[原创]对付一切RING3 INLINE HOOK的绝招（非RELOAD DLL）

Tesla.Angela · 发表于 2014-8-1 01:43:42

很多年前我在《黑客防线》上发过一篇文章，叫做“WIN64上实现RING3级别的HIPS”，其实HIPS不可能存在RING3级别的，因为RING3的INLINE HOOK是毫无用处的。

先请大家先看看NTDLL32对NATIVE API的实现（NTDLL64类似）：

WIN2003X64
==========
ntdll32!ZwOpenProcess:
00000000`7d61cb43 b823000000 mov eax,23h
00000000`7d61cb48 33c9 xor ecx,ecx
00000000`7d61cb4a 8d542404 lea edx,[rsp+4]
00000000`7d61cb4e 64ff15c0000000 call qword ptr fs:[ntdll32!NtReadFileScatter+0x12 (00000000`7d61cc15)]
00000000`7d61cb55 c21000 ret 10h
00000000`7d61cb58 8d4900 lea ecx,[rcx]
ntdll32!NtSetInformationFile:
00000000`7d61cb5b b824000000 mov eax,24h
00000000`7d61cb60 33c9 xor ecx,ecx
00000000`7d61cb62 8d542404 lea edx,[rsp+4]
00000000`7d61cb66 64ff15c0000000 call qword ptr fs:[ntdll32!ZwOpenThreadTokenEx+0x12 (00000000`7d61cc2d)]
00000000`7d61cb6d c21400 ret 14h
00000000`7d61cb70 8d4900 lea ecx,[rcx]
WIN7X64
=======
ntdll32!ZwOpenProcess:
00000000`7765fc10 b823000000 mov eax,23h
00000000`7765fc15 33c9 xor ecx,ecx
00000000`7765fc17 8d542404 lea edx,[rsp+4]
00000000`7765fc1b 64ff15c0000000 call qword ptr fs:[ntdll32!NtReadFileScatter+0xe (00000000`7765fce2)]
00000000`7765fc22 83c404 add esp,4
00000000`7765fc25 c21000 ret 10h
ntdll32!ZwSetInformationFile:
00000000`7765fc28 b824000000 mov eax,24h
00000000`7765fc2d 33c9 xor ecx,ecx
00000000`7765fc2f 8d542404 lea edx,[rsp+4]
00000000`7765fc33 64ff15c0000000 call qword ptr fs:[ntdll32!ZwOpenThreadTokenEx+0xa (00000000`7765fcfa)]
00000000`7765fc3a 83c404 add esp,4
00000000`7765fc3d c21400 ret 14h
WIN8X64
=======
ntdll!NtOpenProcess:
77aa0fbc b824000000 mov eax,24h
77aa0fc1 64ff15c0000000 call dword ptr fs:[0C0h]
77aa0fc8 c21000 ret 10h
77aa0fcb 90 nop
ntdll!ZwSetInformationFile:
77aa0fcc b825000000 mov eax,25h
77aa0fd1 64ff15c0000000 call dword ptr fs:[0C0h]
77aa0fd8 c21400 ret 14h
77aa0fdb 90 nop
WIN8.1X64
=========
ntdll!ZwOpenProcess:
7710b850 b825000000 mov eax,25h
7710b855 64ff15c0000000 call dword ptr fs:[0C0h]
7710b85c c21000 ret 10h
7710b85f 90 nop
ntdll!NtSetInformationFile:
7710b860 b826000000 mov eax,26h
7710b865 64ff15c0000000 call dword ptr fs:[0C0h]
7710b86c c21400 ret 14h
7710b86f 90 nop

复制代码

下面说说怎么对付RING3的INLINE HOOK：

游客，如果您要查看本帖隐藏内容请回复

rice19 · 发表于 2014-8-1 02:06:25

围观学习:)

网游天下 · 发表于 2014-8-1 02:07:21

必须学习

dumingqiao · 发表于 2014-8-1 02:10:28

学习了哈哈

XSS · 发表于 2014-8-1 03:22:44

提示: 作者被禁止或删除内容自动屏蔽

sxniao · 发表于 2014-8-1 10:15:51

看一下这个

sanyoo · 发表于 2014-8-1 11:16:33

回复一个学习学习

cychk · 发表于 2014-8-1 11:20:42

看看

想太多 · 发表于 2014-8-1 12:06:35

看起来貌似有用的东西啊

想太多 · 发表于 2014-8-1 12:06:40

看起来貌似有用的东西啊

想太多 · 发表于 2014-8-1 12:07:09

还需要回复一次啊？

_HML · 发表于 2014-8-1 16:01:39

看看老大又写了什么好东西。。

_HML · 发表于 2014-8-1 16:02:31

还要来一次

Bambo · 发表于 2014-8-4 15:55:23

一直在hook，从未想过对抗，过来学习学习。

天空之城 · 发表于 2014-8-4 17:01:36

学习一下

马大哈 · 发表于 2014-8-4 21:42:00

支持一下!

as7400494 · 发表于 2014-8-5 00:04:46

看看。。。。。。。。。。。。

yhcyhy2010 · 发表于 2014-8-5 21:19:54

必须学习

大官人 · 发表于 2014-8-6 11:48:19

谢谢分享！！！

mlyknown · 发表于 2014-8-7 20:43:30

学习学习

boss6540 · 发表于 2014-8-13 22:52:52

学习好东西

fasmot · 发表于 2014-8-14 02:39:39

膜拜LZ对64位的研究

阿甘正传 · 发表于 2014-8-15 00:53:20

多谢分享

Termin · 发表于 2014-8-15 13:20:11

NTDLL文件重载还是不错的

techminister · 发表于 2014-8-17 09:13:59

这个好，来学习下

rkq1991 · 发表于 2014-8-17 11:50:51

支持一下。。是不是在自己的程序上抄上api的汇编码，调用后直接进内核

qq569582281 · 发表于 2014-8-25 21:38:08

哇猛料~~~~~~~

532151892 · 发表于 2014-8-27 21:02:20

看看学习学习

suixin · 发表于 2014-8-28 19:16:13

看看不用Reload怎么做

wangmin1944 · 发表于 2014-9-2 15:52:06

提示: 作者被禁止或删除内容自动屏蔽

cghost · 发表于 2014-9-3 17:00:08

好吧，继续学习~！

refund · 发表于 2014-9-18 00:43:47

学习学习

账号		自动登录	找回密码
密码			加入我们

[原创]对付一切RING3 INLINE HOOK的绝招（非RELOAD DLL）

论坛牛人

贡献奖

关注奖

最佳版主

进步奖

人气王

疯狂作品奖

精英奖

赞助论坛勋章

乐于助人勋章