摘要: http://bbs.pediy.com/showthread.php?t=145687作 者: liukeblue通过挂钩KeUserModeCallback这个未公开的函数可以实现对Ke_LoadLibrary、WH_KEYBOARD_LL等进行拦截,这个函数也可以用来在Ring0下调用Ring3代码,如果需要更进一步了解,可以去黑月教主的百度blog上去看看。下面我们来实现拦截dll注入的功能,解决两个问题:一、 如何挂钩KeUserModeCallback函数,有两种方式IAT HOOK(QQ电脑管家)、inline HOOK(360保险箱)。二、 如何拦截DLL注入,这个功能在KeU 阅读全文
posted @ 2012-12-20 14:45 himessage 阅读(1928) 评论(0) 推荐(0) 编辑
摘要: http://www.cppblog.com/gezidan/archive/2011/08/08/152757.html// IATHook.cpp : Defines the entry point for the console application.//#include "stdafx.h"#include "IATHook.h"#include <windows.h> #include <imagehlp.h>#pragma comment(lib, "imagehlp.lib") #ifdef _ 阅读全文
posted @ 2012-12-20 11:18 himessage 阅读(543) 评论(0) 推荐(0) 编辑
摘要: http://www.52pojie.cn/thread-95426-1-1.html// IATHook02.cpp : Defines the entry point for the console application.//#include "stdafx.h"#include "IATHook02.h"#ifdef _DEBUG#define new DEBUG_NEW#endif// The one and only application objectCWinApp theApp;using namespace std;////////// 阅读全文
posted @ 2012-12-20 11:14 himessage 阅读(369) 评论(0) 推荐(0) 编辑
摘要: http://blog.csdn.net/misterliwei/article/details/840983一.IAT法IAT法就是通过修改IAT表中的函数地址而达到的API截获的方法。1.技术与实现每个调用的API函数地址都保存在IAT表中。API函数调用时,每个输入节(IMPORT SECTION)所指向的IAT结构如下图所示。程序中每个调用API函数的CALL指令所使用的地址都是相应函数登记在IAT表的地址。所以为了截获API函数,我们将IAT表中的地址换成用户自己的API PROXY函数地址,这样每个API调用都是先调用用户自己的API PROXY函数。在这个函数中我们可以完成函数名 阅读全文
posted @ 2012-12-20 10:43 himessage 阅读(454) 评论(0) 推荐(0) 编辑
摘要: http://www.badteen.net/?post=281rootkit进阶之Shadow SSDT Hook RK作者不甘心,无论是出于技术上的抗争还是利益上的损失,反正,ARK既然让我丢了面子或瘪了钱包,那么,“有朝一日龙得水,定叫长江水倒流!”,一些人开始尝试研究破解Anti-Rootkit工具,誓与之抗争到底,另一些人,则开始了新的探索,最终,双方都有了成效:首先,pjf的大作IceSword被成功反汇编了,虽然得到的并不是最初的C语言代码而是汇编语句,但是对于研究Rootkit的人来说,汇编在他们眼里,就如同看网络小说一样轻而易举,很快,就有人识破了作者的检测逻辑,可以绕过Ic 阅读全文
posted @ 2012-12-20 09:59 himessage 阅读(781) 评论(0) 推荐(0) 编辑
摘要: http://www.vcfans.com/2010/04/hook-shadow-ssdt.html作 者: sislcb原 文:http://bbs.pediy.com/showthread.php?t=65931网上很多文章都有关于SSDT的完整的实现,但是没有关于Shadow SSDT的完整实现,目前最好的文章是《shadow ssdt学习笔记 by zhuwg》,我这里的程序也很多参考了他的文章,在这里谢谢了。我这里给出一个hook shadow ssdt的完整实现的驱动和3层的代码。这里主要是hook 了NtUserFindWindowEx,NtUserBuildHwndList, 阅读全文
posted @ 2012-12-20 09:59 himessage 阅读(1289) 评论(0) 推荐(0) 编辑
摘要: http://blog.csdn.net/debugge/article/details/7626698关于SSDT即系统描述符表,《SSDT Hook的妙用-对抗ring0 inline hook》这篇文章描述的已经很清楚了。引用文章中的一段话:“内核中有两个系统服务描述符表,一个是KeServiceDescriptorTable(由ntoskrnl.exe导出),一个是KeServieDescriptorTableShadow(没有导出)。两者的区别是,KeServiceDescriptorTable仅有ntoskrnel一项,KeServieDescriptorTableShadow包含 阅读全文
posted @ 2012-12-20 09:58 himessage 阅读(916) 评论(0) 推荐(0) 编辑
摘要: http://blog.csdn.net/gaa_ra/article/details/6277657内核当中已经导出了KeServiceDescriptorTable,可以直接在Windbg当中使用dd命令查看,对于Shadow SSDT的地址,在WinXP当中,地址是KeServiceDescriptorTable-0x40.为了查看win32k的SYSTEM_SERVICE_TABLE,记得要切换到具有图形界面的进程上下文当中才能正确查看.KeServiceDescriptorTableShadow包含了4个SYSTEM_SERVICE_TABLE结构,但是只用了前两个,第一个和KeSe 阅读全文
posted @ 2012-12-20 09:58 himessage 阅读(703) 评论(0) 推荐(0) 编辑
摘要: http://blog.csdn.net/gimbow/article/details/5882549Windows内核新手上路2——挂钩shadow SSDT文章核心内容:安全软件窗口保护、安全输入、截屏保护的一些思路。挂钩NtUserFindWindowEx、NtUserGetForegroundWindow、NtUserBuildHwndList、NtUserQueryWindow、NtUserWindowFromPoint、NtUserSetParent、NtUserPostMessage、NtUserMessageCall、NtUserSetWindowLong、NtUserShow 阅读全文
posted @ 2012-12-20 09:57 himessage 阅读(892) 评论(0) 推荐(0) 编辑
摘要: http://blog.sina.com.cn/s/blog_53e1b6e00100w4j6.htmldp nt!KeServiceDescriptorTable80553fa080502b8c 00000000 0000011c 8050300080553fb000000000 00000000 00000000 0000000080553fc000000000 00000000 00000000 0000000080553fd000000000 00000000 00000000 00000000typedef struct _SYSTEM_SERVICE_TABLE{ PVOID S. 阅读全文
posted @ 2012-12-20 09:55 himessage 阅读(1360) 评论(0) 推荐(1) 编辑