普及X64 ssdtshadow inline HOOK

最新推荐文章于 2024-08-20 09:21:26 发布
最新推荐文章于 2024-08-20 09:21:26 发布
阅读量3k 收藏 3
点赞数
分类专栏: windwos内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18942885/article/details/48644257
版权
本文介绍了如何在X64系统中进行SSDTShadow Inline Hook,通过获取KeServiceDescriptorTableShadow地址,找到目标函数地址,并利用汇编引擎创建代理函数,实现在NtUserWindowFromPoint函数上的HOOK操作。
摘要由CSDN通过智能技术生成
序:
我只想说~~再不发帖老大就 不搭理我了~~~
原因:玩保护玩到了 XINGCODE3 就他的各种检测就让我不得不重视这个问题了:o:


各种窗口 各种X 我的工具 让我忍无可忍,就决定先HOOK了在说其他 最开始我用TA 的代码里面的 HOOK 方法 在 挂钩 NT 内核中的函数算是无往不利 在SHADOWSSDT中就蛋疼菊花紧了~~
于是 开始自己搞:mad::mad:


我们要做的就是
得到KeServiceDescriptorTableShadow的地址 然后根据这个玩意儿得到函数地址 再inline hook!




大家要说了为什么不直接利用表HOOK 我就像说一句 太麻烦 要找一个在同一4GB 的内存空间做代理函数 还要二级跳 何必呢:D::D::D:




HOOK 方式 使用汇编引擎得到一个不截断的大于等于14字节的可存放JMP 的长度 


然后COPY 这个一片内存 复制到代理函数的开头  我用的汇编文件 给他30 个NOP 怎么都够了


然后 进入过滤函数 最后决定是跳回去执行还是这里就返回了


下面这个函数是获取 指定shadowssdt中指定index的项的函数地址




ULONG64 ssdt_GetSSDTShaDowFuncX64(ULONG serviceID){
PKSERVICE_TABLE_DESCRIPTOR SSDTShadow;
PULONG         W32pServiceTab
最低0.47元/天 解锁文章
qq_18942885
关注
专栏目录
getssdtserviceid_C/C++知识点之SSDTinlinehook(64位)
weixin_39946313的博客
12-22 196
本文主要向大家介绍了 C/C++知识点之SSDTinlinehook(64位),通过具体的内容向大家展示,希望对大家学习C/C++知识点有所帮助。源码:https://github.com/haidragon/SSDTHOOK_win7x64/tree/master/SSDTHOOK_win7x64SSDT表的查找:https://blog.csdn.net/zfdyq0/article/deta...
SSDTinlinehook(64位)
weixin_34335458的博客
10-26 241
源码:https://github.com/haidragon/SSDTHOOK_win7x64/tree/master/SSDTHOOK_win7x64SSDT表的查找:https://blog.csdn.net/zfdyq0/article/details/26515019https://bbs.pediy.com/thread-249851.htm补充知识点:https://blog.csd...
And64InlineHook 开源项目教程
最新发布
gitblog_01144的博客
08-20 309
And64InlineHook 开源项目教程 And64InlineHook项目地址:https://gitcode.com/gh_mirrors/an/And64InlineHook 项目介绍 And64InlineHook 是一个轻量级的 ARMv8-A(ARM64 AArch64 Little-Endian)内联挂钩库,专为 Android C/C++ 开发设计。该项目允许开发者在 And...
Win7 64位的SSDTHOOK(2)---64位SSDT hook的实现
whatday的专栏
09-14 3985
Hook之前要干掉PG:http://www.m5home.com/bbs/thread-5893-1-1.html 上篇文章知道了寻找SSDT表的方法,这篇记录一下如何实现SSDT表的Hook。 下面以Hook NtOpenProcess为例,之前我查SSDT表发现NtOpenProcess函数的标号为35,用XT等工具也能查看。 废话不多说,上代码。 [
SSDT inlineHook
dre4merp
05-16 377
上一篇我们介绍了最简单的SSDT,这篇来写一下inlineHook。 所谓的inlineHook就是在内存中修改所需要挂钩函数的前几个字节,让其跳转到我们的fake函数,执行完毕后再跳回去执行原函数,这样的话我们就没有修改SST表里面的内容,而是对函数本身修改。 流程摘自:看雪aniquest 1. 获取服务函数地址: (1)通过全局变量KeServiceDescriptorTable获得SSDT表的起始地址; (2)映射ntdll.dll到ring0空间,获得要Hook函数的服务索引号; (
x64 内核 InlineHook
qq_41490873的博客
06-27 865
需要使用LDE反汇编引擎 #include<ntddk.h> #include"LDE.h" #define kmalloc(_s) ExAllocatePoolWithTag(NonPagedPool, _s, 'SYSW') #define kfree(_p) ExFreePool(_p) KIRQL WPOFFx64() { KIRQL irql = KeRaiseIrqlToDpcLevel(); UINT64 cr0 = __readcr0(); cr0 &= 0xff
Inline Hook_inlinehook_x86_x64_64位HOOK_
09-28
通过这个Inline Hook插件,你可以学习到如何在x86和x64环境下实现Inline Hook,理解其原理并掌握在实际项目中应用这一技术的方法。对于计算机科学和软件工程的学生,以及从事逆向工程和安全研究的专业人士来说,这是...
x64 ssdt shadowssdt inlinkhook
04-07
标题中的“x64 ssdt shadowssdt inlinkhook”涉及到的是Windows系统内核级的钩子技术,尤其是针对x64架构下的System Service Dispatch Table (SSDT)和Shadow SSDT的内联钩子(In-Process Hook)实现。SSDT是Windows...
如何区分ssdt hookinline hook钩子
01-25
两种常见的钩子类型是SSDT(System Service Descriptor Table)HookInline Hook,它们各有特点,适用场景不同。 **SSDT Hook** SSDT是Windows操作系统中用于管理系统服务的一个表,它包含了一系列指向系统服务...
WIN64位驱动 InLine_HOOK框架
12-28
《关于WIN64位驱动InLine_HOOK框架的深入解析》 在计算机编程领域,驱动程序是操作系统与硬件设备之间的桥梁,而InLine_HOOK框架则是一种常见的驱动技术,它允许开发者在不修改目标代码的情况下,对特定函数进行...
inline hook x86 x64
01-27
inline hook x86 x64 windows
X64 inline hook CreateProcessInternalW
11-24
X64 inline hook explorer.exe-->CreateProcessInternalW监视进程创建. vc2008+WIN7 64测试通过.
Hook Shadow SSDT(源码)
08-18
Hook Shadow SSDT.c的源代码,适合于学习以及应用分析。
64位驱动SSDTHOOK教程
10-02
完整的64位驱动SSDTHOOK文档资料,学习win7 64位驱动很好的
win7 64位 ssdthook
11-21
通过hook内核中ssdt表中的ntopenprocess函数,标号为35,可通过遍历ssdt表查找得知,可实现进程保护。 适用系统:win7 64,需关闭驱动签保护 编程工具:vs2012+wdk8.0
HOOK集合----SSDT Inline Hook(X86 win7)
qq_42021840的博客
04-24 300
介绍: SSDT InlineHook是在SSDT Hook 基础上来进一步Hook的,SSDTHook 是直接将SSDT表中的 Nt*函数替换成Fake函数,而SSDT Inline Hook是将原函数代码的前五个字节改变为 E9 _ _ _ _ ,后面跟的是Offset,也就是我们Fake函数的偏移地址,这样当Ring3层函数,比如OpenProcess在Ring3 层被调用...
64位下的SSDT HOOK 保护进程
qq_41490873的博客
08-27 1030
64位下的SSDT HOOK与32位不同.由于SSDT服务表里面存放的只是函数的偏移,并且大小只有2的28次方. 无法直接跳转到指定的函数地址处,所以这里采用了先跳转到BugCheckEx函数,然后在BugCheckEx函数开头跳转到自己的处理函数中. BugCheckEx充当了一个跳板的作用. 代码在WIN7 64 7600版本中测试通过,卸载函数没有还原BugCheckEx函数的12字节 有需要自己去还原一下吧. 注意在测试的时候点击进程,不要直接点应用程序图标. #include<ntddk
c++ x64 inline hook
01-26
x64 Inline Hook(内联钩子)是一种在x64架构下实现的钩子技术,用于在程序运行时对函数进行修改或者监控。钩子技术可以用于实现一些高级功能,如函数拦截、行为修改和调试等。 Inline Hook的主要原理是通过修改函数的机器码,将目标函数的执行流程改变到一个特定的钩子函数,从而实现我们所需的功能。这个钩子函数可以进行一系列的操作,如记录参数、修改参数、替换返回值等。 x64 Inline Hook实现相对复杂,因为x64架构下的指令集更加复杂,并且x64架构引入了新的寄存器和指令,如RAX、R10、R11,还有新的调用惯例等。因此,在实现x64 Inline Hook前,我们需要对x64汇编指令和调用惯例有深入的了解。 具体实现Inline Hook主要包括以下几个步骤: 1. 定位到目标函数的地址。可以通过符号表、导入表或者动态调试等方式获取目标函数的地址。 2. 备份目标函数的原始字节码。为了在后续操作中恢复目标函数的完整执行流程,我们需要保留原始字节码。 3. 修改目标函数的字节码。通过修改目标函数的机器码,将执行流程转移到我们的钩子函数。 4. 编写钩子函数。钩子函数的参数和返回值需要与目标函数保持一致,并实现所需的功能。 5. 恢复目标函数的原始字节码。在钩子函数执行完毕后,需要将目标函数的字节码恢复到原始状态,以确保程序正常运行。 6. 跳回目标函数。在钩子函数执行完成后,我们需要将执行流程跳转回原始的目标函数。 需要注意的是,Inline Hook的实现需要考虑到多线程的情况,并且要保证对内存的修改是线程安全的,以及在恢复原始字节码时要避免潜在的问题。 总的来说,x64 Inline Hook是一种强大的技术,可以用于实现程序的函数修改和监控等高级功能。但它的实现相对复杂,需要对x64架构和汇编指令有深入的理解。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值