ring3 hook ZwWriteVirtualMemory

最新推荐文章于 2023-09-25 09:00:58 发布
最新推荐文章于 2023-09-25 09:00:58 发布
阅读量424 收藏
点赞数
原文链接:http://www.cnblogs.com/mmjj2014/p/3504735.html
版权

typedef LONG NTSTATUS;
typedef NTSTATUS (NTAPI *PNtZwWriteVirtualMemory) ( IN HANDLE hProcess, IN PVOID BaseAddress, IN PVOID Buffer, IN ULONG BytesToWrite, OUT PULONG BytesWritten );
PNtZwWriteVirtualMemory ZwWriteVirtualMemory;


BYTE m_OldZwWVMBytes[5];
BYTE m_HookJmpByte[5];

 

NTSTATUS WINAPI Mine_ZwWriteVirtualMemory( IN HANDLE hProcess, IN PVOID BaseAddress, IN PVOID Buffer, IN ULONG BytesToWrite, OUT PULONG BytesWritten )
{
    memcpy(ZwWriteVirtualMemory,m_OldZwWVMBytes,sizeof(m_OldZwWVMBytes));
    BOOL ret=ZwWriteVirtualMemory(hProcess,BaseAddress,Buffer,BytesToWrite,BytesWritten);
    char buf[1024];wsprintf(buf,"ZWWPM : %X  %X  %X  %d %d",hProcess,BaseAddress,Buffer,BytesToWrite,ret);OutputDebugString(buf);
    memcpy(ZwWriteVirtualMemory,m_HookJmpByte,sizeof(m_HookJmpByte));
    return ret;
}

VOID _START()
{
    ZwWriteVirtualMemory = (PNtZwWriteVirtualMemory)GetProcAddress(::GetModuleHandle("ntdll.dll"),"ZwWriteVirtualMemory" );
    CString strMsg;
    strMsg.Format("ZwWriteVirtualMemory:  %X",ZwWriteVirtualMemory);OutputDebugString(strMsg);

    ReadProcessMemory(GetCurrentProcess(),(LPVOID)ZwWriteVirtualMemory,m_OldZwWVMBytes,5,NULL);
    strMsg.Format("m_OldRecvBytes: %x %x %x %x %x", m_OldZwWVMBytes[0], m_OldZwWVMBytes[1], m_OldZwWVMBytes[2], m_OldZwWVMBytes[3], m_OldZwWVMBytes[4]);OutputDebugString(strMsg);   
    
    m_HookJmpByte[0]=0xE9;
    DWORD data=(DWORD)Mine_ZwWriteVirtualMemory-(DWORD)ZwWriteVirtualMemory-5;
    memcpy(m_HookJmpByte+1,(VOID*)&data,4);
    strMsg.Format("JmpByte: %x %x %x %x %x", m_HookJmpByte[0], m_HookJmpByte[1], m_HookJmpByte[2], m_HookJmpByte[3], m_HookJmpByte[4]);OutputDebugString(strMsg);
    DWORD dwScratch;
    VirtualProtectEx(GetCurrentProcess(),(LPVOID)ZwWriteVirtualMemory, 10, PAGE_EXECUTE_READWRITE, &dwScratch);
    memcpy(ZwWriteVirtualMemory,m_HookJmpByte,sizeof(m_HookJmpByte));
}


BOOL CInjectDllApp::InitInstance()
{
    OutputDebugString("InitInstance");
    ::CreateThread(NULL, 0, (LPTHREAD_START_ROUTINE)_START, NULL, 0, NULL);
    return CWinApp::InitInstance();
}

