论坛广场 › WINDOWS核心编程 › [半原创]Hook KiFastCallEntry完整代码（For XP/2K3/WIN7）

Tesla.Angela 发表于 2010-10-22 10:59:40

[半原创]Hook KiFastCallEntry完整代码（For XP/2K3/WIN7）

简单的说，这是一个深度hook的完整示例。
压缩包里有三个源码：
1.XP/2K3下Hook KiFastCallEntry实现进程保护
2.Win7下Hook KiFastCallEntry实现进程保护（vista/2k8没测试）
3.XP下Hook KiFastCallEntry实现废除360自我保护和主动防御

Tesla.Angela 发表于 2010-10-22 11:00:54

本帖最后由 Tesla.Angela 于 2010-10-22 11:02 编辑

沙发自己坐
======
补充：
没有下载权限的朋友请看这里：http://www.m5home.com/bbs/thread-4478-1-1.html

xiaoly99 发表于 2010-10-22 17:53:32

1.又拿出来了,早知道就不拿UG和你换了......2.以后我都会等着你的......
3.还好有更强的没换......
4.最近做了个HIPS,最近会放BIN......

Tesla.Angela 发表于 2010-10-22 18:03:00

本帖最后由 Tesla.Angela 于 2010-10-22 18:10 编辑

回复 3# xiaoly99


汗。。。
驱动的时效问题很重要。。。
这个我起码是一个月前给你的。。。

本网站最菜的人 发表于 2010-10-22 22:15:24

Tesla.Angela 发表于 2010-10-22 23:16:34

回复 7# 本网站最菜的人


对付360小意思啦，这个不过是娱乐而已。
某个“恶人”在QQ上给我发了一大堆截图，Ring3注入360并将其K掉。。。

ok100fen 发表于 2010-10-22 23:46:07

不错

顶一下

huzhao23 发表于 2010-10-23 03:38:52

都是牛人啊，谢谢，膜拜啦

huzhao23 发表于 2010-10-27 00:13:13

o(︶︿︶)o 唉，权限还是不够啊

sytexboy 发表于 2010-10-27 09:42:03

nba

Tesla.Angela 发表于 2010-10-29 10:50:31

回复 16# sunfrank


R3->R0的关口

Tesla.Angela 发表于 2010-10-29 10:50:54

回复 17# sunfrank


在有SSDT HOOK的环境下使用会失效

oopww 发表于 2010-11-6 10:10:32

原来回复只加热心值。。。。！

huzhao23 发表于 2010-11-14 23:36:29

啥时候能有下载权限啊

Tesla.Angela 发表于 2010-11-15 00:49:13

回复 huzhao23 的帖子

贡献四个自己的珍贵源码，马上就能下载了。

乔丹二世 发表于 2010-12-6 17:49:43

sunfrank这么卑鄙啊~~
防sunfrank，反偷代码，大家有责+1

1haoyu 发表于 2010-12-10 22:53:36

乔丹二世 发表于 2010-12-6 17:49 static/image/common/back.gif
sunfrank这么卑鄙啊~~
防sunfrank，反偷代码，大家有责+1

原来哥哥这么仇恨 sunfrank,是这么一回事！
我加入！

Tesla.Angela 发表于 2010-12-22 23:48:40

回复 f74107 的帖子

我就是这么做的

Tesla.Angela 发表于 2010-12-25 17:33:55

回复 f74107 的帖子

谢谢提醒。

不过这份代码最大的问题不是你说的那个，而是遇到SSDT HOOK我的钩子就失效了！！！

zzage 发表于 2011-1-4 10:53:13

....有点眼熟

Tesla.Angela 发表于 2011-1-4 11:55:48

回复 zzage 的帖子

核心代码是朋友给我的，我做了少许修改。

wode200910 发表于 2011-1-4 21:09:17

郁闷，为什么250不开个线程检测一下呢

hacknone 发表于 2011-5-4 22:23:02

谢谢，这几天来学习一下...

franklin1988 发表于 2011-5-8 06:13:47

我是来膜拜的

cyy201 发表于 2011-5-17 14:53:04

程序经常被360杀掉，看看这个能不能保护一下，谢谢了

强烈B4 360，垃圾

watchsky 发表于 2011-12-14 12:39:37

WIN7下为何不能废除360保护呢？我按照第二个文件里的win7特征码修改了第三个文件，但是没用！

watchsky 发表于 2011-12-14 15:08:56

本帖最后由 watchsky 于 2011-12-14 17:01 编辑

我调试了一下，大概知道原因了，我的win7系统的代码是
nt!KiFastCallEntry+0xd9:
83c843d9 8b570c          mov   edx,dword ptr
83c843dc 8b3f            mov   edi,dword ptr
83c843de 8a0c10          mov   cl,byte ptr
83c843e1 8b1487          mov   edx,dword ptr
83c843e4 2be1            sub   esp,ecx
83c843e6 c1e902          shr   ecx,2
83c843e9 8bfc            mov   edi,esp
83c843eb 3b351c97da83    cmp   esi,dword ptr

以下2条指令与XP下相反
83c843dc 8b3f            mov   edi,dword ptr
83c843de 8a0c10          mov   cl,byte ptr
xp的汇编指令可以参看

http://bbs.myhack58.com/simple/index.php?t242323.html

唉，真是麻烦啊

索性把jmp的inline hook 改成6字节的，调整相应的hook代码和FakeKiFastCallEntry()，注意6字节的jmp inline hook第一位填成NOP，代码就能在win7下搞掉360了。嘿嘿，测试通过，多谢大牛公开360细节及源码。

其实把inline hook的位置多往前移动几个字节就可以实现版本的兼容了，不过我们就得操作ssdt表了。另外把6字节的jmp hook根据版本进行填充也可以实现系统的兼容。以上有点麻烦，有谁改好了给我发一版啊。

testid 发表于 2011-12-14 21:58:46

本帖最后由 testid 于 2011-12-14 21:59 编辑

watchsky 发表于 2011-12-14 15:08 static/image/common/back.gif
我调试了一下，大概知道原因了，我的win7系统的代码是
nt!KiFastCallEntry+0xd9:
83c843d9 8b570c      ...

厉害，我向你学习！

wu0you 发表于 2011-12-20 16:51:39

顶了重载SSDT表 谢谢楼主共享

hapi 发表于 2012-6-7 15:33:47

这个，看着不错

wjshome 发表于 2012-6-12 10:24:24

这个很强悍，支持。

gfw 发表于 2012-6-13 01:10:16

现在还有效吗？

查看完整版本: [半原创]Hook KiFastCallEntry完整代码（For XP/2K3/WIN7）