od结构体大小_[原创]OD插件之重载内核(高清有码)

于 2020-12-21 05:47:26 发布
阅读量565 收藏
点赞数
文章标签: od结构体大小
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39653761/article/details/111767010
版权
本文档详细介绍了如何编写一个名为ReloadKernel V1.0的内核重载插件,适用于OD(OllyDbg)和其他调试工具。该插件旨在方便在32位系统下处理内核钩子,通过重载内核,支持Windows XP, 2003, 和Win7。主要步骤包括获取系统内核文件、加载并处理内核文件、挂钩KiFastCallEntry、实现过滤框架、R3与R0通信以及OD插件的GUI和逻辑。文中提供了关键代码片段和操作流程,但警告读者勿用于非法目的。" 113885838,10209447,微信小程序页面跳转指南,"['小程序开发', '微信API', '页面导航']
摘要由CSDN通过智能技术生成

写这个插件其实主要是因为现在32位下各种内核钩子,用一些调试工具畏首畏尾的,一会挂钩这里,一会挂钩那里,遂干脆一了百了,直接写个内核重载插件,虽说是OD插件,也可以支持其他软件。此插件名字就叫ReloadKernel V1.0吧,贴切一点:

(支持2003,XP,WIN7)请避免和360,QQ管家,百度杀毒等一同使用,对于没有DebugPort清零的保护应该是可以秒的,比如HS(亲测),当然你要处理R3的反调试,对于有调试权限清零的自己恢复,端口清零的自己改下偏移也就OK了,不会改的话再不济用这个插件也可以读写内存吧!

,请别瞎想,本人写这个插件主要是为了学习交流,请大家不要用于非法用途,先来个图

首先内核重载插件我分成以下几个步骤完成

1,        获取当前系统下的内核文件

2,        按PE格式加载硬盘中的内核文件,修复重定位表,导入导出表

3,        挂钩KiFastCallEntry

4,        实现过滤框架

5,        R3,R0通信

6,        OD插件GUI与逻辑部分

1,因为在单核,多核处理器等不同情况下,微软会加载不同的内核文件,所以我们需要知道当前系统所加载的是哪一个内核文件,之后获取到它的全路径,并Copy到内存中,已便操作

下面这个函数是获取系统加载的内核模块基址,没什么好说的,原理就是ZwQuerySystemInformation的11号功能,查询内核模块

PVOID

GetKernelFileBase()

{

DWORD dwsize = 0;

PVOID pKernelBase = NULL;

PVOID pSysInfo = NULL;

__try

{

ZwQuerySystemInformation(SystemModuleInformation,NULL,0,&dwsize);

pSysInfo = ::ExAllocatePool(NonPagedPool,dwsize);

if(pSysInfo)

{

memset(pSysInfo,0,dwsize);

if(NT_SUCCESS(ZwQuerySystemInformation(SystemModuleInformation,pSysInfo,dwsize,&dwsize)))

{

PSYSTEM_MODULE_INFORMATION_ENTRY psmi = (PSYSTEM_MODULE_INFORMATION_ENTRY)((PBYTE)pSysInfo + 4);

pKernelBase = (PVOID)psmi->Base;

}

else

{

KdPrint(("GetKernelFileBase.ZwQuerySystemInformation error\n"));

}

}

}

__except(EXCEPTION_EXECUTE_HANDLER)

{

KdPrint(("GetKernelFileBase异常\n"));

}

if(pSysInfo)

{

ExFreePool(pSysInfo);

pSysInfo = NULL;

}

return pKernelBase ;

}

还需要一个获取内核模块的全路径函数

bool

GetKernelFileFullPath(

OUT PUNICODE_STRING pUnicodeStr

)

{

bool bResult = FALSE;

DWORD dwsize = 0;

PVOID pSysInfo = NULL;

_try

{

ZwQuerySystemInformation(SystemModuleInformation,NULL,0,&dwsize);

pSysInfo = ::ExAllocatePool(NonPagedPool,dwsize);

if(pSysInfo)

{

memset(pSysInfo, 0, dwsize);

if(NT_SUCCESS(ZwQuerySystemInformation(SystemModuleInformation,pSysInfo,dwsize,&dwsize)))

{

PSYSTEM_MODULE_INFORMATION_ENTRY psmi = (PSYSTEM_MODULE_INFORMATION_ENTRY)((char*)pSysInfo + 4);

char *szKernelModuleName = psmi->ImageName + psmi->PathLength;

KdPrint(("模块 %s\n",szKernelModuleName));

char szKernelModuleFullPath[255];

ANSI_STRING asModuleName;

//"\\Device\\HarddiskVolume1\\Windows\\System32\\"

char szSystemPath[] = "\\??\\c:\\Windows\\System32\\";

strcpy(szKernelModuleFullPath,(char*)szSystemPath);

strcat(szKernelModuleFullPath,szKernelModuleName);

