Hook ZwQueryInformationProcess 函数使得异常处理可以在shellcode上执行

于 2019-09-27 17:41:28 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: hook 文章标签: Hook ZwQueryInformationProcess
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lif1234567890/article/details/101548034
版权

32位系统上当你的shellcode有使用

__try

__except

进行处理时,系统最终会调用RtlIsValidHandler来判断异常处理函数是否有效,如果你希望处理异常

应该是Hook RtlIsValidHandler,可是微软没有导出这个接口

于是我们逆向看看RtlIsValidHandler

发现它会判断ZwQueryInformationProcess的返回值,这里就是ExecuteFlag,这个值不好进行设置,内核会根据flag=8将其锁死,所以我们hook ZwQueryInformationProcess即可

我们再看调用IsValidHandler的RtlDispatchException函数

也判断了一个标记

那么最终我们应该增加0x40+0x30 也就是0x70的标记即可

        //根据逆向我们似乎发现了一个办法,也就是Process的MemoryFlag,可用ZwQueryInformationProcess来进行查询
        //0x22 flag,返回的一个字节就是MemoryFlag
        //#define MEM_EXECUTE_OPTION_DISABLE                          0x1
        //#define MEM_EXECUTE_OPTION_ENABLE                           0x2
        //#define MEM_EXECUTE_OPTION_DISABLE_THUNK_EMULATION          0x4
        //#define MEM_EXECUTE_OPTION_PERMANENT                        0x8
        //#define MEM_EXECUTE_OPTION_EXECUTE_DISPATCH_ENABLE          0x10
        //#define MEM_EXECUTE_OPTION_IMAGE_DISPATCH_ENABLE            0x20
        //#define MEM_EXECUTE_OPTION_VALID_FLAGS                      0x3F
        //当其具有MEM_EXECUTE_OPTION_IMAGE_DISPATCH_ENABLE | MEM_EXECUTE_OPTION_EXECUTE_DISPATCH_ENABLE时就可以了
        //或者是0x70

 

下面是hook函数的代码

NTSTATUS __stdcall MyZwQueryInformationProcess(
    IN HANDLE ProcessHandle,
    IN PROCESSINFOCLASS ProcessInformationClass,
    OUT PVOID ProcessInformation,
    IN ULONG ProcessInformationLength,
    OUT PULONG ReturnLength OPTIONAL
)
{
    g_bInMyZwQueryInformationProcess ++;
    if (ProcessInformationClass == ProcessExecuteFlags && ProcessHandle == GetCurrentProcess() && ProcessInformationLength == sizeof(ULONG))
    {
        NTSTATUS n2 = raw_ZwQueryInformationProcess(ProcessHandle,
            ProcessInformationClass,
            ProcessInformation,
            ProcessInformationLength,
            ReturnLength);

        if (g_bInMyZwQueryInformationProcess == 1)
        {
            //Debug_View(L"n2=%x, retlen=%d", n2, (*ReturnLength));
        }

        if (n2 == 0 && ProcessInformation)
        {
            if (g_bInMyZwQueryInformationProcess == 1)
            {
                //Debug_View(L"Old Execute Flag: %x", (*((ULONG*)ProcessInformation)));
            }

            (*((ULONG*)ProcessInformation)) |=0x70;
            
            if (g_bInMyZwQueryInformationProcess == 1)
            {
                //Debug_View(L"New Execute Flag: %x", (*((ULONG*)ProcessInformation)));
            }
        }

        g_bInMyZwQueryInformationProcess--;
        return n2;
    }

    g_bInMyZwQueryInformationProcess--;
    return raw_ZwQueryInformationProcess(ProcessHandle,
        ProcessInformationClass,
        ProcessInformation,
        ProcessInformationLength,
        ReturnLength);
}
 

 

