分析了一下360安全卫士的hook(zt)

最新推荐文章于 2024-03-05 15:57:42 发布
最新推荐文章于 2024-03-05 15:57:42 发布
阅读量3.3k 收藏
点赞数 1
分类专栏: 计算机安全 文章标签: hook 360 2010 c
分析了一下360安全卫士的hook(zt) 2010-6-3 18:36阅读(12)

分析了一下360的HOOK,通过直接hook KiFastCallEntry实现以所有系统调用的过滤。

我分析的版本如下:

主程序版本: 6.0.1.1003

HookPort.sys版本: 1, 0, 0, 1005

HookPort.sys的TimeStamp: 4A8D4AB8

简单说明:360把所有被hook的系统服务的过滤函数放在了一个表里,索引即对应的系统服务在该过滤函数表中的索引。

所有列出来的函数都会被hook掉的,是否处理指某个系统服务有没有相应的过滤函数进行处理,拒绝还是放行就是在过滤函数中完成判断的。

不处理的系统服务,将会直接调用原始服务例程。

函数如下:

服务名称          索引  是否处理  备注

===============================================

NtCreateKey          0×00  否

NtQueryValueKey        0×01  是

NtDeleteKey          0×02  是

NtDeleteValueKey      0×03  是

NtRenameKey          0×04  是

NtReplaceKey        0×05  是

NtRestoreKey        0×06  是

NtSetValueKey        0×07  是

NtCreateFile        0×08  是

NtFsControl          0×09  是

NtSetInformationFile     0×0A  是

NtWriteFile          0×0B  是

NtWriteFileGather      0×0B  是    //和NtWriteFile共用一个过滤函数

NtCreateProcess        0×0D  是

NtCreateProcessEx      0×0E  是

NtCreateUserProcess      0×0F  是    //Only on Vista or later

NtCreateThread        0×10  是

NtCreateThreadEx      0×10  是    //和NtCreateThread共用一个过滤函数,for vista or later

NtOpenThread        0×11  是

NtDeleteFile        0×12  是

NtOpenFile          0×13  是

NtReadVirtualMemory      0×14  否

NtTerminateProcess      0×15  是

NtQueueApcThread      0×16  是

NtSetContextThread      0×17  是

NtSetInformationThread    0×18  否

NtProtectVirtualMemory    0×19  否

NtWriteVirtualMemory    0×1A  是

NtAdjustGroupToken      0×1B  否

NtAdjustPrivilegesToken   0×1C  否

NtRequestWaitReplyPort    0×1D  是

NtCreateSection        0×1E  是

NtOpenSecton        0×1F  是

NtCreateSymbolicLinkObject  0×20  是

NtOpenSymbolicLinkObject  0×21  否

NtLoadDriver        0×22  是

NtUnloadDriver        0×22  是    //和NtLoadDriver共用一个过滤函数

NtQuerySystemInformation  0×23  是

NtSetSystemTime        0×25  否

NtSystemDebugControl    0×26  是

NtUserBuildHwndList      0×27  是

NtUserQueryWindow      0×28  是

NtUserFindWindowEx      0×29  是

NtUserWindowFromPoint    0×2A  是

NtUserMessageCall      0×2B  是

NtUserPostMessage      0×2C  是

NtUserSetWindowsHookEx    0×2D  是

NtUserPostThreadMessage    0×2E  是

NtOpenProcess        0×2F  是

NtDeviceIoControlFile    0×30  是

NtUserSetParent        0×31  是

NtOpenKey          0×32  是

NtDuplicateObject      0×33  是

NtResumeThread        0×34  否

NtUserChildWindowFromPointEx 0×35  是