::RtlInitAnsiString(&asModuleName,szKernelModuleFullPath);

::RtlAnsiStringToUnicodeString(pUnicodeStr,&asModuleName,TRUE);

bResult = TRUE;

}

else

{

KdPrint(("GetKernelFileFullPath.ZwQuerySystemInformation error"));

}

}

}

__except(EXCEPTION_EXECUTE_HANDLER)

{

KdPrint(("GetKernelFileFullPath.异常"));

}

if(pSysInfo)

{

ExFreePool(pSysInfo);

pSysInfo = NULL;

}

return bResult;

}

起先我是使用“\\Device\\HarddiskVolume1\\Windows\\System32\\” 来代替系统目录的,后来经过一些测试,发现在多系统环境下,系统盘符不一定就是HarddiskVolume1了,所以干脆直接就改成"\\??\\c:\\Windows\\System32\\";如果谁有特殊癖好,你就自己改好了

2,内核重载,重头戏就是这个重载,首先就是复制一下内核文件到内存,之后在内存中将它展开,处理导入导出函数,处理重定位,在重定位时我将所有的内核数据都重定位到了原内核中,这样就省得自己再初始化内核文件了,并且也会避免很多冲突,因为有些数据只能存在一份,当然这样做的坏处就是绕不过Object Hook,系统回调了,但是这种小CASE,枚举一下就干掉了,这不在本文讨论范围内,如果有需要我也可以再发个主题关于怎么处理Object Hook。

首先就是把文件弄到内存里,函数如下

PVOID

CreateImageFromFile(

IN PUNICODE_STRING ImageFile)

{

NTSTATUS Status = STATUS_UNSUCCESSFUL;

HANDLE FileHandle = NULL;

OBJECT_ATTRIBUTES ObjAttributes = {0};

IO_STATUS_BLOCK IoStatusBlock = {0};

InitializeObjectAttributes(

&ObjAttributes,

ImageFile,

OBJ_CASE_INSENSITIVE,

NULL,

NULL);

Status = ZwCreateFile(

&FileHandle,

GENERIC_READ,

&ObjAttributes,

&IoStatusBlock,

NULL,

FILE_ATTRIBUTE_NORMAL,

FILE_SHARE_READ,

FILE_OPEN,

FILE_SYNCHRONOUS_IO_NONALERT,

NULL,

0);

if(NT_SUCCESS(Status))

{

FILE_STANDARD_INFORMATION fsi = {0};

IO_STATUS_BLOCK iostatus = {0};

Status = ZwQueryInformationFile(

FileHandle,

&iostatus,

&fsi,

sizeof(FILE_STANDARD_INFORMATION),

FileStandardInformation);

if(NT_SUCCESS(Status))

{

PVOID pBuffer = ExAllocatePool(PagedPool,(LONG)fsi.EndOfFile.QuadPart);

if(pBuffer)

{

memset(pBuffer,0,(LONG)fsi.EndOfFile.QuadPart);

Status = ZwReadFile(FileHandle, NULL, NULL, NULL,&iostatus, pBuffer, (LONG)fsi.EndOfFile.QuadPart, NULL, NULL);

if(NT_SUCCESS(Status))

{

KdPrint(("Read %x bytes\n", iostatus.Information));

