X64系统中WIN32程序应用层拦截驱动层的通杀方案(WIN7x64测试通过)

最新推荐文章于 2023-12-15 22:07:03 发布
最新推荐文章于 2023-12-15 22:07:03 发布
阅读量1.6k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/x1234521/article/details/79651327
版权
本文介绍了在X64的Windows 7系统中,如何在WIN32应用程序中通过应用层HOOK来拦截驱动层调用的通用方法。通过解析系统调用过程,特别是关键的`fs:[C0]`内存位置,实现对驱动调用的参数篡改、返回信息修改以及不调用驱动直接返回的能力。文中提供了详细的代码注释,展示了如何拦截驱动调用后的返回值,例如随机化MAC地址、硬盘序列号以及进程隐藏等应用场景。
摘要由CSDN通过智能技术生成

今天要讨论的问题是在一个WIN7 X64系统中WIN32程序的内部利用应用层(R3)HOOK来拦截驱动层(R0)调用的通杀方案,他能实现的效果是:

1、一个HOOK通杀所有。

2、R3层拦截驱动调用,可以篡改传递的参数。

3、可以修改驱动调用后的返回信息。

4、可以自己构造驱动返回信息而不调用驱动直接返回。 

下面我们来看看是如何做到的: 

Win32时代的 KiFastSystemCall大家应该不陌生,他是R3通过R0的一条道路,但在X64系统上WIN32程序中已经看不到他的影子,我们来看看变成什么样子了,如下图


