内核重载的认识

于 2022-12-03 14:18:00 发布
阅读量335 收藏
点赞数
文章标签: c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41725706/article/details/128161114
版权

内核重载的认识

原理

内核重载:对高2G .sys模块重新在内存复制一块。

步骤

例如:内核模块ntosktr.exe
<1> 申请内存,按内存对齐展开
<2> 根据重定位表修复全局变量
<3> 修复IAT表
前面文章有对dll进行写入内存操作,这个在高2G一样实现。
写入内存以后:
<1> 建立一个新的系统服务表

<2> (Hook KiFastCallEntry)—>因为进入0环以后 首先进入这个函数,通过这个函数取得原来得系统服务表指针,改为新建立得系统服务表指针即可

总结

这个缺陷很明显,只要在高2g搜索几个内核函数,如果存在二份,说明内核被重载。
自己需要什么内核函数,自己写驱动实现是最佳。
3环可以实现重新api,0环也可以重写内核API,然后通过中断方式,从3环—》跳到自己指定得内核地址就可以了

weixin_41725706
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ring0下使用内核重载绕过杀软hook
hongduilanjun的博客
04-08 1271
内核重载听起来是一个很高大上的概念,但其实跟PE的知识息息相关,那么为什么会有内核重载的出现呢? 我们知道从ring3进入ring0需要通过int2e/sysenter(syscall)进入ring0,而进入ring0之后又会通过KiFastCallEntry/KiSystemService去找SSDT表对应响应的内核函数,那么杀软会在这两个地方进行重点盯防。 首先是对int2e/sysenter的盯防,我们知道大多数函数都是通过一系列的调用链,最终找到ntdll.dll里面的函数,找到调用号后通过int
Win7 内核重载 1 ——内核版PELoader
zfdyq
12-19 8365
重载重点,其实就是自己实现一个山寨版的Windows PELoader  ,重载其实就是将一个模块自己重新加载一份到别的内存,运行它。 所谓内核重载,则是将内核文件即:ntkrnlpa.exe 自己加载一份到内存,并运行它,这样的好处可以避免一切HOOK,如SSDT ,InLineHook 等等,原理就是HOOK继续 HOOK主原来内核,但是实际上Windows走的是我们自己的内核
重载内核实现绕过一切钩子
weixin_30390075的博客
09-09 414
很久不玩PE格式了,这次由于要恢复SSDT表的缘故+一个忽然兴起的念头,导致我花了一个小午写了个运行在Ring0的简单PE加载器,并且有意外的收获。 恢复SSDT表手段很多,基本上都是直接从文件中依赖重定位表获取对应数据,重定位后得到相对当前内核加载位置的正确调用地址。大部分的实现代码比较粗糙,因为要不停的在文件地址和内存地址之间进行转换,因此代码繁琐不易读懂。 我在考虑解放方案的时...
win732位内核重载技术
01-16
win732位内核重载技术,对学习内核提升帮助挺大。
Windows驱动开发学习笔记(七)—— 多核同步&内核重载
qq_41988448的博客
12-17 1601
Windows驱动开发学习笔记(七)—— 多核同步之临界区前言基础知识并发与同步示例分析InterlockedIncrement原子操作相关API内核文件临界区错误的临界区正确的临界区自旋锁分析 KeAcquireSpinLockAtDpcLevel 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 基础知识 并发:指多个线程在同时执行 ...
内核重载_hospitalb3n_内核重载_x86内核重载_
09-30
内核重载是一种在计算机操作系统中,为了实现特定功能或者优化系统性能,对原生内核进行替换或扩展的技术。在x86架构的计算机上,由于其广泛的硬件支持和丰富的软件生态,内核重载成为了许多高级用户和开发者进行...
X86内核重载.rar
06-05
《X86内核重载:理解与实践》 在计算机科学领域,X86内核重载是一项高级技术,涉及到操作系统内部的工作机制。本文将深入探讨这一主题,特别是如何实现一个类似Windows PELoader的功能,以及重载的含义和实际操作。...
易语言内核重载
08-01
