x86 内核函数detour补丁

最新推荐文章于 2020-12-02 16:20:00 发布
VIP文章 最新推荐文章于 2020-12-02 16:20:00 发布
阅读量843 收藏
点赞数
分类专栏: Windows系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xboxmicro/article/details/19946587
版权

本文和代码来自rootkit——windows内核的安全防护

下面展示一个rootkit示例,可以解释对内核函数的detour补丁

 

 1 #include "ntddk.h"
 2 
 3 NTSYSAPI
 4 NTSTATUS
 5 NTAPI
 6 NtDeviceIoControlFile(
 7     IN HANDLE hFile,
 8     IN HANDLE hEvent OPTIONAL,
 9     IN PIO_APC_ROUTINE IoApcRoutine OPTIONAL,
10     IN PVOID IoApcContext OPTIONAL,
11     OUT PIO_STATUS_BLOCK pIoStatusBlock,
12     IN ULONG DeviceIoControlCode,
13     IN PVOID InBuffer OPTIONAL,
14     IN ULONG InBufferLength,
15     OUT PVOID OutBuffer OPTIONAL,
16     IN ULONG OutBufferLength
17 );
18 
19 NTSTATUS DriverEntry( IN PDRIVER_OBJECT theDriverObject, IN PUNICODE_STRING theRegistryPath )
20 {
21     DbgPrint("My Driver Loaded!");
22     
23     // TODO!! theDriverObject->DriverUnload = OnUnload;
24 
25     if(STATUS_SUCCESS != CheckFunctionBytesNtDeviceIoControlFile())
26     {
27         DbgPrint("Match Failure on NtDeviceIoControlFile!");
28         return STATUS_UNSUCCESSFUL;
29     }
30 
31     if(STATUS_SUCCESS != CheckFunctionBytesSeAccessCheck())
32     {
33         DbgPrint("Match Failure on SeAccessCheck!");
34         return STATUS_UNSUCCESSFUL;
35     }
36     
37     DetourFunctionNtDeviceIoControlFile();
38     DetourFunctionSeAccessCheck();
39 
40     return STATUS_SUCCESS;
41 }

