SysEnter Hook

最新推荐文章于 2019-06-07 15:12:47 发布
最新推荐文章于 2019-06-07 15:12:47 发布
阅读量889 收藏 1
点赞数
分类专栏: 底层 
#include <ntddk.h>

ULONG g_OldKiFastCallEntry; // Original value of ntoskrnl!KiFastCallEntry

VOID OnUnload( IN PDRIVER_OBJECT DriverObject )
{
    _asm
    {
        mov ecx, 0x176
        xor edx,edx
        mov eax, g_OldKiFastCallEntry     // Hook function address
        wrmsr                        // Write to the IA32_SYSENTER_EIP register
      }
}

// Hook function
__declspec(naked) MyKiFastCallEntry()
{
  __asm {
    jmp [g_OldKiFastCallEntry]
  }
}

NTSTATUS DriverEntry( IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRING pRegistryPath )
{
  pDriverObject->DriverUnload  = OnUnload; 

  __asm {
        mov ecx, 0x176
        rdmsr                 // read the value of the IA32_SYSENTER_EIP register
        mov g_OldKiFastCallEntry, eax
        mov eax, MyKiFastCallEntry     // Hook function address
        wrmsr                        // Write to the IA32_SYSENTER_EIP register
  }

  return STATUS_SUCCESS;
}

whitesilt
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SYSENTER HOOK_HOOKMSR_SystemHook_进程保护_修改MSR_gotgkd_
09-29
systemhook 通过修改msr寄存器hook openprocess函数保护进程
分析系统调用(win下)
weixin_33924312的博客
06-23 115
分析快速系统调用的位置 int main() { CreateFile( L"C:\\1.txt", FILE_ALL_ACCESS, NULL, NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL ); return...
sysenter HOOK反OD调试
_KaQqi的博客
05-12 2105
sysenter指令: SYSENTER用来快速调用一个0层的系统过程。SYSENTER是SYSEXIT的同伴指令。该指令经过了优化,它可以使将由用户代码(运行在3层)向操作系统或执行程序(运行在0层)发起的系统调用发挥最大的性能。   在调用SYSENTER指令前,软件必须通过下面的MSR寄存器,指定0层的代码段和代码指针,0层的堆栈段和堆栈指针: 1.       IA32_SYS
SYSENTER-HOOK
qq_31507523的博客
06-07 680
SYSENTER-HOOK 实验环境:win7虚拟机 示例是对内核层进行SYSENTER-HOOK实现保护进程的功能 SYSENTER-HOOK也成称为KiFastCallEntry-Hook,它相当于是内核层的Inline-Hook,通过修改SYSENTER_EIP_MSR 寄存器使其指向我们自己的函数,那么我们就可以在自己的的函数中对所有来自3环的函数调用进行第一手过滤。 一会儿会用到的API...
简单Hook SYSENTER
liujiayu2的专栏
06-30 1565
其实所有的HOOK,都基本是一样道理。就是勾住你的目标函数,实现你自己的功能。只要你掌握了,HOOK的原理。剩下的就是寻找目标函数了。      今天回忆一下 HOOK SYSENTER,目的当然还是继续充实自己的BLOG,继续灌水。 一:认识SYSENTER    SYSENTER是一个东西?大家都知道调用门,陷阱门,任务门(这里没有照片!_!).。通过他们我们可以从R3到达R
x86 SYSENTER HOOK
XboxMicro
02-26 1774
准备资料:   自2000以后Windows系统不再用int 2e或通过IDT来请求系统调用表中的服务,而是使用快速调用方法fast call method.在这种方法中,NTDLL向EAX寄存器中加载被请求服务的系统调用号,向EDX寄存器中加载当前堆栈指针ESP。然后发出Intel指令SYSENTER。   SYSENTER指令将控制权传递给模型相关寄存器(Model-Specifi