ZwClose(Fi

最低0.47元/天 解锁文章
weixin_39653761
关注
OD.rar_OD Matrix_OD矩阵_od_od矩阵生成
07-15
在给定的“OD.rar_OD Matrix_OD矩阵_od_od矩阵生成”压缩包中,包含了一个名为“OD.m”的MATLAB程序,以及一个“od.txt”文本文件,用于生成OD矩阵。 MATLAB是一种强大的数学计算和编程环境,特别适合处理矩阵运算...
转:防止重复点击提交,仅提交一次的终极绝杀技
weixin_34270606的博客
08-16 608
防止重复提交,通用的思路,就是当用户点击提交按钮后,在浏览器中用JS将按钮disable掉,从而阻止用户继续点击该按钮,实现防止重复提交的目的。网上防止重复提交的文章已经不少了,为啥我还要写呢,显然我不是吃饱了撑的。。。最近一个客户,老抱怨每个月总有几条重复的业务数据;但创建该业务数据的页面,我们已经应用了常规的防重复提交技术,为啥还这样呢…… 1. 常规防重复提交 1: <...
有码变无码:Google Brain把模糊人脸变成清晰画面
redditnote的博客
02-08 1万+
(点击上方蓝字,可快速关注我们)来源:新浪科技,tech.sina.com.cn/it/2017-02-08/doc-ifyaexzn9228446.shtml谷歌旗下人...
Windbg/x64dbg/OllyDbg调试器简介
lsfreeing的专栏
05-08 2704
原文链接: https://blog.csdn.net/libaineu2004/article/details/104081676 一、Windbg Windbg是微软开发的一套调试器中的组件。WinDBG属于内核级别调试器,不仅可以用来调试应用程序,也可以调试内核级的代码,如驱动程序。Windbg由于其丰富的命令和对Windows的原生支持还有其易用性,是其他其他调试器望尘莫及的。如果安装了Windows SDK,一般会带有windbg.exe,gflags.exe和appverif.exe.
(有码)NSURLConnection大文件下载
bin236的博客
03-13 1562
#import "ViewController.h" @interface ViewController () //总长度 @property (nonatomic, assign) long long totalLength; //传输数据 @property (nonatomic, strong) NSMutableData *dataM; //写入路径 @property
(有码)NSURLSession
bin236的博客
03-12 4万+
NSURLSession下载,默认将下载的任务保存在tmp下,如果回调方法什么都没做,tmp文件会自动删除 基础: 使用单例session NSURL *url = [NSURL URLWithString:@"urlstring"];     //创建session     NSURLSession *session = [NSURLSession sharedSession];
xml_ivs_public.zip_xml c++ 结构体_xml 结构体_xml 结构体 c++_结构体 xml_配置文件
09-14
在C++编程中,将XML数据转换为结构体可以使程序更容易处理和理解这些数据。本文将深入探讨XML与C++结构体之间的交互,以及如何实现XML配置文件的解析。 首先,XML文件是一种自描述的数据格式,通过标签来表示数据的...
结构体udp传输测试_结构体socket_CSHARP结构体UDP传输_
10-02
本文将深入探讨如何在Windows平台上,利用C#(CSHARP)语言进行结构体(struct)通过UDP协议的传输。 1. **结构体(Struct)**: 在C#中,结构体是值类型,它允许我们自定义数据类型,封装多个相关的变量。结构体...
UDP传结构体测试.rar_UDP_Udp传递结构体_udp 结构体_udp消息传结构体_体传+18
09-23
这个过程通常涉及类型大小的处理,因为不同的系统可能对基本类型有不同的字节数。例如,一个整型(int)在32位系统上可能是4个字节,在64位系统上可能是8个字节。因此,确保发送端和接收端对结构体成员的处理方式...
WJL_F.zip_协议解析 c++_报文解析_结构体报文_网络协议解析
07-14
网络协议解析,是一个报文解析为结构体的过程
solr的download合集(原创高清无码)
01-13
Solr is the popular, blazing-fast, open source enterprise search platform built on Apache Lucene™
OD插件重载内核.rar
05-31
OD插件重载内核.rar
OD插件开发中文帮助手册 API MSDN OLLYDBG
06-18
OD插件开发中文帮助手册 API MSDN OLLYDBG OD 必备的插件开发手册
od插件开发包
08-08
od插件开发包plug1101.rar
眼中有码,心中无码
小眼睛的博客
06-01 8972
日常生活中二维码的使用已经无处不在,付款码、微信名片、健康码、乘车码……一张小小的二维码侵入到生活中的方方面面。黑白色块组成的有限区域,如何携带信息。不同应用场景下的二维码会不会重复,会不会像 IPV4 一样被耗尽?如果您对这些也有疑问,请您带着问题阅读本文。
早该改了,只是我们太穷了
pmcaff2008的博客
05-24 191
PMCAFF(www.pmcaff.com):互联网产品社区,是百度,腾讯,阿里等产品经理的学习交流平台。定期出品深度产品观察,互联产品研究首选。外包大师(www.waibaodashi...
有码照片还原成无码:谷歌大脑能让模糊人脸变清晰
热门推荐
03-29 5万+
谷歌旗下人工智能部门“谷歌大脑”设计了一款全新软件,可以把马赛克一样的源图片还原成清晰图片。简而言之,原本“打码”的照片现在也可以轻松变成无码高清了。 首先来看一张图,左边一列是分辨率为8×8的打码图片,中间一列是谷歌大脑软件还原的图片,而右边一列则是真正的原始图片。实际效果非常接近原始图片。 众所周知,不可能制作出比源图片更加详细的图片,那么谷歌大脑是如何做到的呢?他们将两个
逆向3.OD插件添加及 ODBG2_Pluginnotify配合PN_NEWPROC反反调试
weixin_30312563的博客
07-10 360
OD插件添加及 ODBG2_Pluginnotify配合PN_NEWPROC反反调试 #include <string.h> #include <windows.h> ​ #include <winternl.h> #pragma comment(lib,"ntdll.lib") ​ struct MYPROCESS_BASIC_INFOR...
解释结构体ablkcipher_request
最新发布
06-06
结构体 ablkcipher_request 是 Linux 内核中用于异步块密码操作的数据结构,它定义在 include/linux/ablkcipher.h 头文件中。它的定义如下: ``` struct ablkcipher_request { struct crypto_ablkcipher *tfm; ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值