转载于:https://www.cnblogs.com/mmjj2014/p/3504735.html

weixin_30820151
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Ring3Hook API实现分析
panda1987的专栏
01-18 7698
    本文主要针对用户级别下HOOK API的方法进行一下总结。对应的,自然也有ring0下的HOOK API方法,但是这个需要一些驱动方面的基础,暂时不在本文讨论范围内。另外ring3下的HOOK API方法也有很多种,我只列举我所能想到的。    所谓HOOK API,与Windows 下的HOOK其实是完全两个概念,风马牛不相及。当然在之后的讨论中你也会看到有关于windows hook的讨论,但是这是另外一个话题了。    那么到底什么是HOOK API呢?我们可以暂且简单的认为HOOK API就
Ring3hook
kernweak的博客
06-02 720
hook engine: nthookengine mhook Detour 方法: 本进程hook,直接调用hook函数(自己进程还要hook?),否则写一个dll,在dll里hook每一个函数,然后将该dll注入到目标进程,达到hook目标进程中的函数的目的。 MHOOK 要获取原始函数地址 #include mhook.h typedef ULONG (WINAPI* _N...
用驱动实现自己的 ZwOpenProcess ZwReadVirtualMemory ZwWriteVirtualMemory
Tommy(凌飞)的专栏
08-24 5592
懒得自己写了,就转一个帖子吧。用驱动实现自己的 ZwOpenProcess ZwReadVirtualMemory ZwWriteVirtualMemory/* jhxxs.C Author: Last Updated: 2006-03-23 This framework is generated by EasySYS 0.3.0 This te
windows ring3 注入及hook
Tesi1a的充电桩
05-08 465
需求背景 动态修改程序的函数oldsub()执行我们的newsub() 此时则需要注入并hook 注入 简单的远程线程注入分三步 //获取进程句柄 //提升权限 //注入dll #include <windows.h> //获取进程句柄 HANDLE GetThePidOfTargetProcess(HWND hwnd) { DWORD pid; GetWindowT...
RING3代码HOOK的原理实现
junjie1595的专栏
10-31 325
最初看见俄国一份DELPHI代码这样实现,他的优点在于1, 在代理函数的内部不用先UNHOOK,再调用,再重新HOOK,否则多线程下会出问题 2, 没有硬编码,结构性比较好。#include #include #include using namespace std; #define bt 5 unsigned int* Oldpro; typedef int (_stdcall * MY
Ring3 Hook ZwQuerySystemInformation
11-14
Ring3 Hook ZwQuerySystemInformation是一种在用户模式(Ring 3)下进行系统调用拦截的技术,主要用于修改系统行为或获取额外的信息。在这个特定的场景中,它被用来隐藏进程,使得该进程在操作系统中变得不可见。这...
Hook ShadowSSDT Ring3
11-28
在IT安全领域,"Hook ShadowSSDT Ring3"是一个高级技术,主要应用于系统监控、调试以及恶意软件分析。本文将详细解析这个主题,帮助你理解其核心概念、工作原理及其实现方法。 **Shadow System Service Dispatch ...
Dll.rar_VB HookOpenProce_hook_openprocess_ring3 hook_vb HookOpen
09-24
标题"Dll.rar_VB HookOpenProce_hook_openprocess_ring3 hook_vb HookOpen"涉及到的是在Windows操作系统中,使用Visual Basic(VB)实现Ring3级别的OpenProcess函数Hook技术。Ring3是用户模式,即应用程序通常运行的...
Ring3_Inline_Hook.zip
05-02
Ring3层下的Inline Hook是最常用的Hook手段之一,是一种通过修改机器码的方式来实现hook的技术。 1、构造跳转指令。 2、在内存中找到欲HOOK函数地址,并保存欲HOOK位置处的前5个字节。(但其实并不一定就是5个字节,...
SSDT 对抗 ring0 inline hook, 通过SSDT绕过inline Hook.zip
01-24
3. **检测和恢复被hook的服务**:遍历SSDT,检查每个服务的入口点是否被修改。如果发现被hook,将原始的、未被hook的函数地址写回SSDT。 4. **保护SSDT**:为了避免SSDT自身也被hook,可能需要采取额外的保护措施,...
