设为首页收藏本站
切换到窄版

 找回密码
 加入我们

QQ登录

只需一步,快速开始

搜索
紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛»论坛广场 置顶区 WINDOWS核心编程 [原创开源]WIN64上实现Ring 0 API Inline Hook
1234下一页
返回列表 发新帖
查看: 60485|回复: 98

[原创开源]WIN64上实现Ring 0 API Inline Hook

 火... [复制链接]
Tesla.Angela

857

主题

2632

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36130
发表于 2011-11-10 11:21:08 | 显示全部楼层 |阅读模式
简单来说,是函数的前12+N字节改为MOV+JMP+NOP,前12+N字节必须是M条完整的指令。。。
关于如何破解WIN64的内核保护机制,请移步:http://www.vbasm.com/thread-5893-1-1.html

接下来以Hook PspTerminateThreadByPointer为例子,给大家看看如何具体实现。
核心源码:
游客,如果您要查看本帖隐藏内容请回复

屏幕录像.rar

1.09 MB, 下载次数: 15338
我的一些与WINDOWS驱动开发相关的PoC(列表)
回复

举报

testid

12

主题

144

回帖

0

精华

铜牌会员

积分
281
发表于 2011-11-10 17:51:38 | 显示全部楼层
抢占沙发&广告位招租
回复

举报

teller306

0

主题

10

回帖

0

精华

初来乍到

积分
26
发表于 2011-11-11 11:11:50 | 显示全部楼层
{:soso_e134:}{:soso_e148:}
回复

举报

vitik

0

主题

5

回帖

0

精华

初来乍到

积分
27
发表于 2011-11-13 11:59:11 | 显示全部楼层
要学习好资源!!!!
回复

举报

yxd199512041

71

主题

350

回帖

2

精华

钻石会员

积分
4123
发表于 2011-11-13 17:43:22 | 显示全部楼层
有vb的调用,太好了
回复

举报

Tesla.Angela

857

主题

2632

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36130
 楼主| 发表于 2011-11-13 18:06:46 | 显示全部楼层
yxd199512041 发表于 2011-11-13 17:43
有vb的调用,太好了

唉,怎么就是围绕着个VB,在这VB程序只是一个驱动加载器而已!

点评

yxd199512041
所以我不是说有vb的调用嘛。 我一向懒得写代码。。。  发表于 2011-11-19 10:44
我的一些与WINDOWS驱动开发相关的PoC(列表)
回复

举报

huzhao23

0

主题

74

回帖

0

精华

银牌会员

积分
436
发表于 2011-11-14 21:46:40 | 显示全部楼层
权限太高,下载不了附件,有些郁闷啊
回复

举报

ithurricane
头像被屏蔽

3

主题

35

回帖

3

精华

铂金会员

积分
4902
发表于 2011-11-15 17:35:40 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

举报

Tesla.Angela

857

主题

2632

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36130
 楼主| 发表于 2011-11-15 23:11:04 | 显示全部楼层
ithurricane 发表于 2011-11-15 17:35
这个NX的,膜拜~~~

