设为首页收藏本站

切换到窄版

紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛»论坛广场 › 置顶区 › WINDOWS核心编程 › [半原创]恢复Kernel Inline Hook（第二季）

12 / 2 页下一页

返回列表发新帖

查看: 22519|回复: 40

[半原创]恢复Kernel Inline Hook（第二季）

火... [复制链接]

857 主题	2632 回帖	2 精华

此生无悔入华夏，　　长居日耳曼尼亚。　　

积分: 36130

发表于 2010-11-23 12:27:54 | 显示全部楼层 |阅读模式

啥也不解释了，直接上代码。这次做件好事，附件不设置任何权限。
代码内含：
1.Ring3下查找ntosxxxx.exe导出函数的地址
2.Ring3下查找ntosxxxx.exe未导出函数的地址（只是举例，实际应用时需要灵活变通）
3.重定位内核文件获得正确的原始机器码
4.恢复Kernel Inline Hook

恢复指定内核函数的Inline Hook.rar

66.12 KB, 阅读权限: 10, 下载次数: 87

售价: 10 水晶币 [记录]

我的一些与WINDOWS驱动开发相关的PoC（列表）

回复

857 主题	2632 回帖	2 精华

此生无悔入华夏，　　长居日耳曼尼亚。　　

积分: 36130

楼主| 发表于 2010-11-23 12:30:41 | 显示全部楼层

第一季：http://www.m5home.com/bbs/forum.php?mod=viewthread&tid=3752
另外，由于DLL是用VS2010编译的（很大），所以把工程文件删除了，请大家自行组建DLL的工程文件。
个人觉得用Code::Blocks编译是个不错的选择。

我的一些与WINDOWS驱动开发相关的PoC（列表）

回复 

90 主题	473 回帖	2 精华

积分: 3261

发表于 2010-11-23 20:04:24 | 显示全部楼层

下来看看

回复 

90 主题	473 回帖	2 精华

积分: 3261

发表于 2010-11-23 20:53:48 | 显示全部楼层

大概介绍一下怎么用这个软件

回复 

Lgc小孩修电脑

5 主题	47 回帖	0 精华

积分: 210

发表于 2010-11-23 22:43:43 | 显示全部楼层

回复 ok100fen 的帖子

把英文翻译下不就得了？ address地址 ,就是0xQQQQQQQ
其他自己翻译了

回复 

Lgc小孩修电脑

5 主题	47 回帖	0 精华

积分: 210

发表于 2010-11-23 22:44:31 | 显示全部楼层

我发现我还是买不起{:3_59:}

回复 

90 主题	473 回帖	2 精华

积分: 3261

发表于 2010-11-23 22:55:55 | 显示全部楼层

关键我不知道有什么用处

哈哈

回复 

857 主题	2632 回帖	2 精华

此生无悔入华夏，　　长居日耳曼尼亚。　　

积分: 36130

楼主| 发表于 2010-11-24 09:45:09 | 显示全部楼层

回复 Lgc小孩修电脑的帖子

共享一点你的源码就买得起了

我的一些与WINDOWS驱动开发相关的PoC（列表）

回复 

90 主题	473 回帖	2 精华

积分: 3261

发表于 2010-11-25 13:16:41 | 显示全部楼层

最下面的两个按钮有什么用？

还有，得到的地址是原来的5个字节，还是被hook后的5个字节？

得到了那5个字节有什么用呢？

回复 

857 主题	2632 回帖	2 精华

此生无悔入华夏，　　长居日耳曼尼亚。　　

积分: 36130

楼主| 发表于 2010-11-25 13:59:35 | 显示全部楼层

回复 ok100fen 的帖子

还有，得到的地址是原来的5个字节，还是被hook后的5个字节？

这句是什么话？？？？:L

我的一些与WINDOWS驱动开发相关的PoC（列表）

回复 

857 主题	2632 回帖	2 精华

此生无悔入华夏，　　长居日耳曼尼亚。　　

积分: 36130

楼主| 发表于 2010-11-25 14:00:36 | 显示全部楼层

回复 ok100fen 的帖子

最下面的两个按钮有什么用？

看源码啊。。。

我的一些与WINDOWS驱动开发相关的PoC（列表）

回复 

90 主题	473 回帖	2 精华

积分: 3261

发表于 2010-11-25 17:46:18 | 显示全部楼层

本帖最后由 ok100fen 于 2010-11-25 17:48 编辑

谁知道下面的那两个按钮的作用？

也就是说按下去有什么后果？

回复 

本网站最菜的人该用户已被删除	发表于 2010-11-27 11:43:18 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
本网站最菜的人该用户已被删除
	回复举报

