Windbg inline HOOK 实战

最新推荐文章于 2022-05-09 23:00:18 发布
最新推荐文章于 2022-05-09 23:00:18 发布
阅读量1.1k 收藏
点赞数
分类专栏: 调试 文章标签: windbg
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/swanabin/article/details/68942813
版权

使用PCHunter64的进程钩子扫描到某个进程被HOOK了,可以使用Windbg分析:

## 显示汇编指令 : u
u 向下反汇编
ub 向上反汇编
uf 反汇编整个函数
a 写入汇编指令

搜索内存(search memory)

s –[type] range pattern

其中type, b表示byte w表示word, d 表示dword, a表示ASCII stringu表示unicde string

Range 表示地址范围,可以用2种表示:一是起始地址加终止地址二是起始地址加L长度(不是字节长度,是单位长度)。如果搜索空间长度超过256M,L?length

Pattern指定要搜索的内容.

比如 s -u 522e0000 527d1000 "web"表示在522e0000 527d1000之间搜索Unicode 字符串”web”

比如s -w 522e0000 L0x100  0x1212 0x2212 0x1234 表示在起始地址522e0000之后的0x100个单位内搜索0x1212 0x2212 0x1234系列的起始地址

比如s -b 000007fefd9e0000 000007fefe768000 48 89 5C 24 18 

修改内存 (edit memory)

e{a|u|za|zu} address “String”

            其总zazu表示以0结尾的AsciiUnicode字符串, au则表示没有0结尾

比如 ezu 0x445634 “abc” 表示在0x445634地址写如unicode 字符串abc

            比如ea 0x445634 “abc” 表示在0x445634地址写入Ascii字符串abc, 不包含结束符0

 

e{a|b|d|D|f|q|u|w} address [values]

其中a表示ASCII码,b表示byte, d表示DWORD, D表示double, f表示float, q表示8字节, u表示Unicode String w表示word

比如eb  0x123432 0x41 0x41 0x41 表示在地址0x123432 写入30x41


示例:

命令:s -b 000007fefd9e0000 000007fefe768000 48 89 5C 24 18

可以找到一些内容:000007fe`fde066f8  48 89 5c 24 18 55 56 57-41 54 41 55 48 81 ec 90  H.\$.UVWATAUH...

可以借助反汇编指令:0:023> u 0x000007fefde066f8

得到以下反汇编内容:

SHELL32!StrStrW+0x4a98:
000007fe`fde066f8 48895c2418      mov     qword ptr [rsp+18h],rbx
000007fe`fde066fd 55              push    rbp
000007fe`fde066fe 56              push    rsi
000007fe`fde066ff 57              push    rdi
000007fe`fde06700 4154            push    r12
000007fe`fde06702 4155            push    r13
000007fe`fde06704 4881ec90030000  sub     rsp,390h
000007fe`fde0670b 488b0536c20b00  mov     rax,qword ptr [SHELL32!Ordinal872+0x731dd (000007fe`fdec2948)]




