFindWindowEx            0x29    是
NtUserWindowFromPoint        0x2A    是
NtUserMessageCall            0x2B    是
NtUserPostMessage            0x2C    是
NtUserSetWindowsHookEx        0x2D    是
NtUserPostThreadMessage        0x2E    是
NtOpenProcess                0x2F    是
NtDeviceIoControlFile        0x30    是
NtUserSetParent                0x31    是
NtOpenKey                    0x32    是
NtDuplicateObject            0x33    是
NtResumeThread                0x34    否
NtUserChildWindowFromPointEx 0x35    是
NtUserDestroyWindow            0x36    是
NtUserInternalGetWindowText    0x37    否
NtUserMoveWindow            0x38    是        //和NtSetParent共用一个过滤函数
NtUserRealChildWindowFromPoint 0x39 是        //和NtUserChildWindowFromPointEx共用一个过滤函数
NtUserSetInformationThread    0x3A    否
NtUserSetInternalWindowPos    0x3B    是        //和NtSetParent共用一个过滤函数
NtUserSetWindowLong            0x3C    是        //和NtSetParent共用一个过滤函数
NtUserSetWindowPlacement    0x3D    是        //和NtSetParent共用一个过滤函数       
NtUserSetWindowPos            0x3E    是        //和NtSetParent共用一个过滤函数
NtUserSetWindowRgn            0x3F    是        //和NtSetParent共用一个过滤函数       
NtUserShowWindow            0x40    是
NtUserShowWindowAsync        0x41    是        //和NtUserShowWindow共用一个过滤函数
NtQueryAttributesFile        0x42    否
NtUserSendInput                0x43    否
NtAlpcSendWaitReceivePort    0x44    是        //for vista or later
NtUnmapViewOfSection        0x46    是
NtUserSetWinEventHook        0x47    否
NtSetSecurityObject            0x48    是
NtUserCallHwndParamLock        0x49    是
NtUserRegisterUserApiHok    0x4A    否

           