SYSENTER-hook.rar_C_specific_handler_SYSENTER_hook sysenter_obta
09-24
SYSENTER/SYSEXIT这对指令专门 用于实现快速调用。在这之前是采用INT 0x2E来实现的。INT 0x2E在系统调用的时候,需要进行栈切换的工作。由于Interrupt/Exception Handler的 调用都是通过 call/trap/task这一类的gate...
所有种类的钩子,用户层的API HOOK,内核驱动层的SSDT-hook,IDT-hooksysenter-hook.zip
01-27
所有种类的钩子,用户层的API HOOK,内核层的SSDT-hook,IDT-hooksysenter-hook.zip
注册表监控软件(hook
05-08
显示每个注册表操作,用到hook,api,dll等方面的技术,对于pe也用到
【专题四】Rootkit的学习与研究
04-07
│ │ 6)SYSENTER hook.doc │ │ SysEnterHook.rar │ │ │ ├─7)IAT HOOK │ │ 7)IAT HOOK.doc │ │ HybridHook.rar │ │ testtest.rar │ │ │ └─8)EAT HOOK │ 8)EAT HOOK.doc │ 利用...
修改MSR对syscall指令HOOK
12-12
修改MSR(lstar)对syscall指令HOOK. 本身在win7 x64 sp1使用VS2013开发。
支持x64,反一切R3下的常规Hook,完全基于Baby大佬的KiFastSystemCall-易语言
06-12
前言 本程序完全基于Baby大佬的Kernel,保留Baby大佬的一切权限! 原理部分介绍: 以“OpenProcess”这个大家熟悉的API为例子: 程序若其中任意一步被Hook,则相当于“OpenProcess”被Hook了 但是,这也启发了我们一些东西,假如我们去直接用SSDT编号调用Api的话,是不是相当于接近了内核,那么直接Hook“OpenProcess”或者“ZwOpenProcess”是也无效了?(理论上,这个方法可以绕过R3下一切的常规Hook,我们根本没有调用“ZwOpenProcess”,IAT,EAT钩子理论上全部失效!) 程序例子: 首先先编写好代码:没有Hook下直接调用ZwSuspendProcess: 有Hook的情况下: 这时调用KiSuspendProcess: 你会发现,Hook根本对它没有效果,程序任然按照计划执行的 最后声明 本程序完全基于Baby大佬的Kernel,保留Baby大佬的一切权限!
sysenter调用详解
云淡风轻
12-18 8986
sysenter调用 以CreateFile为例,因为它常见,且对应于nt中的函数NtCreateFile。  对于程序中队CreateFile的调用,编译器会编译成如下汇编码: 先会将参数压栈,然后调用函数: 01031017 call        dword ptr[__imp__CreateFileW@28 (1032000h)]  上面的1032000处的值为0x7664cc
rootkit hook之[六] -- sysenter Hook
07-10 1159
作 者: combojiang时 间: 2008-02-26,12:25链 接: http://bbs.pediy.com/showthread.php?t=60247呵呵,今天这篇内容少,比较简单。SYSENETER是一条汇编指令,它是在Pentium® II 处理器及以上处理器中提供的,是快速系统调用的一部分。SYSENTER/SYSEXIT这对指令专门用于实现快速
另一种sysenter hook方法(绕过绝大多数的rootkit检测工具的检测)
04-16 1377
作 者: 堕落天才时 间: 2007-04-14,11:09链 接: http://bbs.pediy.com/showthread.php?threadid=42705******************************************************************************标题:【原创】另一种sysenter hook方法(绕过绝大多数的root
node-v9.2.1-linux-x86.tar.xz
最新发布
05-06
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
node-v9.1.0-linux-s390x.tar.xz
05-06
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
2024年中国MXene行业研究报告.docx
05-06
2024年中国MXene行业研究报告
syscall和sysenter的不同之处
02-23
syscall和sysenter的不同之处在于,syscall使用特权指令来调用操作系统服务,而sysenter使用特殊的寄存器来调用操作系统服务。syscall要求CPU具备更高的特权级别,但是sysenter只需要中等特权级别即可。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值