自己实现读写内存API和OpenProcess躲过Ring3层的HOOK(win10 1903)

最新推荐文章于 2023-11-16 08:55:03 发布
最新推荐文章于 2023-11-16 08:55:03 发布
阅读量2.9k 收藏 15
点赞数 4
分类专栏: 好玩的技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44286745/article/details/104585713
版权

想躲过ring3层的某些API的HOOK,不想恢复钩子,自己写,百度一搜半天都找不到,只能自己动手了...

OpenProcess和ReadProcessMemory和WriteProcessMemory都在KernelBase.dll里

NtOpenProcess和NtReadVirtualMemory和NtWriteProcessMemory在ntdll.dll里

用IDA进行逆向即可得到它们的汇编代码,嫌麻烦的话可以不用去逆向KernelBase.dll里的,自己用Nt式的API和用KernelBase.dll的差不多,反正KernelBase.dll里的也只是对参数做些安全检查,到后面还是调用了ntdll.dll的函数

 

(WriteProcessMemory代码太长了,所以直接搞NtWriteVirtualMemory了,SetLastError也算了,不返回错误代码也无所谓,asm文件咋用,自己百度)

.asm文件:

.CODE
MyNtOpenProcess PROC
    mov     r10, rcx
    mov     eax, 26h
    syscall
    ret
MyNtOpenProcess ENDP

MyOpenProcess PROC
    mov     r11, rsp
    sub     rsp, 68h
    and     qword ptr [r11-40h], 0
    lea     r9, [r11-48h]
    movsxd  rax, r8d
    xorps   xmm0, xmm0
    mov     r12,30h
    mov     [rsp + 68h - 38h], r12
    lea     r8, [r11-38h]
    and     qword ptr [r11-30h], 0
    neg     edx
    mov     [r11-48h], rax
    mov     edx, ecx
    lea     rcx, [r11+20h]
    sbb     eax, eax
    and     eax, 2
    mov     [rsp+68h-20h], eax
    and     qword ptr [r11-28h], 0
    movdqu  [rsp+68h-18h], xmm0
    call    MyNtOpenProcess
    nop     dword ptr [rax+rax+00h]
    mov     rax, [rsp+68h+20h]
    add     rsp,68h
    ret
MyOpenProcess ENDP

MyZwReadVirtualMemory PROC
    mov     r10, rcx
    mov     eax, 3Fh
    syscall
    ret
MyZwReadVirtualMemory ENDP

MyReadProcessMemory PROC
    sub     rsp, 48h
    lea     rax, [rsp+48h-18h]
    mov     [rsp+48h-28h], rax
    call    MyZwReadVirtualMemory
    nop     dword ptr [rax+rax+00h]
    mov     rdx, [rsp+48h+28h]
    test    rdx, rdx
    jnz     short J
  S:mov     eax, 1
    add     rsp, 48h
    ret
  J:mov     rcx, [rsp+48h-18h]
    mov     [rdx], rcx
    jmp     short S
MyReadProcessMemory ENDP

MyNtWriteVirtualMemory PROC
    mov     r10, rcx
    mov     eax, 3Ah
    syscall
    ret
MyNtWriteVirtualMemory ENDP
END

 