《易语言内核重载:深入理解与实践》 易语言作为一款中文编程语言,以其易学易用的特点深受广大编程爱好者的喜爱。在易语言的框架下,开发者可以进行各种复杂的系统级操作,其中“内核重载”是一项至关重要的技术。...
windows xp内核重载
11-07
"内核重载"通常指的是通过修改或扩展内核功能来实现特定目的的技术,比如提高系统性能、增加新功能或者进行故障排查。这涉及到深入的系统编程和调试知识。 `KernelDebug.cpp` 和 `KernelDebug.h` 是两个常见的源...
Overloaded-kernel-for-XPSP3.rar_内核 重载_内核重载_重载内核
最新发布
09-20
内核重载是一种技术,主要用于优化操作系统的性能或者增加新的功能。在Windows XP Service Pack 3(XP SP3)环境中,"Overloaded-kernel-for-XPSP3.rar" 提供了一个经过重载内核,这表明它可能包含了对原始XP内核...
win732位ce内核重载,与360保护和T__X保护有冲突,自己卸载掉吧,就可以用了
01-27
win732位ce内核重载,与360保护和T__X保护有冲突,自己卸载掉吧,就可以用了
重载内核全程分析笔记(附源码)
08-28
重载内核全程分析笔记(附源码) 还记得七夕的那几天,老V率先把AGP的源码发布出来,然后是EasyDebugger的源码出土,后面陆续有很多大牛把珍藏已久的代码拿出来晒太阳,那段疯狂的日子,让看雪论坛都面临崩溃的边缘。折腾了大半天,终于把代码都下载下来了,可是下载下来做什么呢,自己连看都看不懂 于是,带着激动而又郁闷的心情继续学习内核编程。 由于是初学者,很多时候也有不清楚的地方,若下文中有什么地方理解有误,还请大牛多多指正
OD插件之重载内核.rar
05-31
OD插件之重载内核.rar
Windows内核EPATHOBJ_0day漏洞
03-05
Windows内核EPATHOBJ_0day漏洞
重载内核全程分析笔记
06-29
重载内核全程分析笔记 - 将内核文件加载到内存
内核重载
坦然
09-12 2891
/*++ BUILD Version: 0004 // Increment this if a change has global effects Copyright (c) Microsoft Corporation. All rights reserved. You may only use this code if you agree to the terms of the Win
驱动-内核重载
chengtoreal的博客
03-13 455
内核重载 读取ntkrnlpa.exe的PE文件,并展开加载到内存 获取模块基址 修复重定位 修复新的SSDT表 HOOK KiFastCallEntry函数 代码 // 准备工作 // KeServiceDescriptorTable变量,声明就可以直接使用 // 函数原型 typedef NTSTATUS(NTAPI* FnZwOpenProcess)(PHANDLE, ACCESS_MASK, POBJECT_ATTRIBUTES, PCLIENT_ID); typedef struc
1.ring0-内核重载详解(NTOS)
热门推荐
hgy413的专栏
08-07 2万+
1.取得NTOS原始的地址: 这个可以通过遍历系统模块,找到第一个被加载的模块(NTOS),获得NTOS的路径,基地址,大小: 基本思路为: 1.1 ZwQuerySystemInformation查询到所有模块 1.2 获得NTOS的路径,基地址,大小 代码如下: NTSTATUS GetNtosModuleInfo(WCHAR *pNtosPath,ULONG nSize,
易语言破解之绕VM思路
xf555er的博客
08-22 1668
通常写易语言软件的作者都会将按钮事件特征码整段都给vm掉,但是他们忽略了一个点, 没有把按钮事件特征码其外层的call进行vm, 而这个外层call走的是易语言的内核函数在按钮事件特征码的call下断点,查看右下角的堆栈窗口可找到外层call鼠标右键反汇编窗口跟随,找到外层???????新建一个易语言程序并将其拖入OD打开,二进制搜索FF 25转到易语言体处的第三个jmp下断然后一路往下跟,跟到,F7进如此call走到,并提取其特征:???????将此处的内存地址复制下来,到内存窗口里搜索此地址。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值