绕过 win32k.sys KeUserModeCallback 的iat hook

chilun · 发表于 2011-11-21 21:13:05

关于绕过 win32k.sys KeUserModeCallback 的iat hook，，哪位哥哥，给点提示？？如果恢复 win32k.sys 的iat表，有检测的

Tesla.Angela · 发表于 2011-11-23 00:51:31

绕过iat hook貌似很简单，直接找到函数地址直接call即可。

chilun · 发表于 2011-11-23 19:49:36

哥，直接找到函数地址，直接call是，，找到 win32k.sys 的iat中KeUserModeCallback地址？还是找到KeUserModeCallback回调函数地址？

chilun · 发表于 2011-11-27 19:11:33

本帖最后由 chilun 于 2011-11-27 19:13 编辑

Tesla.Angela 2011-11-25 12:29
找到 win32k.sys 的iat中KeUserModeCallback地址

Tesla.Angela 2011-11-25 12:30
直接用MmGetSystemRoutineAddress

谢了哥，你的意思是说修改，win32k.sys 的iat中KeUserModeCallback的地址？？？但哪个驱动保护他有检测，不能直接改iat中的地址，要想办法绕过

Tesla.Angela · 发表于 2011-11-27 19:15:19

chilun 发表于 2011-11-27 19:11
Tesla.Angela 2011-11-25 12:29
找到 win32k.sys 的iat中KeUserModeCallback地址

你是要直接调用这个函数么？
如果是的话找到它的地址，直接call！

chilun · 发表于 2011-11-27 22:42:23

谢谢老大回，，
[*]ntoskrnl.exe:KeUserModeCallback[win32k.sys] [0x805A2CDE]->[0x88B1D260][C:\WINDOWS\System32\HProtect.sys] Iat 60 D2 B1 88 DE 2C 5A 80
这是xuetr查的，，这是一个驱动保护，，，我就是想绕过他

565710420 · 发表于 2011-12-12 15:17:13

chilun 发表于 2011-11-27 22:42
谢谢老大回，，
ntoskrnl.exe:KeUserModeCallback[win32k.sys] [0x805A2CDE]->[0x88B1D260][C:\WINDOW ...

这位仁兄解决了没。。。
我也走你这条路啊

chilun · 发表于 2011-12-12 21:04:00

chilun 发表于 2011-11-27 19:11
Tesla.Angela 2011-11-25 12:29
找到 win32k.sys 的iat中KeUserModeCallback地址

你是要直接调用这个函数么？
如果是的话找到它的地址，直接call！

哥哥，我不是想调用这个函数，，我只是想绕过这个iat hook

Tesla.Angela · 发表于 2011-12-12 23:00:57

chilun 发表于 2011-12-12 21:04
chilun 发表于 2011-11-27 19:11
Tesla.Angela 2011-11-25 12:29
找到 win32k.sys 的iat中KeUserMode ...

对不起，这个我不太清楚。。。

565710420 · 发表于 2011-12-12 23:25:22

chilun 发表于 2011-12-12 21:04
chilun 发表于 2011-11-27 19:11
Tesla.Angela 2011-11-25 12:29
找到 win32k.sys 的iat中KeUserMode ...

KeAttachProcess、KeStackAttachProcess你是不是IAT绕过的？

Tesla.Angela · 发表于 2011-12-14 01:05:54

565710420 发表于 2011-12-12 23:25
KeAttachProcess、KeStackAttachProcess你是不是IAT绕过的？

如果要读写内存的话，建议使用CR3大法！

账号		自动登录	找回密码
密码			加入我们