随笔分类 - Ark AntiRootKit 逆向研究
摘要:[TOC] # windows内核提权,又一突破游戏保护的方式。 ## 一丶 句柄表 ### 1.1 介绍 当一个进程被`保护`的时候 比如无法获取其`进程句柄权限` (`OpenProcess`) 或者无法获取内存读写访问权限的时候,则可以使用此方法来进行提权。 前置知识,`了解windows系统
阅读全文
摘要:[TOC] # 全局句柄表详解 ## 一丶句柄表 ### 1.1 句柄表介绍 句柄表老生常谈的话题,里面存储了 `进程`和`线程`的对象信息。 通过句柄表也可以遍历出隐藏的进程。也就是说全局句柄表里面存储的并不是`句柄` 而是进程`EPROCESS `和线程 `ETHREAD` ### 1.2 定位
阅读全文
摘要:64位内核映射DLL获取Zw函数调用功能号 一丶 简介 1.1 如何映射DLL 映射DLL其实很简单 在内核中使用4个函数即可映射. 而这方面网上资料也很多.这里推荐几个 也不再重复叙述了. 转载链接: 内核映射文件 简而言之只需要熟悉四个API即可. 而核心API其实就三个 分别为如下: ZwOp
阅读全文
摘要:64位下读取SSDT表并且获取SSDT函数 一丶读取SSDT表 (KeServiceDescriptorTable) 1.1 原理 在64位系统下我们可以通过读取msr 寄存器来获取内核函数入口. msr在开启内核隔离模式下获取的是 KiSystemCall64Shadow 而在未开启内核模式下则是
阅读全文
摘要:#x64(32)下的进程保护回调. ##一丶进程保护线程保护 ###1.简介以及原理 以前我们讲过.SSDT 可以做很多事情.比如可以防止进程被结束 其实到了x64下.你也可以HOOK SSDT.只不过你需要过一下PatchGuard 但是在你过不了PG的情况下.其实操作系统也给你提供了回调进行保护
阅读全文
摘要:#SSDTHOOK ###1.SSDTHOOK 原理. x32下,直接获取系统描述符表.以及调用号.就可以进行HOOK了. x64下可以设置回调来进行过滤我们想要的功能.当然如果你简单的过一下PatchGuard也可以设置SSDT HOOK. ###1.x32下的SSDT HOOK 首先SSDT 我
阅读全文
摘要:#反调试与反反调试 ##一丶反调试的几种方法 ###1.DebugPort端口清零 debugport是在EPROCESS结构中的.调试时间会通过DebugPort端口将调试事件发送给ring3进行调试的.如果设置为0.则ring3就无法进行调试了 也就是说你不能单步了.等相关调试操作了. 如果做反
阅读全文
摘要:#SSDt表与ShadowSSDT表的查看. ##一丶SSDT表 ###1.什么是SSDT表 SSDT表示系统服务表,我们ring3调用的很多函数都会调用这个SSDT表 ###2.查看步骤 1.使用 x命令 前提需要加载好符号. x nt!kes*des*table* KeServiceDescri
阅读全文