swanabin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WinDbg Download
09-06
WinDbg 主要功能. Windbg是Microsoft公司免费调试器调试集合中的GUI的调试器,支持Source和Assembly两种模式的调试。 Windbg不仅可以调试应用程序,还可以进行Kernel Debug。结合Microsoft的Symbol Server,可以获取系统符号文件,便于应用程序和内核的调试。 Windbg支持的平台包括X86、IA64、AMD64。. 虽然windbg也提供图形界面操作,但它最强大的地方还是有着强大的调试命令,一般情况会结合GUI和命令行进行操作,常用的视图有:局部变量、全局变量、调用栈、线程、命令、寄存器、白板等。
windbg使用方法_使用 YARA 规则阻止 Windows 事件日志记录
weixin_39903872的博客
12-10 239
更多全球网络安全资讯尽在邑安全Windows事件日志加上Windows事件转发和Sysmon工具是非常强大的防御手段,他们可以检测、记录到攻击者的每一步攻击过程。显然,这对攻击者来说是个问题。在攻击者完成提权操作之前,他们逃避事件日志的方法是有限的,但是一旦完成提权,就成了一个平等的竞技场。我以前发布过一个通过加载恶意的内核驱动程序和Hook住NtTraceEvent系统调用来躲避日志记...
WinDbg学习笔记十 - 内核调试常用命令4 - 内存
imJaron的博客
11-15 884
内存命令比较多,主要是对内存的查看修改。 !address: 显示内存信息,比如内存的地址范围。 !vm: 显示虚拟内存的信息。 基本内存信息包括了物理内存大小,分页内存大小,页文件大小等等,按照页数跟KB数显示。 如果驱动分配非分页内存失败,则可以通过检查非分页内存使用情况,查看当前是不是接近了最大值。 在进程虚拟内存方面,按进程占用内存大小倒序排列,可
通过windbg 得到我们要 hook 的api 地址的方法以及 hook NtOpenProcess 的例子。。。
xum2008的专栏
01-29 2815
今天,突然想对 hook 进行一些学习,因为对于一些底层的操作,都是在于ANTI-HOOK 。。。然后才能得到最后的使用权,为此,自己也要掌握这种很强大的编程手法,那么首先,我们应该知道的一些是,在 win2000 以后,对于 SSDT 的操作,系统都是写了保护的,那么我们首先应该做的是怎么样来解除掉它们,替换我们的执行地址,当然在这里,我们必须要知道这个结构:typedef stru
浅谈hook攻防
hongduilanjun的博客
05-09 2696
攻与防都是相对的,只有掌握细节才能更好的对抗。 基础知识 对于Windows系统,它是建立在事件驱动机制上的,说白了就是整个系统都是通过消息传递实现的。hook钩子)是一种特殊的消息处理机制,它可以监视系统或者进程中的各种事件消息,截获发往目标窗口的消息并进行处理。所以说,我们可以在系统中自定义钩子,用来监视系统中特定事件的发生,完成特定功能,如屏幕取词,监视日志,截获键盘、鼠标输入等等。 钩子的种类很多,每种钩子可以截获相应的消息,如键盘钩子可以截获键盘消息,外壳钩子可以截取、启动和关闭应用程序的消息
最新版WinDbg离线安装包
最新发布
11-07
最新版WinDbg离线安装包
Windbg中文调试手册
04-26
windbg工具的中文调试手册
windbg中文文档.zip
07-11
windbg中文文档.zip
Windbg插件 pykd
11-07
python pykd
windbg中测试shadow ssdt , win32k!NtUserGetForegroundWindow , hook shadow ssdt
a65783305的博客
06-27 465
windbg查看shadow ssdt: 0: kd> lm start end module name 804d8000 806e3000 nt (pdb symbols) I:\Symbols\ntkrpamp.pdb\966DF78E558F483199141B029DF5A9D51\ntkrpamp.p...
windbg拦截驱动
weixin_34244102的博客
01-26 226
驱动的加载有几种方式,查看CreateService就可以知道。 1、SERVICE_BOOT_START=0x00000000,被系统loader加载,这类驱动是最早加载的。驱动文件必须放在C:\Windows\System32\drivers目录下,因为此时系统只能读注册表,不能打开文件,不能打出调试信息。看了下面的分析就清楚了。 2、SERVICE_SYSTEM...
VEH Hook 及 检测
热门推荐
零点起步
04-15 1万+
SEH(Struct Exception Handler,结构化异常) VEH(Vector Exception Handler,向量异常处理) SEH是OS提供给线程来感知和处理异常的一种回调机制。 在Intel Win32平台上,由于FS寄存器问题指向当前的TIB(线程信息块),因此FS:[0]处能找到最新的一个EXCEPTION_REGISTRATION_RECORD结构。 typed
驱动程序的调试(windbg双机调试)
C++入门到放弃
10-26 9056
这篇博客是接着上一篇的,主要写一下配置好了双机调试环境之后,如何使用windbg来调试自己开发的驱动程序。配置完了双机调试的环境以后,在主机使用windbg已经可以hook虚拟机的操作系统,如下图 可以看到我们的调试机已经hook住了虚拟机,这时按Ctrl+Pause就可以使虚拟机的操作系统暂停运行。 输入g或者按F5可以使其恢复运行。这时将想要调试的驱动程序安装在虚拟机OS中,就是把 De
过TesSafe反WinDbg双机调试
ccx_john的专栏
01-09 1467
标 题: 【原创】过TesSafe反WinDbg双机调试 作 者: 易始 时 间: 2013-04-24,12:54:49 链 接: http://bbs.pediy.com/showthread.php?t=170342 貌似论坛里面有关游戏的贴子都很火,所以发篇帖子涨点人气。 正文: 在论坛搜索了下发现去年的时候有人发过一篇过TesSafe反双机调试的帖子,但是现在已经过时
使用WinDbg查看保护模式分页机制下的物理地址
weixin_42486644的博客
06-20 2167
    我们知道,当今主流的x86/x64 Intel处理器默认都使用了保护模式,不同于8086时代的实模式机制,保护模式和分页机制实现了内核层与用户层隔离,进程间执行环境隔离。    对Win32系统比较熟悉的人都知道系统为每一个进程都分配了4GB的进程空间,其中低2GB是用户层空间,而高2GB是内核层空间,而内存地址使用的分页机制下的虚拟地址,而虚拟地址需要通过分页机制的层层转换,才能找到映射...
Windbg 查看SSDT表
swanabin的专栏
12-21 3520
SSDT HOOK 的原理其实非常简单,我们先实际看看KeServiceDescriptorTable是什么样的。         lkd> dd KeServiceDescriptorTable     8055ab80  804e3d20 00000000 0000011c 804d9f48     8055ab90  00000000 00000000 00000000 0000000
windbg 6.11
07-31
WinDbg(Windows 调试器)是微软公司开发的一款强大的调试工具,用于分析和调试 Windows 内核和用户模式的应用程序。Windbg 6.11 版本是 WinDbg 软件的旧版本,但在一些特定的情况下仍然具有一定的使用价值。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值