[半原创]Hook KiFastCallEntry完整代码（For XP/2K3/WIN7）

Tesla.Angela · 发表于 2010-10-22 10:59:40

简单的说，这是一个深度hook的完整示例。
压缩包里有三个源码：
1.XP/2K3下Hook KiFastCallEntry实现进程保护
2.Win7下Hook KiFastCallEntry实现进程保护（vista/2k8没测试）
3.XP下Hook KiFastCallEntry实现废除360自我保护和主动防御

Tesla.Angela · 发表于 2010-10-22 11:00:54

本帖最后由 Tesla.Angela 于 2010-10-22 11:02 编辑

沙发自己坐
======
补充：
没有下载权限的朋友请看这里：http://www.m5home.com/bbs/thread-4478-1-1.html

xiaoly99 · 发表于 2010-10-22 17:53:32

1.又拿出来了,早知道就不拿UG和你换了......2.以后我都会等着你的......
3.还好有更强的没换......
4.最近做了个HIPS,最近会放BIN......

Tesla.Angela · 发表于 2010-10-22 18:03:00

本帖最后由 Tesla.Angela 于 2010-10-22 18:10 编辑

回复 3# xiaoly99

汗。。。
驱动的时效问题很重要。。。
这个我起码是一个月前给你的。。。

显示全部楼层 · 发表于 2010-10-22 22:15:24

提示: 作者被禁止或删除内容自动屏蔽

Tesla.Angela · 发表于 2010-10-22 23:16:34

回复 7# 本网站最菜的人

对付360小意思啦，这个不过是娱乐而已。
某个“恶人”在QQ上给我发了一大堆截图，Ring3注入360并将其K掉。。。

ok100fen · 发表于 2010-10-22 23:46:07

不错

顶一下

huzhao23 · 发表于 2010-10-23 03:38:52

都是牛人啊，谢谢，膜拜啦

huzhao23 · 发表于 2010-10-27 00:13:13

o(︶︿︶)o 唉，权限还是不够啊

sytexboy · 发表于 2010-10-27 09:42:03

Tesla.Angela · 发表于 2010-10-29 10:50:31

回复 16# sunfrank

R3->R0的关口

Tesla.Angela · 发表于 2010-10-29 10:50:54

回复 17# sunfrank

在有SSDT HOOK的环境下使用会失效

oopww · 发表于 2010-11-6 10:10:32

原来回复只加热心值。。。。！

huzhao23 · 发表于 2010-11-14 23:36:29

啥时候能有下载权限啊

Tesla.Angela · 发表于 2010-11-15 00:49:13

回复 huzhao23 的帖子

贡献四个自己的珍贵源码，马上就能下载了。

乔丹二世 · 发表于 2010-12-6 17:49:43

sunfrank这么卑鄙啊~~
防sunfrank，反偷代码，大家有责+1

1haoyu · 发表于 2010-12-10 22:53:36

乔丹二世发表于 2010-12-6 17:49
sunfrank这么卑鄙啊~~
防sunfrank，反偷代码，大家有责+1

原来哥哥这么仇恨 sunfrank,是这么一回事！
我加入！

Tesla.Angela · 发表于 2010-12-22 23:48:40

回复 f74107 的帖子

我就是这么做的

Tesla.Angela · 发表于 2010-12-25 17:33:55

回复 f74107 的帖子

谢谢提醒。

不过这份代码最大的问题不是你说的那个，而是遇到SSDT HOOK我的钩子就失效了！！！

zzage · 发表于 2011-1-4 10:53:13

....有点眼熟

Tesla.Angela · 发表于 2011-1-4 11:55:48

回复 zzage 的帖子

核心代码是朋友给我的，我做了少许修改。

wode200910 · 发表于 2011-1-4 21:09:17

郁闷，为什么250不开个线程检测一下呢

hacknone · 发表于 2011-5-4 22:23:02

谢谢，这几天来学习一下...

franklin1988 · 发表于 2011-5-8 06:13:47

我是来膜拜的

cyy201 · 发表于 2011-5-17 14:53:04

程序经常被360杀掉，看看这个能不能保护一下，谢谢了

强烈B4 360，垃圾

watchsky · 发表于 2011-12-14 12:39:37

WIN7下为何不能废除360保护呢？我按照第二个文件里的win7特征码修改了第三个文件，但是没用！

watchsky · 发表于 2011-12-14 15:08:56

本帖最后由 watchsky 于 2011-12-14 17:01 编辑

我调试了一下，大概知道原因了，我的win7系统的代码是
nt!KiFastCallEntry+0xd9:
83c843d9 8b570c       mov    edx,dword ptr [edi+0Ch]
83c843dc 8b3f          mov    edi,dword ptr [edi]
83c843de 8a0c10       mov    cl,byte ptr [eax+edx]
83c843e1 8b1487       mov    edx,dword ptr [edi+eax*4]
83c843e4 2be1          sub    esp,ecx
83c843e6 c1e902       shr    ecx,2
83c843e9 8bfc          mov    edi,esp
83c843eb 3b351c97da83 cmp    esi,dword ptr [nt!MmUserProbeAddress (83da971c)]

以下2条指令与XP下相反
83c843dc 8b3f          mov    edi,dword ptr [edi]
83c843de 8a0c10       mov    cl,byte ptr [eax+edx]
xp的汇编指令可以参看

http://bbs.myhack58.com/simple/index.php?t242323.html

唉，真是麻烦啊

索性把jmp的inline hook 改成6字节的，调整相应的hook代码和FakeKiFastCallEntry()，注意6字节的jmp inline hook第一位填成NOP，代码就能在win7下搞掉360了。嘿嘿，测试通过，多谢大牛公开360细节及源码。

其实把inline hook的位置多往前移动几个字节就可以实现版本的兼容了，不过我们就得操作ssdt表了。另外把6字节的jmp hook根据版本进行填充也可以实现系统的兼容。以上有点麻烦，有谁改好了给我发一版啊。

testid · 发表于 2011-12-14 21:58:46

本帖最后由 testid 于 2011-12-14 21:59 编辑

watchsky 发表于 2011-12-14 15:08
我调试了一下，大概知道原因了，我的win7系统的代码是
nt!KiFastCallEntry+0xd9:
83c843d9 8b570c ...

厉害，我向你学习！

wu0you · 发表于 2011-12-20 16:51:39

顶了重载SSDT表谢谢楼主共享

hapi · 发表于 2012-6-7 15:33:47

这个，看着不错

wjshome · 发表于 2012-6-12 10:24:24

这个很强悍，支持。

gfw · 发表于 2012-6-13 01:10:16

现在还有效吗？

账号		自动登录	找回密码
密码			加入我们

本网站最菜的人该用户已被删除	发表于 2010-10-22 22:15:24 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
本网站最菜的人该用户已被删除
	回复举报