Hook集合
`Nobody
小菜鸡
展开
-
HOOK集合----SSDT Hook Anti(X86 win7)
介绍: 前段时间写了SSDT Hook,没来得及写SSDT Hook 的ANTI策略,今天来写一下。 其实,ANTI SSDT Hook 也很简单,无非就是对比一下内存中加载的SSDT 表中的函数地址和原文件(ntkrnlpa.exe)中的SSDT表中函数地址是否一致即可。(一)⚪ 获取ntkrnlpa.exe模块的完整路径⚪将文件读取到当前内存空间中⚪将RVA转化为FOA,找到原文件读取到内存中的SSDT表位置。⚪判断内存加载的SSDT表中的函数地址和原文件中的SSDT表...原创 2020-05-09 23:18:13 · 228 阅读 · 1 评论 -
HOOK集合----SSDTDPC Hook Anti(X86 win7)
介绍: 前几天写过一篇SSDT DPC Hook的文章,最近才想起来写一下如何来对抗SSDT DPC Hook,所以有了这篇文章,其实对抗原理也很简单,就是检测出来目标驱动创建的DPC,移除掉,然后进行普通的SSDT Hook 就可以了。(一)⚪获取目标驱动信息(模块基址和大小)⚪获取DPC信息 判断目标驱动创建出的DPC⚪移除DPC、销毁时钟⚪卸载SSDT Hook(二)#pragma once#include<fltKernel.h>#...原创 2020-05-09 22:19:01 · 435 阅读 · 1 评论 -
Hook集合----SSDTHook(x86 Win7)
最近在学习Ring0层Hook的一些知识点,很久就写完SSDTHook的代码了,但是一直没有整理成笔记,最近有时间也就整理整理。介绍: SSDTHook 实质是利用Ntoskrnl.exe 中全局导出的SSDT来进行Hook,SSDT(SystemServiceDescriptorTable,系统服务描述表),为什么要去用到SSDT表呢? 我们看一下Zw...原创 2020-03-30 20:27:00 · 250 阅读 · 0 评论 -
HOOK集合----SSDT Inline Hook(X86 win7)
介绍: SSDT InlineHook是在SSDT Hook 基础上来进一步Hook的,SSDTHook 是直接将SSDT表中的 Nt*函数替换成Fake函数,而SSDT Inline Hook是将原函数代码的前五个字节改变为 E9 _ _ _ _ ,后面跟的是Offset,也就是我们Fake函数的偏移地址,这样当Ring3层函数,比如OpenProcess在Ring3 层被调用...原创 2020-04-24 18:31:00 · 306 阅读 · 0 评论 -
HOOK集合----SSDTDPC Hook(X86 win7)
介绍: SSDT DPC Hook 其实是建立在SSDT Hook的基础上的,建立一个定时器,然后设置触发时间,反复去 SSDT Hook,这样会使直接进行SSDT UnHook的无法恢复,在学习过程中,算不上是一种全新的Hook,算是SSDT Hook 的一种设计版。(一) ⚪建立定时器,定时回调函数为SSDTHook 函数,反复Hook。 ⚪首先找到全局...原创 2020-04-25 10:35:00 · 190 阅读 · 0 评论