NtUserDestroyWindow      0×36  是

NtUserInternalGetWindowText  0×37  否

NtUserMoveWindow      0×38  是    //和NtSetParent共用一个过滤函数

NtUserRealChildWindowFromPoint 0×39 是    //和NtUserChildWindowFromPointEx共用一个过滤函数

NtUserSetInformationThread  0×3A  否

NtUserSetInternalWindowPos  0×3B  是    //和NtSetParent共用一个过滤函数

NtUserSetWindowLong      0×3C  是    //和NtSetParent共用一个过滤函数

NtUserSetWindowPlacement  0×3D  是    //和NtSetParent共用一个过滤函数

NtUserSetWindowPos      0×3E  是    //和NtSetParent共用一个过滤函数

NtUserSetWindowRgn      0×3F  是    //和NtSetParent共用一个过滤函数

NtUserShowWindow      0×40  是

NtUserShowWindowAsync    0×41  是    //和NtUserShowWindow共用一个过滤函数

NtQueryAttributesFile    0×42  否

NtUserSendInput        0×43  否

NtAlpcSendWaitReceivePort  0×44  是    //for vista or later

NtUnmapViewOfSection    0×46  是

NtUserSetWinEventHook    0×47  否

NtSetSecurityObject      0×48  是

NtUserCallHwndParamLock    0×49  是

NtUserRegisterUserApiHok  0×4A  否


lionzl
关注
专栏目录
Python爬虫巧用Hook技巧分析接口数据加密
吴秋霖的博客
02-29 1725
极简的Hook方案,辅助通杀绝大部分网站接口响应数据加密
linux应用hook实例(含源码分析
啊渊的专栏
08-12 2724
函数地址替换是最简单的hook方式,在开发的时候发现C开发的程序和C++开发的程序hook还是有差别的。C开发的程序函数几乎是可以直接使用readelf查看,因此在查找函数偏移量的时候相对简单一些,但是如果是C++开发无法直接使用readelf命令查看函数地址,因此需要动态跟踪函数地址,找到函数偏移量然后针对该函数地址进行hook。..............................
分析一下360安全卫士HOOK(二)——架构与实现(zt)
lionzl的专栏
07-11 3420
上一篇的分析中漏掉了三个函数,现补上: NtSetSystemInformation    0×24 ProcessNotify        0×45 //这个并非Hook,只是HookPort安装的一个Notify KeUserModeCallback      0×4B 这样一共是从0到0×4B,共0×4C个过滤函数,齐了~~ 上次先列出了360hook的系统服务,让大家对它做了
精品!
Sunny_wwc的专栏
10-24 916
仿照了下360 的过滤架构,搭建了个Hook 框架,360Hook架构的确很优秀,我觉得很值得我们学习与研究。这里我按照大牛们已经逆向出来的思路实现了下代码(都逆向出来了坐下代码工作不会怎么样吧?….只是学习架构)。不要鄙视我等代码工………,好吧大牛们想BS就BS吧,我表示毫无压力~~~~,我是菜鸟我怕谁! 废话不多说发代码,如果有错误和白痴的地方请指出,我水平有限……. 搭建这个架构大致需要以下几个模块,一是安装KiFastCallEntry的Hook模块,二是FakeKiFastCallEnt
windows消息处理过程及消息钩子
研究源码的最底层,只持有正确的仓位
01-15 3269
应用层发消息: 发送消息过程 SendMessage(user32.dll)->SendMessageWorker,先检查有没有hook消息钩子,有的话调用CsSendMessage,进入消息钩子过滤函数。 没有的话,看是不是系统消息,是的话在Message表中找到对应msg id的索引值,通过索引值在在gapfnScSendMessage数组中找到对应的消息处理函数 如果是NtUser...
windows message manager
飞鸟的专栏
08-31 1574
SendMessage窗口过程函数的调用有两个入口,一个是自己的线程给自己窗口发通知,这样直接调用内部函数进行调用,使用IntCallMessageProc来调用函数,另一种方式是转换用户消息为内核消息,调用NtUserMessageCall来传递消息。LRESULT WINAPI SendMessageW(HWND Wnd, UINT Msg, WPARAM wParam
处理PUBG过CE窗口最小化检测
最新发布
微尘网络安全
03-05 694
游戏逆向辅助开发教学
仿360安全卫士9.6New
10-27
【标题】"仿360安全卫士9.6New" 涉及的主要知识点是模仿360安全卫士的用户界面(UI)设计以及Windows消息钩子(Hook)技术的应用。360安全卫士是一款知名的电脑安全软件,其用户界面设计简洁且功能丰富,深受用户...
1.3.8.1版(18-04-02)360加固保Hook