最低0.47元/天 解锁文章
x1234521
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WFP驱动--进程规则拦截
03-20
实现了对进程信息的获取,监控,并进行拦截操作,使用WFP,交流请私信,不定期看csdn
拦截win32 API 调用(下)
亮子说编程的博客
06-30 1149
拦截win32 API 调用(下) 设计和实现      本部分将讨论钩子架构的关键部分以及它们之间的讯方式。这样的架构能够拦截任何过名称导入的api函数。      在概述拦截系统的设计之前,请留意几种注入和拦截方式。      首先,要选择一种能够把dll注入系统所有进程的方式。因此我设计了一个抽象基类,并实现两种注入技术,根据ini文件的设置和操作系统版本(例如windowsN
C++ Windows实现64/32位InlineHook(x86平台)
最新发布
sthudy的博客
12-15 682
C++实现64/32位InlineHook。
【原】wow64 x86/x64 代码切换过程分析
weixin_30872733的博客
10-12 595
下面以ntdll32!ZwQueryInformationProcess API为例分析 x86代码与x64代码之间的切换过程, 32bit的test程序: step1: ntdll32!ZwQueryInformationProcess:775bfb18 b816000000 mov eax,16h775bfb1d 33c9 xor ecx,...
Anti-Screen Capture(Prevent Screen Captures)截屏与反截屏
Koma的主页
05-07 7818
1.数字图片使用类似与动画的方式显示,每次显示的是数字的一部分,当动态显示的时候人眼是可以分辨出具体数字的。但是截图的话就只能截取一部分,参考: cups.cs.cmu.edu/soups/2007/posters/p147_lim.pdf 2.屏蔽系统按键:Print Screen 和 Alt + Print Screen,主要原理是注册热键的方式,参考: http://www.v
WPE 封包拦截工具 WIN7X64可用
10-13
WPE 封包拦截工具 WIN7X64可用
天野学院X64Hook封包拦截发送工具
08-17
天野学院X64Hook封包拦截发送工具,可进行封包的拦截、发送、过滤等,针对X64游戏程序和安卓模拟器。无需代理软件、无需驱动
从Java层进行拦截Andrdoid应用程序的行为
02-21
在之前写过对应用程序的行为进行拦截的方式(C层)实现的博客,在写完这篇之后,本来想是尽快的把Java层拦截的文章结束的,但是由于各种原因吧,所以一直没有时间去弄这些了。今天算是有空,就总结一下吧。下面进入...
com01串口过滤拦截字符及文件传输源码_串口过滤传输_XP/WIN7/WIN10_go9w9_支持X86/X64_u盘过滤_源
09-29
本资源"com01串口过滤拦截字符及文件传输源码_串口过滤传输_XP/WIN7/WIN10_go9w9_支持X86/X64_u盘过滤_源"提供了一套完整的解决方案,涵盖了串口过滤、USB驱动框架以及U盘读写控制,适用于多种操作系统环境,包括XP...
自写API绕过R3下所有HOOK
huobengle
11-09 897
拿FindWindow来做测试,先OD跟一下HWND hWnd=::FindWindow(_T("SciCalc"),_T("计算器")); ::SendMessage(hWnd,WM_CLOSE,NULL,NULL);为了方便分析参数,给FindWindow也传递了类名。 OD载入,bp FindWindowW,运行后断下来,来到FindWindowW里面77D2C9C5 55 ...
自写Api过r3的Api函数hook
被遗弃的庸才博客
08-13 912
这里验证的环境是win7 64位和win10 64位 首先是64位程序,这里由于win7和win10的调用号不同,需要根据所使用的系统修改相应的调用号,顺带说明一下win64的vs程序是不支持内联汇编,这里是我自己下载的intel的parallel studio使得vs支持了内联汇编。 #include<windows.h> /*------------------------...
驱动开发:内核监控进程与线程回调
热门推荐
CSDN
10-23 1万+
系统监控进程与线程可以使用微软提供给我们的两个新函数来实现,此类函数的原理是创建一个回调事件,当有进程或线程被创建或者注销时,系统过回调机制将该进程相关信息优先返回给我们自己的函数待处理结束后再转向系统层。那么会提示连接的设备没有发挥作用,我们则成功拦截了这次打开,当然如果在打开进程之前扫描其特征并根据特征拒绝进程打开,那么就可以实现一个简单的防病毒程序,进程监控在防病毒程序也是用的最多的。如上,该函数只有两个参数,第一个参数是回调函数,第二个参数是是否注销,常在驱动退出时可以传入。
XX游戏R3层反调试 初探
把梦想放飞在蓝色的天空里...
12-24 8513
转载于织梦未来 本机环境:win7 64位 首先用工具PC Hunter 来查看下应用层钩子   首先直接映入眼帘的就是DbgBreakPoint,DbgUiRemoteBreakin,DbgUserBreakPoint 这三个inline hook 对反调试做得手脚     len(1) ntdll.dll->DbgBreakPoint                0
FS寄存器
求索
09-18 997
FS寄存器指向当前活动线程的TEB结构(线程结构)偏移 说明000 指向SEH链指针004 线程堆栈顶部008 线程堆栈底部00C SubSystemTib010 FiberData014 ArbitraryUserPointer018 FS段寄存器在内存的镜像地址020 进程PID024 线程ID02C 指向线程局部存储指针030 PEB结构地址(进程结构)034 上个错误号得到KER
VC里面快速调用Nt系列函数示例方法
Koma的主页
12-19 5365
VC里面快速调用Nt系列函数示例方法,以NtTerminateProcess结束自己为例 当初研究的目的也只是为了一个稳定用的ring3 inline hook bypass funaddr + 5的方法除外,如果你还有其他方法或思路,欢迎交流指导!
call dword ptr xxx与call xxx的比较
04-16 5615
一:问题 call dword ptr xxx与call xxx 前者为什么比后者就效率了?还有一个问题 #include  using namespace std; int main() { cout __asm jmp main return 0; } 这个函数为啥不是死循环?怎么执行一会就结束? 如果加个计数器 #include  using
系统调用过程
richard1230的博客
03-29 968
1.sysenter指令 EFLAGS主要包含: 2.分析CreateFile三环到0环的调用过程 老方法; 各种门 自陷门 int 0x2E 新方法: 1.sysenter指令 a. sysenter 被执行之后 将控制权传递给特殊模块寄存器 b.跟systenter 配合的MSRs寄存器有3个 名称 偏移 说明 SYS...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值