857 主题	2632 回帖	2 精华

此生无悔入华夏，　　长居日耳曼尼亚。　　

积分: 36130

楼主| 发表于 2010-11-28 14:00:12 | 显示全部楼层

回复 rqqeq 的帖子

不用HOOK，VB一行代码就能使我的程序失效（使LoadLibrary失败）。
简单的独占文件即可。
要对抗这种方式，只能自己实现IrpCreateFile和IrpReadFile来读取文件。

我的一些与WINDOWS驱动开发相关的PoC（列表）

回复 

0 主题	8 回帖	0 精华

积分: 11

发表于 2011-2-10 18:39:21 | 显示全部楼层

謝謝分享

回复 

1 主题	14 回帖	0 精华

积分: 43

发表于 2012-2-19 13:56:06 | 显示全部楼层

哈东西一定要看的而且还顶的

回复 

2 主题	20 回帖	0 精华

积分: 133

发表于 2012-2-23 21:13:16 | 显示全部楼层

买不起啊，55555

回复 

1 主题	18 回帖	0 精华

积分: 29

发表于 2012-2-24 04:44:42 | 显示全部楼层

好东西啊，没钱钱。。{:soso_e101:}

回复 

0 主题	6 回帖	0 精华

积分: 15

发表于 2012-2-29 21:38:50 | 显示全部楼层

水晶太少了

回复 

0 主题	6 回帖	0 精华

积分: 15

发表于 2012-2-29 21:39:13 | 显示全部楼层

继续回复赚水晶

回复 

0 主题	6 回帖	0 精华

积分: 15

发表于 2012-2-29 21:39:30 | 显示全部楼层

继续回复赚水晶

回复 

0 主题	6 回帖	0 精华

积分: 15

发表于 2012-2-29 21:39:50 | 显示全部楼层

好东西啊，没钱钱。。

回复 

0 主题	6 回帖	0 精华

积分: 15

发表于 2012-2-29 21:40:10 | 显示全部楼层

继续回复赚水晶

回复 

0 主题	6 回帖	0 精华

积分: 15

发表于 2012-2-29 21:40:32 | 显示全部楼层

继续回复赚水晶

评分

参与人数 1	水晶币 +1	收起理由
Tesla.Angela	+ 1	要是我把售价调到100，那你要回复多少贴？.

查看全部评分

回复 

0 主题	13 回帖	0 精华

积分: 19

发表于 2012-3-1 00:15:36 | 显示全部楼层

下载看下

回复 

0 主题	13 回帖	0 精华

积分: 19

发表于 2012-3-1 00:31:34 | 显示全部楼层

{:soso_e178:}

回复 

0 主题	11 回帖	0 精华

积分: 22

发表于 2012-3-17 19:20:35 | 显示全部楼层

感谢分享啊

回复 

0 主题	11 回帖	0 精华

积分: 22

发表于 2012-3-17 20:08:49 | 显示全部楼层

我想要这个啊

回复 

0 主题	11 回帖	0 精华

积分: 22

发表于 2012-3-17 20:25:58 | 显示全部楼层

感谢楼主分享啊

回复 

0 主题	92 回帖	0 精华

积分: 166

发表于 2012-3-17 20:55:43 | 显示全部楼层

老大的一定要顶~{:soso_e104:}

回复 

0 主题	30 回帖	0 精华

积分: 225

发表于 2012-4-27 23:37:08 | 显示全部楼层

本来想瞧瞧源码的，发现太贵，我买不起啊，只好退缩了，等哪天我技术高了，我也弄个程序卖给你们，赚你们水晶，哈哈

回复 

0 主题	63 回帖	0 精华

积分: 169

发表于 2012-5-30 21:23:04 | 显示全部楼层

好贵呀，但为了学习还是要买

回复 

12 / 2 页下一页

返回列表发新帖

快速回复 返回顶部 返回列表