05-26
- 识别目标类和方法:分析360加固保的源码或使用反编译工具,找到需要Hook的目标类和方法。 - 实现Hook:使用Xposed提供的API,如`XposedBridge.log()`和` XC_MethodHook`,设置Hook点,实现方法的前置和后置处理。 ...
基于QT(C++)实现安全卫士(软件行为分析)【100012955】
07-17
PFDLL:定义了需要 HOOK 的 winAPI 和替换的函数 syringe:注射器程序,主要将 PFDLL 程序中的替换函数替换测试程序 testCode 中的 API PFSafetyGuard:图形界面程序,接收 PFDLL 程序勾取的信息,然后做一些行为...
简单实现了下SSDT SHADOW HOOK
huobengle
11-03 729
介绍: SSDT SHADOW HOOK可用于安全软件窗口保护、安全输入、截屏保护等。例如:挂钩NtUserFindWindowEx、NtUserGetForegroundWindow、NtUserBuildHwndList、NtUserQueryWindow、NtUserWindowFromPoint、NtUserSetParent、NtUserPostMessageNtUserMes...
WPF自定义控件——顶级控件
weixin_30892037的博客
12-25 640
作为一个WPF程序员,我最希望看到的是WPF的应用,或者更确切的说是绚丽的应用,虽然限于自身的实力还不能拿出成绩来,但看到别人的作品时,心里还是有很大的宽慰——WPF是可以做出更加动人地产品的,只要你坚定的走下去,带着不满现状的追求走下去。 下图是Telerik的WPF控件,我相信很多人也下过他的DEMO,研究过他的代码,并由此激起对WPF的信心。今天我们就来仿造他的Drag...
Win32k(2) 报文驱动的通信机制
weixin_30782331的博客
03-26 170
一.应用层的apiint APIENTRY _tWinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPTSTR lpCmdLine,intnCmdShow){ WNDCLASSEXwcex; wcex.lpfnWndProc ...
驱动编程:注册表回调,进程回调,文件回调,进程隐藏断链,窗口保护
追逐光芒,追随内心
10-28 1950
#include "struct.h" #define debug_pott_offset 0x298 //#define debug_pott_offset 0x1f0 DWORD changge_size_NtClose = 0; //NtClose被修改了N字节 PUCHAR ori_head_NtClose = NULL; //NtClose的前N字节数组 PVOID ori_addr_NtClose = NULL; //NtCl..
一个反键盘记录工具的分析
08-22 1485
除了nProtect,国外还有一些反键盘记录工具,比如下面这个还不错:http://www.anti-keyloggers.com/是个通用型的,与QQ的nProtect专门用于保护密码不同。而且反破解做的不错(对我这种破解外行而言,呵呵)。它的原理我简单的说一下,就是替换键盘类驱动的KeyboardClassServiceCallback,然后把得到的ScanCode传递到用户态
YJX_Driver_011_驱动保护原理实战__IDA
weixin_30651273的博客
03-24 289
1、 【00:28】认识Win32子系统   【02:02】WinAPI 一般分为3类:USER函数、GDI函数、Kernel函数     【02:38】GDI --> 物理设备上执行绘图操作 --> win32k.sys     【02:55】win32k.sys 一般我们很少用到,常用的是 ntkrnlpa.exe 和 ntkrnlpa.lib (kernel32.dll)...
获得SSDT表函数名
cqyczj的专栏
04-18 1786
代码:  ULONG GetSSDTName() {  KdBreakPoint();  if (KeGetCurrentIrql() > PASSIVE_LEVEL)  {   return STATUS_UNSUCCESSFUL;  }  //设置NTDLL路径  UNICODE_STRING uniFileName;  RtlInitUnicodeString(&uniFileName, 
在windbg中测试shadow ssdt , win32k!NtUserGetForegroundWindow , hook shadow ssdt
a65783305的博客
06-27 509
在windbg中查看shadow ssdt: 0: kd> lm start end module name 804d8000 806e3000 nt (pdb symbols) I:\Symbols\ntkrpamp.pdb\966DF78E558F483199141B029DF5A9D51\ntkrpamp.p...
VC里面快速调用Nt系列函数示例方法
Koma的主页
12-19 5411
VC里面快速调用Nt系列函数示例方法,以NtTerminateProcess结束自己为例 当初研究的目的也只是为了一个稳定通用的ring3 inline hook bypass funaddr + 5的方法除外,如果你还有其他方法或思路,欢迎交流指导!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值