另类HOOK 以KiFastSystemCall为例

最新推荐文章于 2019-11-11 09:22:35 发布
VIP文章 最新推荐文章于 2019-11-11 09:22:35 发布
阅读量2.6k 收藏
点赞数 1
分类专栏: C/C++ 逆向工程 文章标签: c++ hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rrrfff/article/details/6157808
版权
标题的另类并非什么高新技术, 说白了仍是满大街的inline hook, 只不过它为解决可patch空间不足提供了一种有限的解决方案, 本文以32位windows系统的KiFastSystemCall为例.

简言之, KiFastSystemCall是ring3程序进入内核的入口, hook KiFastSystemCall一次即可拦截大部分系统调用, 有时候甚至可以避免被检测到,但是inline较繁琐, 除了需要维护堆栈平衡, 还可能遇到可patch空间不足的问题, IDA结果如下: 
.text:7C92E510 ; =============== S U B R O U T I N E =======================================
.text:7C92E510
.text:7C92E510
.text:7C92E510                 public KiFastSystemCall
.text:7C92E510 KiFastSystemCall proc near              ; DATA XREF: .text:off_7C923428o
.text:7C92E510                 mov     edx, esp
.text:7C92E512                 sysenter
.text:7C92E512 KiFastSystemCall end
最低0.47元/天 解锁文章
RLib
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
支持x64,反一切R3下的常规Hook,完全基于Baby大佬的KiFastSystemCall-易语言
06-12
前言 本程序完全基于Baby大佬的Kernel,保留Baby大佬的一切权限! 原理部分介绍: 以“OpenProcess”这个大家熟悉的API为例子: 程序若其中任意一步被Hook,则相当于“OpenProcess”被Hook了 但是,这也启发了我们一些东西,假如我们去直接用SSDT编号调用Api的话,是不是相当于接近了内核,那么直接Hook“OpenProcess”或者“ZwOpenProcess”是也无效了?(理论上,这个方法可以绕过R3下一切的常规Hook,我们根本没有调用“ZwOpenProcess”,IAT,EAT钩子理论上全部失效!) 程序例子: 首先先编写好代码:没有Hook下直接调用ZwSuspendProcess: 有Hook的情况下: 这时调用KiSuspendProcess: 你会发现,Hook根本对它没有效果,程序任然按照计划执行的 最后声明 本程序完全基于Baby大佬的Kernel,保留Baby大佬的一切权限!
Windows内核情景分析 第二章 从用户空间发起系统调用的过程(仅供自赏)
For Geek
05-15 793
系统调用/系统服务存在的需求 从应用程序的角度看,内核的作用在于提供了一组可供应用程序调用的接口。这组调用我们称为“系统调用”。也可以认为系统调用是内核提供的一种服务。所以系统调用也称为系统服务。 从程序运行的角度来看:进程是主动的,有活性的,是发出调用请求的一方。而内核是被动的,只是应程序的需求来提供相应的服务。 从整个系统的角度看:内核也有活性的一面,只不过从应用程序本身是看不到的,隐形的。诸...
SystemCallStub与KiFastSystemCall的关系
zfs2008zfs的博客
08-25 1132
SystemCallStub与KiFastSystemCall的关系
对XP上的KiFastSystemCall进行浅析
weixin_34200628的博客
11-19 205
WindowsAPI的系统调用过程通过KiFastSystemCall或int2e进入内核,本文仅对XP上的KiFastSystemCall进行浅析。   以ntdll!ZwCreateProcessEx为例:   Eax中保存系统调用号,此处ZwCreateProcessEx的为30h;Edx是SharedUserData!SystemCallStub的地址,里面保存着KiF...
Windows系统调用学习笔记(四)—— 系统服务表&SSDT
qq_41988448的博客
11-11 2703
Windows系统调用学习笔记(四)—— 系统服务表前言要点回顾系统服务表实验:分析 KiSystemService 与 KiFastCallEntry 共同代码 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 要点回顾 API进入0环后调用的函数: 中断门 – KiSystemService 快速调用 – KiFastCallEnt...
KiFastCallEntry() 机制分析
无本之木
05-28 1146
本文转自:http://www.mouseos.com/windows/kernel/KiFastCallEntry.html 1. 概述 从 windows xp 和 windows 2003 开始使用了快速切入内核的方式提供系统服务例程的调用。 KiFastCallEntry() 的实现是直接使用汇编语言,C 语言不能直接表达某些操作。我从 windows 2003
KiFastSystemCall函数问题