期待能用在你的PT X64里。
我的一些与WINDOWS驱动开发相关的PoC(列表)
回复

举报

ForXuān

2

主题

20

回帖

2

精华

钻石会员

积分
2866
QQ
发表于 2011-11-17 19:16:47 | 显示全部楼层
学习一下
回复

举报

楚轩

0

主题

1

回帖

0

精华

初来乍到

积分
6
发表于 2011-11-19 12:56:34 | 显示全部楼层
这个果断碉堡、围观之
回复

举报

xingc119

0

主题

3

回帖

0

精华

初来乍到

积分
4
发表于 2011-11-19 19:34:47 | 显示全部楼层
学习下
回复

举报

MagicFuzzX

0

主题

10

回帖

0

精华

铜牌会员

积分
52
发表于 2011-11-21 10:45:27 | 显示全部楼层
{:soso_e113:}看看

【最后编辑:Tesla.Angela;编辑原因:去掉一个过时的名词】
回复

举报

xueyao_zhjyl

0

主题

17

回帖

0

精华

铜牌会员

积分
104
发表于 2011-11-29 15:37:09 | 显示全部楼层
广告位招租
回复

举报

xueyao_zhjyl

0

主题

17

回帖

0

精华

铜牌会员

积分
104
发表于 2011-11-29 15:37:22 | 显示全部楼层
学习一下而已
回复

举报

zhw55885

0

主题

12

回帖

0

精华

初来乍到

积分
17
发表于 2011-12-14 12:21:39 | 显示全部楼层
下来看看
回复

举报

xmlpull

9

主题

117

回帖

0

精华

银牌会员

积分
422
发表于 2011-12-16 23:47:53 | 显示全部楼层
{:soso_e142:}顶!!! just love it.!
回复

举报

sWZ

0

主题

11

回帖

0

精华

初来乍到

积分
23
发表于 2012-1-10 08:19:52 | 显示全部楼层
嗯支持一下,学习膜拜NX代码
回复

举报

sWZ

0

主题

11

回帖

0

精华

初来乍到

积分
23
发表于 2012-1-10 08:27:39 | 显示全部楼层
看了一下,硬编码呀不通用呀,
还有指令Hook不稳定呀-没有判断是否Hook重入
还有指令截断没有解决呀--难道是找不到AMD64的反汇编引擎?
反杀没意义呀。很容易跳过呀你能Hook别人就能Bypass呀
ShellCode写得很硬编码~
总的来说就是照搬32位的代码几乎没啥改变。重入没解决这是一大问题
回复

举报

sWZ

0

主题

11

回帖

0

精华

初来乍到

积分
23
发表于 2012-1-10 08:28:09 | 显示全部楼层
看了一下,硬编码呀不通用呀,
还有指令Hook不稳定呀-没有判断是否Hook重入
还有指令截断没有解决呀--难道是找不到AMD64的反汇编引擎?
反杀没意义呀。很容易跳过呀你能Hook别人就能Bypass呀
ShellCode写得很硬编码~
总的来说就是照搬32位的代码几乎没啥改变。重入没解决这是一大问题
回复

举报

iloveqqp

0

主题

126

回帖

0

精华

铜牌会员

积分
226
发表于 2012-1-23 20:17:03 | 显示全部楼层
学习膜拜NX代码
回复

举报

wenh7788

17

主题

89

回帖

0

精华

铜牌会员

积分
250
发表于 2012-2-13 12:16:13 | 显示全部楼层
回复才可以看?
回复

举报

strangefay

0

主题

1

回帖

0

精华

初来乍到

积分
11
发表于 2012-2-21 08:23:34 | 显示全部楼层
good job
回复

举报

wenh7788

17

主题

89

回帖

0

精华

铜牌会员

积分
250
发表于 2012-3-1 09:42:57 | 显示全部楼层
微软推荐的方法进行进程保护

是什么?用的什么方法?
回复

举报

wenh7788

17

主题

89

回帖

0

精华

铜牌会员

积分
250
发表于 2012-3-1 09:47:39 | 显示全部楼层
老大不带这样玩的。我有206个水晶,我有权限下载了,可是扣完水晶之后就变成196个了,提示我没有权限下载了。{:soso_e105:}
回复

举报

renminbi

0

主题

55

回帖

0

精华

铜牌会员

积分
177
发表于 2012-3-4 11:59:19 | 显示全部楼层
正好在win64上做hook
回复

举报

iloveqqp

0

主题

126

回帖

0

精华

铜牌会员

积分
226
发表于 2012-3-7 12:01:03 | 显示全部楼层
在win64上做hook
回复

举报

2012ohyeah

6

主题

44

回帖

0

精华

铜牌会员

积分
96
发表于 2012-3-8 18:24:57 | 显示全部楼层
现在非常需要~~~~~~~~~~~
回复

举报

iloveqqp

0

主题

126

回帖

0

精华

铜牌会员

积分
226
发表于 2012-3-22 08:40:57 | 显示全部楼层
太牛了…
回复

举报

piao12

0

主题

3

回帖

0

精华

初来乍到

积分
11
发表于 2012-3-22 13:26:33 | 显示全部楼层
WIN64上实现Ring 0 API Inline Hook 求下载
回复

举报

魂牵梦萦

0

主题

6

回帖

0

精华

初来乍到

积分
12
发表于 2012-4-3 21:27:41 | 显示全部楼层
接下来以Hook PspTerminateThreadByPointer为例子,给大家看看如何具体实现。
回复

举报

rootsule

0

主题

19

回帖

0

精华

铜牌会员

积分
101
发表于 2012-4-6 22:53:30 | 显示全部楼层
谢谢,第一手资料
回复

举报

1234下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

快速回复 返回顶部 返回列表