DLL巧妙的绕过被VMP壳HOOKZwProtectVirtualMemory
JUST DO IT.
11-24 4371
被VMP HOOKZwProtectVirtualMemory介绍 ZwProtectVirtualMemory,是一个修改内存输入的API函数,VirtualProtect和VirtualProtectEx修改内存属性都会通过ZwProtectVirtualMemory这个API函数. 在VMP壳的程序中,注入DLL进行一定的内存修改,但会发现,对WINAPI或者程序的代码段等进行WriteProcessMemory操作,会发现修改错误,错误提示是没有修改权限. 而WriteProcessMemo
Ramnit感染型病毒创建傀儡进程的方法
weixin_44156885的博客
06-17 492
Ramnit感染型病毒创建傀儡进程的方法 样本信息: MD5: FF5E1F27193CE51EEC318714EF038BEF SHA1: B4FA74A6F4DAB3A7BA702B6C8C129F889DB32CA6 1,查找默认浏览器 如果有默认浏览器则将默认浏览器作为傀儡进程,如果没有则使用IE浏览器 2,HOOK ntdll.ZwWriteVirtualMemory()函数 使用inline hook的方式HOOK ntdll.ZwWriteVirtualMemory()函数 hook之前暂
HOOK之APIhook(转)
WLINX
10-15 582
日常抄好友代码,原文链接:https://www.jianshu.com/p/1c8280bc88a4 最近分析一个样本,发现其是hook一个API函数,逻辑如下: hook函数 1.获取ZwWriteVirtualMemory的基址 HMODULE ntdll = LoadLibraryA("ntdll.dll"); byte * ZwBase =(byte *)GetProcAdd...
内存清零KILL进程
Tommy(凌飞)的专栏
08-24 1395
#include #include #include #include #pragma comment (lib,"Kernel32.lib")#pragma comment (lib,"Advapi32.lib")#pragma comment(linker, "/ENTRY:main")//------------------ 数据类型声明开始 --------
7.7 实现进程内存读写
最新发布
CSDN
09-25 4913
内存进程读写可以让我们访问其他进程的内存空间并读取或修改其中的数据。这种技术通常用于各种调试工具、进程监控工具和反作弊系统等场景。在`Windows`系统中,内存进程读写可以通过一些`API`函数来实现,如`OpenProcess`、`ReadProcessMemory`和`WriteProcessMemory`等。这些函数提供了一种通用的方式来访问其他进程的内存,并且可以用来读取或写入不同类型的数据,例如整数、字节集、浮点数等。
学习RING3 内存清零结束进程
nickwu1220的专栏
03-31 2128
<br />内存清零法 杀进程 原理分析 :<br />1.先打开CSRSS.EXE系统进程,获得其句柄,几乎系统所有的HANDLE结构体中,里面的ProcessId都是指向csrss.exe的,利用它的PID来进行遍历进程实现过滤。<br /><br />2.分配好一块内存空间Buffer,用来存储SystemHandleInformation系统句柄信息<br /><br />3.通过ZwQuerySystemInformation函数来查询系统句柄信息并保存在Buffer中,为 ZwQuerySyst
修改目标进程的父进程
Richard的专栏
03-10 7428
 来源:http://pjf.blogone.net作者:pjf(jfpan20000@sina.com)  让小师弟测一下1.06的进程规则,他试了试问:“为什么里面有源进程和父进程两项?不就是指创建目标进程的那个进程,它们不是一个意思吗?”  因为很简单,略略回答了一下,因为好多天没在http://pjf.blogone.net上添东西了,敲下来充数,有点不好意思。   windows下的
rmnet蠕虫病毒样本分析
挖树
10-14 2231
rmnet蠕虫病毒样本分析 目录 文章目录目录0x00基本信息0x01 概述0x02流程图0x03 技术细节详细分析第一层壳解密出PE文件第二层壳检查环境准备注入iexplore.exe注入Iexplore.exe恶意六线程线程1: 7ACA 自启动线程2: 7626 测试网络连通性线程3: 781F 记录连通时差线程4: 790C 发送本机信息接收返回指令线程5: 6EA8...
Windows下Ring0级进程保护组件:SSDT HOOK技术实现
3. **SSDT Hook实现**:涉及在内核模式下找到并修改SSDT表项,替换原有服务的地址为自定义的钩子函数。钩子函数会在系统服务执行前被调用,可以在这里检查并决定是否允许系统服务继续执行。 **内核驱动程序**: 1. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值