陈刚编程心得与知识集
02-27 790
代码: HANDLE DebugPort = 0; NtQueryInformationProcess((HANDLE)-1, ProcessDebugPort, &DebugPort, sizeof(HANDLE), 0); 函数声明如下 __declspec(naked) NTSTATUS NTAPI NtQueryInformationProcess(
C++ 挂钩函数(以MessageBoxA为例
11-10
本程序可以控制特定函数的运行和返回值等,可以用来做防杀进程等。 本程序的优点: 1. 同时支持g++和Visual Studio 2010以上版本; 2. 同时支持x86操作系统和x64操作系统; 3. 注释非常详细,几乎每一句都有。
C#EasyHook_easyhook_
10-03
Easyhook demo 供大家学习和参考
微信Hook教程(易语言)
06-14
包含3个教程,易语言Hook教程,Hook教学实战等,包含PC2.6 Hook全功能版
易语言真实API模块
07-18
易语言真实API模块源码,真实API模块,BaseSetLastNTError,调用_KiFastSystemCall,备份_调用_KiFastSystemCall,调用_NtQueryInformationProcess,调用_NtSetInformationThread,调用_NtDeviceIoControlFile,调用_NtFsControlFile,调用_NtWaitForSingleObject,调用
易语言API模块
01-31
好多API 功能集成在里面,不用再去到处找了!
C++ 挂钩函数(以MessageBoxA为例)新版
11-11
本程序可以控制特定函数的运行和返回值等,可以用来做防杀进程等。 本程序的优点: 1. 同时支持g++和Visual Studio 2010以上版本; 2. 同时支持x86操作系统和x64操作系统; 3. 注释非常详细,几乎每一句都有;... 4....
Hooking KiFastSystemCall
11-27 2830
 program KiFastSystemCall; uses   Windows, madCodeHook, SysUtils; var   realKiFastSystemCall: procedure;   dwIndexPVM: DWORD; function hookZwProtectVirtualMemory(hProcess: THandle; lpAddress: Pointer;
关于sysenter与KiFastSystemCall
Mr.Out的专栏
10-02 1890
<br />xp下用sysenter指令代替了int 2eh来进入ring0,似乎所有的sysenter都是通过KiFastSystemCall来调用的<br />KiFastSystemCall()<br />{<br /> sysenter<br />}<br /> <br />这样是不是可以通过Hook  KiFastSystemCall来了解哪些是需要调用内核的API了<br /> <br /> <br /> <br /> 
Windows系统调用架构分析—也谈KiFastCallEntry函数地址的获取
热门推荐
Less Is More
05-27 1万+
为什么要写这篇文章 1.      因为最近在学习《软件调试》这本书,看到书中的某个调试历程中讲了Windows的系统调用的实现机制,其中讲到了从Ring3跳转到Ring0之后直接进入了KiFastCallEntry这个函数。 2.      碰巧前天又在网上看到了一篇老文章介绍xxx安全卫士对Windows系统调用的Hook,主要就是Hook到这个函数 3.      刚刚做完毕业设计,对
学习记录--HooKSystemCall
weixin_30563917的博客
03-17 294
前言: 这两天看了一个github上的项目,记录一下学习的心得。 Win32 API大多数都要从Ring3层进入Ring0层,在内核中完成主要操作。这中间肯定要经过KiFastSystemCall这个过程,这个调用是Ring3层的。这些知识在《Windows内核安全与驱动开发》21章中。 项目: HookSystemCall大致原理就是自己构建一个类似SSDT的东西,当有函数通过KiFas...
转一个win32k回调实现自定义r3函数的方法 教主威武
Sunny_wwc的专栏
03-27 2589
<br />ring0调用ring3早已不是什么新鲜事,除了APC,我们知道还有KeUserModeCallback.其原型如下:<br />NTSTATUS<br />KeUserModeCallback (<br />     IN ULONG ApiNumber,<br />     IN PVOID InputBuffer,<br />     IN ULONG InputLength,<br />     OUT PVOID *OutputBuffer,<br />     IN PULONG O
自定义hook必须以use开头
最新发布
05-14
是的,React官方文档中规定自定义hook必须以use开头命名。这是为了让React能够自动检测出哪些函数是hooks,从而正确地调用它们。如果一个函数是hook,那么它可以使用React的状态钩子(如useState)和副作用钩子(如useEffect)。如果一个函数不是hook,那么调用它可能会导致React出现意料之外的行为。因此,我们应该始终遵循React官方文档中的规定,以use开头命名我们的自定义hook

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值