检查NtDeviceIoControlFile是否已经被detour了

 1 NTSTATUS CheckFunctionBytesNtDeviceIoControlFile()
 2 {
 3     int i=0;
 4     char *p = (char *)NtDeviceIoControlFile;
 5 
 6     //The beginning of the NtDeviceIoControlFile function
 7     //should match: 
 8     //55        PUSH EBP
 9     //8BEC        MOV    EBP, ESP
10     //6A01        PUSH 01
11     //FF752C    PUSH DWORD PTR [EBP + 2C]
12     
13     char c[] = { 0x55, 0x8B, 0xEC, 0x6A, 0x01, 0xFF, 0x75, 0x2C };
14 
15     while(i<8)
16     {
17         DbgPrint(" - 0x%02X "
最低0.47元/天 解锁文章
BMOP
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Detours x86平台
10-10
Detours 是一个在x86平台上截获任意Win32函数调用的工具库。Detours通过重写目标函数的映像来达到插入到Win32 函数中执行的目的。Detours开发包中同样保留了描述如何附着到任意的Win32二进制文件的DLLs和data节表(被称为一种有效负荷,“payloads”)的文档。
读书笔记_Rootkit技术之detour补丁
wodamazi
11-02 95
下面介绍一下内联函数钩子。这种钩子远比IAT钩子强大,并不存在与Dll绑定时间相关的问题。在实现内联函数钩子时,rootkit实际上是重写了目标函数的代码字节,因此不管应用程序如何或者何时解析函数地址,都能够钩住函数。该方法在内核或用户空间都可以使用,但更常见于用户空间。 通常实现的内联函数钩子时会保存钩子要重写的目标函数的多个起始字节。保存了原始字之后,常常在目标函数的前5个字节中放置一个立即...
微软Detour移植到内核中应用
11-14
微软原有的Detour库是用户模式下的库,经过修改,次Detour可以用在内核中。 ////////////////////////////////////// // pbTarget: 目标(函数)指令 // // pbTrampoline: 跳板函数 // // pbDetour: 绕道函数 // ////////////////////////////////////// BOOL detour_insert_detour( PBYTE pbTarget, PBYTE pbTrampoline, PBYTE pbDetour); ////////////////////////////////////// // pbCode: 修改目标指令 // // pbDest: 目标跳转指令 // // cbCode: 要修改的字节数 // ////////////////////////////////////// BOOL detour_insert_jump(PBYTE pbCode, PBYTE pbDest, LONG cbCode);
python(内置函数, 模块)打补丁 兼容py2 py3
不止于Python
12-02 1186
转自 不止于python 使用背景   py2官方已不在维护, 所以将项目升级到py3, 但是项目也不是一行两行的事, 并且项目还在使用, 所以必须要兼容py2, 升级到py3   所以就有了以下常见问题, 比如, py2的内置函数py3已不使用, py2的内置模块py3已经改名......... 错误文件测试 print(unicode, type(unicode)) # 输出 "...
实现kernel-mode inline function hook的简单方法
08-14 1100
看了uty的《kernel inline hook 绕过vice检测》,思路很好,但实现起来麻烦了点。这里以CmEnumerateKey为例介绍实现inline hook的简单方法,尽量依靠编译器做更多的事情。1、编写fake_CmEnumerateKey,在其中对CmEnumerateKey的调用做后续处理。NTSTATUSfake_CmEnumerateKey(IN PCM_KEY_CON
Linux内核kprobe机制
风云
02-19 4255
一、kprobe简介 kprobe是一个动态地收集调试和性能信息的工具,它从Dprobe项目派生而来,是一种非破坏性工具,用户用它几乎可以跟踪任何函数或被执行的指令以及一些异步事件(如timer)。它的基本工作机制是:用户指定一个探测点,并把一个用户定义的处理函数关联到该探测点,当内核执行到该探测点时,相应的关联函数被执行,然后继续执行正常的代码路径。 kprobe实现了三种类型的探测点:
Linux内核调试技术——kprobe使用与实现
热门推荐
My Linux Journey
12-18 4万+
Linux kprobes调试技术是内核开发者们专门为了便于跟踪内核函数执行状态所设计的一种轻量级内核调试技术。利用kprobes技术,内核开发人员可以在内核的绝大多数指定函数中动态的插入探测点来收集所需的调试状态信息而基本不影响内核原有的执行流程。
Detour
小虎的空间
03-05 1491
Detours: Binary Interception of Win32 FunctionsDetours: 在二进制代码上截获Win32函数调用Galen Hunt and Doug BrubacherMicrosoft ResearchOne Microsoft WayRedmond, WA  98052detour[email protected]://re
detour
07-24
detour
detour 例子
03-16
detour window api hook 钩子函数 微软detour的几个应用例子
Detour源码
11-13
Detour源码,进入目录中有src文件夹编译. Detour源码,进入目录中有src文件夹编译.
testDetour_Detour_
10-01
hook捕获windows系统事件
Linux内核kprobe机制实现浅析
Fybon的专栏
12-10 1252
Kprobe机制是内核提供的一种调试机制,它提供了一种方法,能够在不修改现有代码的基础上,灵活的跟踪内核函数的执行。它的基本工作原理是:用户指定一个探测点,并把一个用户定义的处理函数关联到该探测点,当内核执行到该探测点时,相应的关联函数被执行,然后继续执行正常的代码路径。      Kprobe提供了三种形式的探测点,一种是最基本的kprobe,能够在指定代码执行前、执行后进行探测,但此时不
关于HOOK浏览器NtDeviceIoControlFile函数,修改POST数据的问题
陈刚编程心得与知识集
02-07 3570
我HOOK了IE的NtDeviceIoControlFile函数,想修改POST发包的数据,IE做POST数据时,会发送两个包,一个是HTTP头,一个是数据,如果修改的数据长度跟原数据长度相等,则可以直接修改数据,不会有问题,但如果数据长度不相等,则需要先修改HTTP头里的Content-length参数,然后再在第二个数据包发送的时候修改数据Buffer。   我的问题是,在第二种情况下,修改
x64 PEB简介 && 有关PEB的一些函数
XboxMicro
02-18 6597
尽管操作PEB BLOCK现在已经没什么价值了,但是PEB BLOCK作为内核的一个重要结构,这里还是提一下: x64 EPROCESS结构 +0x000 Pcb : _KPROCESS +0x160 ProcessLock : _EX_PUSH_LOCK +0x168 CreateTime : _LARGE_INTEGER
WH_CBT监控有窗体的进程创建
XboxMicro
02-26 6263
很久很久以前搜到以前博客的一篇文章,一个项目要求是在Windows Server 2008 x64 R2下监控有窗体的cmd/powershell创建,当时采用了WH_CBT应用层消息拦截的方法来监控进程创建。 1 BOOL WINAPI SetHook(BOOL fInstall) { 2 3 BOOL fOk; 4 if (fInstall) 5 {
EasyHook应用层inline hook实例
XboxMicro
02-26 4615
大名鼎鼎的detour想必大家都知道,可以detour x64微软居然售价9999美刀...(此处省略吐槽一万字) 在此本菜向大家介绍一款美帝的免费开源库EasyHook(inline hook),下面是下载地址 http://easyhook.codeplex.com/releases/view/24401 把头文件 lib文件全拷贝在工程文件夹中,把dll拷贝在%system32%
detour_skip_jmp
最新发布
10-14
在实际应用中,我们可以通过调用一些特定的指令或函数,来实现detour_skip_jmp。通过这些指令或函数,我们可以改变程序的执行流程,使得程序在执行到指定的位置时直接跳转到指定的另一个位置继续执行。这样一来,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值