Hook系列
qq_37957965
好好学习,天天向上。
展开
-
KiFastCallEntryHook
先根据SSDTHook给SSDTTableBase下钩子(Hook掉NtSetEvent函数),然后通过调用ZwSetEvent函数进入FakeSetEvent函数,在FakeSetEvent函数中我们通过栈回溯(ebp+4)找到主调函数KiFastCallEntry的EIP(KiFastCallEntry函数Call NtXX函数指令的下一条指令处,被调函数执行完后主调函数会从EIP中...原创 2018-04-10 14:10:29 · 989 阅读 · 0 评论 -
HideProcess(隐藏进程) Ring0 win7 x86
我们可以通过遍历EProcess结构体中的双向链表ActiveProcessLinks,找到目标进程结点后将该节点从双向链表中移除,便实现了进程隐藏的目的,此时打开win7的任务管理器会发现运行的calc进程并没有显示。使用windbg查看EProcess结构: 2: kd> !process 0 0 //crtl+F查找explorer PROCESS ...原创 2018-11-23 21:22:21 · 3203 阅读 · 0 评论 -
键盘钩子(SetWindowHookEx)
挂钩原理Windows下的应用程序大部分都是基于消息机制的,它们都会有一个消息过程函数,根据不同的消息完成不同的功能。Windows操作系统提供的钩子机制的作用就是用来截获和监视这些系统中的消息。Windows钩子琳琅满目,可以用来应对各种不同的消息。按照钩子作用的范围不同,又可以分为局部钩子和全局钩子。局部钩子是针对某个线程的;而全局钩子则是作用于整个系统中基于消息的应用。全局钩子需要...原创 2018-11-22 15:37:06 · 2869 阅读 · 0 评论