[半原创]Hook KiFastCallEntry完整代码（For XP/2K3/WIN7）

franklin1988 · 发表于 2011-5-8 06:13:47

我是来膜拜的

cyy201 · 发表于 2011-5-17 14:53:04

程序经常被360杀掉，看看这个能不能保护一下，谢谢了

强烈B4 360，垃圾

watchsky · 发表于 2011-12-14 12:39:37

WIN7下为何不能废除360保护呢？我按照第二个文件里的win7特征码修改了第三个文件，但是没用！

watchsky · 发表于 2011-12-14 15:08:56

本帖最后由 watchsky 于 2011-12-14 17:01 编辑

我调试了一下，大概知道原因了，我的win7系统的代码是
nt!KiFastCallEntry+0xd9:
83c843d9 8b570c       mov    edx,dword ptr [edi+0Ch]
83c843dc 8b3f          mov    edi,dword ptr [edi]
83c843de 8a0c10       mov    cl,byte ptr [eax+edx]
83c843e1 8b1487       mov    edx,dword ptr [edi+eax*4]
83c843e4 2be1          sub    esp,ecx
83c843e6 c1e902       shr    ecx,2
83c843e9 8bfc          mov    edi,esp
83c843eb 3b351c97da83 cmp    esi,dword ptr [nt!MmUserProbeAddress (83da971c)]

以下2条指令与XP下相反
83c843dc 8b3f          mov    edi,dword ptr [edi]
83c843de 8a0c10       mov    cl,byte ptr [eax+edx]
xp的汇编指令可以参看

http://bbs.myhack58.com/simple/index.php?t242323.html

唉，真是麻烦啊

索性把jmp的inline hook 改成6字节的，调整相应的hook代码和FakeKiFastCallEntry()，注意6字节的jmp inline hook第一位填成NOP，代码就能在win7下搞掉360了。嘿嘿，测试通过，多谢大牛公开360细节及源码。

其实把inline hook的位置多往前移动几个字节就可以实现版本的兼容了，不过我们就得操作ssdt表了。另外把6字节的jmp hook根据版本进行填充也可以实现系统的兼容。以上有点麻烦，有谁改好了给我发一版啊。

testid · 发表于 2011-12-14 21:58:46

本帖最后由 testid 于 2011-12-14 21:59 编辑

watchsky 发表于 2011-12-14 15:08
我调试了一下，大概知道原因了，我的win7系统的代码是
nt!KiFastCallEntry+0xd9:
83c843d9 8b570c ...

厉害，我向你学习！

wu0you · 发表于 2011-12-20 16:51:39

顶了重载SSDT表谢谢楼主共享

hapi · 发表于 2012-6-7 15:33:47

这个，看着不错

wjshome · 发表于 2012-6-12 10:24:24

这个很强悍，支持。

gfw · 发表于 2012-6-13 01:10:16

现在还有效吗？

cxjnet · 发表于 2012-7-27 00:34:02

非常感谢提供

148030434 · 发表于 2013-1-16 14:54:52

感谢！！！！

kk1025 · 发表于 2013-4-7 15:36:24

感謝樓主

Tesla.Angela · 发表于 2013-7-14 01:45:14

这份代码是两年前写的，不知道在全补丁的WIN7上会不会蓝屏，大家可以试试。

qqlinhai · 发表于 2013-8-21 12:22:11

谢谢老大分享，话说这论坛这么多资源，为什么没什么人气呢？

Tesla.Angela · 发表于 2013-8-23 00:14:51

qqlinhai 发表于 2013-8-21 12:22
谢谢老大分享，话说这论坛这么多资源，为什么没什么人气呢？

因为很多人都把这里当成下载站了。

upring · 发表于 2015-5-31 13:56:19

好代码需要支持

账号		自动登录	找回密码
密码			加入我们