吾无法无天
关注
  • 4
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 11
    评论
专栏目录
Winodws x64系统服务调用的那头4个参数
muy的专栏
07-03 4172
前几天有朋友遇到一个问题来问我。他有一个Windows 7 x64下的minidump文件,经过初步分析,知道系统崩溃最初是因用户态调用了NtDeviceIoControlFile造成的,KeBugCheckEx调用已经位于多重函数调用的深处,问如何找到最初NtDeviceIoControlFile的参数,尤其是头4个参数。经过一番努力,我总算是把问题解决了,其中得到一些领悟,想趁热记录。
三环重OpenProcess
最新发布
pluginL的博客
04-27 234
调用过程重点为 KernelBase->ntdll,kernelbase中做了数据的处理,函数名字为NtOpenProcess,ntdll中则选择服务号进入0环,我们可以逆向NtOpenProcess分析具体用了什么参数。
易语言使用APIhook进行拦截文件
09-02
易语言使用APIhook进行拦截文件,拦截文件,使用apihook
3.3 Windows驱动开发:内核MDL进程内存
CSDN
11-16 4900
MDL内存是一种通过创建MDL结构体来实现跨进程内存的方式。在Windows操作系统中,每个进程都有自己独立的虚拟地址空间,不同进程之间的内存空间是隔离的。因此,要在一个进程中取或入另一个进程的内存数据,需要先将目标进程的物理内存映射到当前进程的虚拟地址空间中,然后才能进行内存操作。MDL结构体是Windows内核中专门用于描述物理内存的数据结构,它包含了一系列的数据元素,包括物理地址、长度、内存映射的虚拟地址等信息。
[检测&过检测] 重 ReadProcessMemory 、WriteProcessMemory
LYSM
07-12 2155
一、本文大纲 系统调用的两种方式:中断门和快速调用 _KUSER_SHARED_DATA 结构 使用 cpuid 指令判断当前CPU是否支持快速调用 3环进0环需要更改的4个寄存器 以 ReadProcessMemory 为例说明系统调用全过程 重 ReadProcessMemory 和 WriteProcessMemory int 0x2e 和 sysenter 都做了什么工作? 二、中断门和快速调用 以我的理解,系统调用,即从调用操作系统提供的3环API开始,到进0环,再到返回结果到3环的全过程
驱动中全局hook应用层API函数
125096
10-08 4935
extern "C" NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath) { DbgBreakPoint(); DriverObject->DriverUnload = DriverUnload; NTSTATUS status; PEPROCESS Process =
Dll.rar_VB HookOpenProce_hook_openprocess_ring3 hook_vb HookOpen
09-24
标题"Dll.rar_VB HookOpenProce_hook_openprocess_ring3 hook_vb HookOpen"涉及到的是在Windows操作系统中,使用Visual Basic(VB)实现Ring3级别的OpenProcess函数Hook技术。Ring3是用户模式,即应用程序通常运行的...
ApiHook.rar_APIHOOK_OpenProcess_delphi Openprocess_delphi 拦截api_
09-24
在本案例中,"ApiHook.rar_APIHOOK_OpenProcess_delphi" 提到的是使用Delphi编程语言实现API Hook功能,具体是针对`OpenProcess`和`TerminateProcess`这两个Windows API的拦截。 `OpenProcess`是Windows API中的...
API-Hook-Open-Process.rar_HOOK openprocess_Process_hook api_hook
09-20
`APIHook_Demo`和`APIHook_DLL_Demo`可能分别是主程序和DLL的源代码目录,包含了实现Hook的C++、C#或其他编程语言的源文件。 在实际操作中,实现API Hook通常包括以下几个步骤: 1. **选择Hook方法**:有多种Hook...
易语言API内存模块
07-20
在编程过程中,有时我们需要直接访问和修改程序运行时的内存,这就需要用到API(应用程序接口)来进行内存操作。易语言是一种面向对象、简单易学的中文编程语言,它通过调用系统API函数来实现各种复杂的系统级...
Hook WriteProcessMemory & ReadProcessMemory
06-08
这个小工具可以跟踪某些内存修改器或内存补丁的行为 源码地址http://download.csdn.net/source/1570845
11、OpenProcess
Windows内核学习笔记
07-18 280
neg指令 neg指令详细解释 规则: neg reg (对寄存器操作) neg mem(对内存操作) 作用:将目的操作数的所有数据位取反加1 影响的标志:进位标志(CF),零标志(ZF),符合标志(SF),溢出标志(OF),辅助进位标志(AF),奇偶标志(PF) 当操作数为0时,置CF位为0 当操作数不为0时,置CF位为1 sbb指令 sbb是带借位减法指令,它利用了CF位上记录的借位值。 指令格式:sbb 操作对象1,操作对象2 功能:操作对象1=操作对象1-操作对象2-CF 比如指令sbb ax,b
反汇编代码里面的地址_浅析同一段C++代码在Win X64, X86,MAC,Android ARM64平台编译器优化之美...
weixin_36068015的博客
01-04 427
背景:定位一些Crash崩溃时,由于缺少更多信息,可能需要从反汇编的静态代码段推测对应的C++代码,并结合寄存器值分析出具体原因。对于Release发布版,由于编译器的强行函数内联和生成指令优化,会出现反汇编代码和C++源码区别较大,加大我们从汇编代码反推C++难度,一但我们分析清楚优化点,可以很欣赏编译器优化之美。 本文是从ARM64平台的一次crash反汇编分析经历出发,发现编译器能...
C++ API HOOK (OpenProcess)
資料為我做事
03-09 1365
#include <windows.h>#include "APIHook.h"extern CAPIHook g_OpenProcess;// 自定义OpenProcess函数#pragma data_seg("YCIShared")HHOOK g_hHook = NULL;DWORD dwCurrentProcessId=0;#pragma data_seg()HANDLE ...
OpenProcess()函数
热门推荐
夜空中最亮的星
10-06 5万+
通过一个进程关闭另外一个进程的时候,一般的做法就是枚举系统打开的所用进程的标识符(PID),使用OpenProcess函数获得进程的句柄,该函数可以通过第一个参数来设置句柄的新的访问权限(不清楚句柄是不是和原来的一模一样?有待证明和学习),比如如果打开的句柄不具备终止句柄的权限,直线终止进程操作会失败,返回的错误代码为5(意思为拒绝访问)。通过获得的句柄就可以获得进程名字(通过GetModuleB
OpenProcess讲解
xbgprogrammer的专栏
10-23 7158
HANDLE hProcess=OpenProcess(PROCESS_TERMINATE|SYNCHRONIZE,FALSE,proid); if (hProcess==NULL) { cout<<"OpenProcess failed with "<<GetLastError()<<endl; return 0; } else { TCHAR buffer[MAX_PAT
win10 结束任务是调用哪些api
07-15
Windows 10中,结束任务是通过调用以下API实现的: 1. OpenProcess函数:此函数用于打开一个进程,接收进程的标识符(PID)作为参数。通过此函数可以获取到指定进程的句柄。 2. EnumProcesses函数:此函数用于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

吾无法无天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值