给我老师的人工智能教程打call!http://blog.csdn.net/jiangjunshow
这里写图片描述
有水有房子
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
360安全卫士产品分析报告
10-27
部署架构(描述、对比、建议) 界面集成(不足、建议) 程序可定制化(功能、界面) 改善意见总结(功能和界面集成的一致性、可定制性) 自己做的幻灯片,经常在CSDN上下东西,也算是做点贡献吧。
分析一下360安全卫士HOOK(二)——架构与实现(zt)
lionzl的专栏
07-11 3367
上一篇的分析中漏掉了三个函数,现补上: NtSetSystemInformation    0×24 ProcessNotify        0×45 //这个并非Hook,只是HookPort安装的一个Notify KeUserModeCallback      0×4B 这样一共是从0到0×4B,共0×4C个过滤函数,齐了~~ 上次先列出了360hook的系统服务,让大家对它做了
论API hook——说360安全浏览器、金山网盾、瑞星、卡巴斯基、傲游浏览器等软件会互相冲突
热门推荐
蒋晟的专栏
06-03 2万+
最近360安全浏览器和金山网盾炒得很厉害,不过实际上大家都是在独木桥走,时不时被记下来是很正常的事情。上网搜索一下就可以看到,互相冲突的不止是这两家,还有瑞星、卡巴和基于IE的浏览器,比如傲游、腾讯TT、搜狗浏览器等。这个问题的核心在于这些软件对API的钩子的处理。API hook这个东西其实DOS时代就有了,那个时候叫中断表。这个的工作机理和虚函数表类似,就是一堆函数指针,每个人调用的时候调用的是最后一个更新函数指针的代码。基于DOS的32位Windows版本(例如Windows95)用这个来转移DOS程
精品!
Sunny_wwc的专栏
10-24 887
仿照了下360 的过滤架构,搭建了个Hook 框架,360Hook架构的确很优秀,我觉得很值得我们学习与研究。这里我按照大牛们已经逆向出来的思路实现了下代码(都逆向出来了坐下代码工作不会怎么样吧?….只是学习架构)。不要鄙视我等代码工………,好吧大牛们想BS就BS吧,我表示毫无压力~~~~,我是菜鸟我怕谁! 废话不多说发代码,如果有错误和白痴的地方请指出,我水平有限……. 搭建这个架构大致需要以下几个模块,一是安装KiFastCallEntry的Hook模块,二是FakeKiFastCallEnt
仿360安全卫士9.6New
10-27
【标题】"仿360安全卫士9.6New" 涉及的主要知识点是模仿360安全卫士的用户界面(UI)设计以及Windows消息钩子(Hook)技术的应用。360安全卫士是一款知名的电脑安全软件,其用户界面设计简洁且功能丰富,深受用户...
Android应用源码之击溃360手机卫士的三大防护.zip
10-14
2. **恶意软件检测技术**:360手机卫士等安全应用通常采用特征匹配、行为分析、云查杀等方法来检测潜在的恶意应用。源码分析将揭示这些技术的实现细节,包括如何识别恶意行为模式,以及如何与云端数据库交互进行实时...
360误杀
09-24
在IT行业中,"过360误杀"通常是指一种技术手段,用于让软件或程序避开360安全卫士等安全软件的检测,以免被误判为病毒或恶意软件并被清除。360安全卫士是一款广泛使用的电脑安全防护软件,其主要功能包括病毒查杀、...
360免杀一步到位猛壳
09-22
"360免杀一步到位猛壳"是一个针对360安全软件的免杀工具,主要目的是让其他软件或程序能够绕过360安全卫士等反病毒软件的检测,从而实现顺利运行。在IT行业中,免杀技术通常被用于合法的软件调试、系统优化,但同时...
360compkill
03-19
标题“360compkill”指的是360安全卫士中的一个特定功能,可能是其针对计算机病毒和恶意软件,特别是木马病毒的查杀工具。360安全卫士是一款广为中国用户使用的免费安全软件,它包含了多种防护功能,如病毒扫描、...
360手机卫士经典案例分析
Doggy的博客
02-09 4173
摘要 对360手机卫士在保持和吸引顾客方面的独特之处进行了研究,从360手机卫士产品本身,到与产品有关的一系列渠道、定价和促销的营销组合,分析360手机卫士给顾客传递和传播的价值,并结合顾客感知价值这一个分析框架,评估360手机卫士的顾客传递价值。 关键词 360手机卫士、产品、顾客价值等级体系、营销渠道、定价、营销传播、顾客满意度、市场领导者、防御战 前言:本文目的及文本结构 本文将3
【旧文章搬运】分析一下360安全卫士HOOK
weixin_30810583的博客
12-26 145
原文发表于百度空间及看雪论坛,2009-10-08 看雪论坛地址:https://bbs.pediy.com/thread-99128.htm 看时间,09年的国庆节基本上就搞这玩意儿了。。。========================================================================== 分析一下360HOOK,通过直接hook KiF...
再谈360内核inline Hook
anxi2128的博客
09-30 268
  前几天写了一篇 360内核 inline Hook 分析 有朋友感觉我没有把360Hook的函数说清楚以至于产生误会。上一篇博客确实没有把这个问题说清楚。   在上篇文章中说到360Hook nt!KiFastCallEntry+0xe1 这个位置是没有错的,只是严格的讲是在_KiSystemServiceRepeat 当中进行的Hook,很有意思的是_KiSystemSe...
看我如何让 360 把 helloword 干掉
hl1293348082的专栏
03-29 211
其实这篇文章是讲讲最简单的花指令,这标题是写到后面发现 360 爆木马,所以有此题目。 开始之前 首先编写一个简单的 hello world 程序,并编译 花指令可以简单理解为欺骗杀软,给分析者增加障碍的指令,但是对程序的运行结果没有影响的指令,比如下面的(高级点的使 ida 反汇编的时候出错,让破解者无法清楚正确地反汇编程序的内容,迷失方向) 再比如: 有时候会在 jmp 的下一行插入一些干扰 ida 静态分析的字节,而 jmp 是刚好跳过这些垃圾字节的 实践 指导思想:我们使用
win2k窗口句柄获得进程id
asideu的专栏
01-18 1420
/*以下代码在win2k源码中寻找到的 位于win2k/privata/ntos/w32/ntoser/client/winmgrc.c Ln255*//***************************************************************************/* GetWindowThreadProcessId* Gets windows pro
分析一下360安全卫士hook(zt)
lionzl的专栏
07-11 3347
分析一下360安全卫士hook(zt)2010-6-3 18:36阅读(12) 分析一下360HOOK,通过直接hook KiFastCallEntry实现以所有系统调用的过滤。 我分析的版本如下: 主程序版本: 6.0.1.1003 HookPort.sys版本: 1, 0, 0, 1005 HookPort.sys的TimeStamp: 4A8D4AB8 简
check ShowWindow API
Nick 开发日志
12-10 1475
windows 下调试窗口相关的代码时, 有时候需要检查一个窗口为什么被显示/隐藏. 归根结底显示/隐藏窗口都是通过调用 ShowWindow/SetWindowPos 这两个 API 来实现的. 这里提供的脚本本质上就是在这两个 API 上放断点. trace 出窗口句柄以及参数. 看脚本:.if (not(${/d:$arg1})) { .echo usage: .echo
【C++ Hook钩子技术(中)——Hook按键小精灵弹窗】从弹窗引发的Hook编程思考大爆炸,拨开表象寻求真实自我!突破常规思维,建立底层逻辑。
最新发布
luoqiaoliang的博客
04-10 911
挂钩弹窗的常规思维在这里将不再适用,如何层层抽丝剥茧发散思维,最终定位挂钩目标函数是Hook编程的高级思维。视频将向你展示透过现象看本质的原理流程,在这里不将只是无趣的“code”,还有更重要的“why”!本文将带你深入探索C++ Hook钩子技术的中级阶段,通过Hook按键小精灵弹窗,引发一场编程思维的大爆炸!我们将突破常规思维,不拘一格地建立底层逻辑,拨开表象,寻求编程世界的真实自我。跟随我们一起踏上这段挑战之旅,探索Hook编程的深邃奥秘,挖掘编程技术的无限可能性!
关于Win7 x64 Shadow SSDT 的探索和 Inline HOOK
fyfy
05-15 3835
http://bbs.pediy.com/thread-210481.htm 来看雪一年了,在这里面学到了很多知识,非常感谢各位前辈对知识的分享和不懈的研究,也非常感谢各位大神对我们这些小白的照顾,特别要感谢MaMy、hksoobe、luolinlove等大神的指导。我也一直非常希望能为看雪贡献一点什么,但是小白的理解估计大神也看不上,这次也是注册看雪一周年,冲着这个也来发表一点自己的理

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值