论坛广场 › WINDOWS核心编程 › [原创]对付一切RING3 INLINE HOOK的绝招（非RELOAD DLL）

Tesla.Angela 发表于 2014-8-1 01:43:42

[原创]对付一切RING3 INLINE HOOK的绝招（非RELOAD DLL）

很多年前我在《黑客防线》上发过一篇文章，叫做“WIN64上实现RING3级别的HIPS”，其实HIPS不可能存在RING3级别的，因为RING3的INLINE HOOK是毫无用处的。

先请大家先看看NTDLL32对NATIVE API的实现（NTDLL64类似）：
WIN2003X64
==========
ntdll32!ZwOpenProcess:
00000000`7d61cb43 b823000000      mov   eax,23h
00000000`7d61cb48 33c9            xor   ecx,ecx
00000000`7d61cb4a 8d542404      lea   edx,
00000000`7d61cb4e 64ff15c0000000call    qword ptr fs:
00000000`7d61cb55 c21000          ret   10h
00000000`7d61cb58 8d4900          lea   ecx,
ntdll32!NtSetInformationFile:
00000000`7d61cb5b b824000000      mov   eax,24h
00000000`7d61cb60 33c9            xor   ecx,ecx
00000000`7d61cb62 8d542404      lea   edx,
00000000`7d61cb66 64ff15c0000000call    qword ptr fs:
00000000`7d61cb6d c21400          ret   14h
00000000`7d61cb70 8d4900          lea   ecx,

WIN7X64
=======
ntdll32!ZwOpenProcess:
00000000`7765fc10 b823000000      mov   eax,23h
00000000`7765fc15 33c9            xor   ecx,ecx
00000000`7765fc17 8d542404      lea   edx,
00000000`7765fc1b 64ff15c0000000call    qword ptr fs:
00000000`7765fc22 83c404          add   esp,4
00000000`7765fc25 c21000          ret   10h
ntdll32!ZwSetInformationFile:
00000000`7765fc28 b824000000      mov   eax,24h
00000000`7765fc2d 33c9            xor   ecx,ecx
00000000`7765fc2f 8d542404      lea   edx,
00000000`7765fc33 64ff15c0000000call    qword ptr fs:
00000000`7765fc3a 83c404          add   esp,4
00000000`7765fc3d c21400          ret   14h

WIN8X64
=======
ntdll!NtOpenProcess:
77aa0fbc b824000000      mov   eax,24h
77aa0fc1 64ff15c0000000call    dword ptr fs:
77aa0fc8 c21000          ret   10h
77aa0fcb 90            nop
ntdll!ZwSetInformationFile:
77aa0fcc b825000000      mov   eax,25h
77aa0fd1 64ff15c0000000call    dword ptr fs:
77aa0fd8 c21400          ret   14h
77aa0fdb 90            nop

WIN8.1X64
=========
ntdll!ZwOpenProcess:
7710b850 b825000000      mov   eax,25h
7710b855 64ff15c0000000call    dword ptr fs:
7710b85c c21000          ret   10h
7710b85f 90            nop
ntdll!NtSetInformationFile:
7710b860 b826000000      mov   eax,26h
7710b865 64ff15c0000000call    dword ptr fs:
7710b86c c21400          ret   14h
7710b86f 90            nop
下面说说怎么对付RING3的INLINE HOOK：
**** Hidden Message *****

rice19 发表于 2014-8-1 02:06:25

围观学习:)

网游天下 发表于 2014-8-1 02:07:21

必须学习

dumingqiao 发表于 2014-8-1 02:10:28

学习了 哈哈

XSS 发表于 2014-8-1 03:22:44

sxniao 发表于 2014-8-1 10:15:51

看一下这个

sanyoo 发表于 2014-8-1 11:16:33

回复一个学习学习

cychk 发表于 2014-8-1 11:20:42

看看

想太多 发表于 2014-8-1 12:06:35

看起来貌似有用的东西啊

想太多 发表于 2014-8-1 12:06:40

看起来貌似有用的东西啊

想太多 发表于 2014-8-1 12:07:09

还需要回复一次啊 ？

_HML 发表于 2014-8-1 16:01:39

看看老大又写了什么好东西。。

_HML 发表于 2014-8-1 16:02:31

还要来一次

Bambo 发表于 2014-8-4 15:55:23

一直在hook，从未想过对抗，过来学习学习。

天空之城 发表于 2014-8-4 17:01:36

学习一下

马大哈 发表于 2014-8-4 21:42:00

支持一下!

as7400494 发表于 2014-8-5 00:04:46

看看。。。。。。。。。。。。

yhcyhy2010 发表于 2014-8-5 21:19:54

必须学习

大官人 发表于 2014-8-6 11:48:19

谢谢分享！！！

mlyknown 发表于 2014-8-7 20:43:30

学习学习

boss6540 发表于 2014-8-13 22:52:52

学习好东西

fasmot 发表于 2014-8-14 02:39:39

膜拜LZ对64位的研究

阿甘正传 发表于 2014-8-15 00:53:20

多谢分享

Termin 发表于 2014-8-15 13:20:11

NTDLL文件重载还是不错的

techminister 发表于 2014-8-17 09:13:59

这个好 ，来学习下

rkq1991 发表于 2014-8-17 11:50:51

支持一下。。是不是在自己的程序上抄上api的汇编码，调用后直接进内核

qq569582281 发表于 2014-8-25 21:38:08

哇猛料~~~~~~~

532151892 发表于 2014-8-27 21:02:20

看看 学习学习

suixin 发表于 2014-8-28 19:16:13

看看不用Reload怎么做

wangmin1944 发表于 2014-9-2 15:52:06

cghost 发表于 2014-9-3 17:00:08

好吧，继续学习~！

refund 发表于 2014-9-18 00:43:47

学习学习

查看完整版本: [原创]对付一切RING3 INLINE HOOK的绝招（非RELOAD DLL）