 

nLif
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C++Hook发包函数核心代码
09-03
C++Hook发包函数核心代码 游戏辅助专用 不得不学 杀猪的
windows 内核下获取进程路径
10-09 597
windows 内核下获取进程路径 思路:1):在EPROCESS结构中获取。此时要用到一个导出函数:PsGetProcessImageFileName,申明如下: NTSYSAPI UCHAR * PsGetProcessImageFileName( __in PEPROCESS Process ); 此函数获取的是一个简单的进程名,...
ZwQuerySystemInformation查找进程文件句柄
03-25
ZwQuerySystemInformation查找文件句柄
如何从内核中检测ROOTKIT和剥离ROOTKIT
04-26 1485
https://www.xfocus.net/bbs/index.php?act=ST&f=2&t=62603]Detection of the hidden processes.[C] Ms-Rem© 2002-2005 wasm.ru - all rights reserved and reversedMany users have got used that Windows NT
枚举系统中打开的句柄
10-21 4801
删除系统中的文件会提示 有进程已经打开了这个文件会导致不能删除该文件在网上找到了在ring3下实现文件碎甲的一篇介绍:在ring3上实现文件碎甲功能其中首先需要实现的就是需要枚举出系统中每个进程打开的文件句柄枚举进程 枚举句柄 这些功能都需要用到从Ntdll.dll中导出系统内核函数比如函数 ZwQuerySystemInformation ZwQueryInformationPr
VB 使用 ZwQueryInformationProcess
資料為我做事
03-09 480
Option ExplicitPublic Declare Function ZwQueryInformationProcess _Lib "NTDLL.DLL" (ByVal ProcessHandle As Long, _ByVal ProcessInformationClass As PROCESSINFOCLASS, _ByVal ProcessInformation As Long...
通过ZwQuerySystemInformation获取EPROCESS
weixin_33672109的博客
01-08 506
google一下,发现很多都是直接通过ZwQuerySystemInformation通过11号获取进程结构SYSTEM_PROCESS_INFORMATION,对于详细的进程信息表达不够。所以想要通过这个来查看详细的 EPROCESS 结构。方法可以通过 PsLookupProcessByProcessId 这个函数来获取。函数原型在下面给出。   typedef struct _SYS...
逆向——反调试
wk19951125的博客
04-15 1041
逆向——基础分析基础分析(二) 基础分析(二)
进程遍历(枚举),模块遍历,线程遍历,进程链表,线程链表,模块链表
fzy20062008的专栏
08-07 1510
关键字: R3 Peb.Ldr,PEB_LDR_DATA NtQuerySystemInformationZwQueryInformationProcess, CreateToolhelp32Snapshot,EnumProcesses,EnumProcessModules ReadProcessMemory,NtReadProcessMemory kernel32.dll,psa...
易语言进程命令行
07-22
易语言进程命令行源码,进程命令行,计算偏移,枚举进程,检测进程,取进程命令行,CreateToolhelp32Snapshot,Process32First,Process32Next,CloseHandle
易语言HOOK异常处理
07-22
易语言HOOK异常处理源码,HOOK异常处理,HookSehProc,New_SE_Handler,GetSeAddr,内存非法写入,Int3,VirtualProtect
HOOK异常处理.rar
04-05
HOOK异常处理.rar
易语言源码易语言HOOK异常处理源码.rar
03-30
易语言源码易语言HOOK异常处理源码.rar
易语言HOOK跳转函数
07-22
易语言HOOK跳转函数源码,HOOK跳转函数,MakeJmp,安装HOOK,卸载HOOK,MySleep,API_GetProcAddress,API_GetModuleHandle,API_CopyMemory,API_VirtualProtect,API_Sleep,API_MessageBox
APIHOOK可以通过dll载入进程HOOK指定的函数地址
12-17
APIHOOK可以通过dll载入进程HOOK指定的函数,例如LoadLibraryA GetProcAddress 等等
Hook函数任意地址 c++
10-22
该实例实现了Hook函数任意地址的功能,并可以获取CPU寄存器的内容。
易语言源码易语言HOOK跳转函数源码.rar
03-30
易语言源码易语言HOOK跳转函数源码.rar
c++钩子函数:copy hook_linux函数hook
12-27
c++钩子函数:copy hook c++调用钩子函数监视复制文件操作
vue怎么在原有的方法上添加自定义hook执行一些逻辑处理
最新发布
06-09
在 Vue 中,可以通过在原有的方法上添加自定义 hook执行一些逻辑处理。这个自定义 hook 可以是一个函数,也可以是一个数组,其中包含多个函数。 首先,定义一个包含自定义 hook 的 mixin 对象,示例代码如下: ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值