楼主: ExitProces
收起左侧

[原创文章] 记一次对<Ring3钩子保护自身>例程的分析,付解决DEMO和思路

  [复制链接]
ExitProces
 楼主| 发表于 2015-4-17 00:15:29 | 显示全部楼层
chornam 发表于 2015-4-16 13:08
楼主“对系统编程,内核编程,系统安全方向非常感兴趣”,我也是,我想楼主咱们以后可以做些交流。

同道中人可以互加一下好友
ttredd
发表于 2015-4-17 13:06:12 | 显示全部楼层
技术贴支持下
ExitProces
 楼主| 发表于 2015-4-17 16:09:33 | 显示全部楼层

感谢支持
丝雨飘雪
发表于 2015-4-17 17:33:06 | 显示全部楼层
ExitProces 发表于 2015-4-15 17:16
高大上不敢说低调低调

话说你也参加ACM吗?今年5月的广东ACM省赛我去打酱油,遇得上你吗

不好意思,上班狗
jinfu
发表于 2015-4-27 10:01:55 | 显示全部楼层
WTool已秒
ExitProces
 楼主| 发表于 2015-4-27 15:27:03 | 显示全部楼层

jinfu 你好,

来,试试秒这个 R3 Power Process Protected

http://bbs.kafan.cn/thread-1819441-1-1.html
蚯蚓翔龙
发表于 2015-5-30 00:04:24 | 显示全部楼层
最近想写个插件防止R3全局钩子的,就又看这贴了,刚接触这种钩子不久,表示LdrLoadDll不会用
ExitProces
 楼主| 发表于 2015-5-30 18:49:18 | 显示全部楼层
蚯蚓翔龙 发表于 2015-5-30 00:04
最近想写个插件防止R3全局钩子的,就又看这贴了,刚接触这种钩子不久,表示LdrLoadDll不会用


用LdrLoadDll不难,Hook它就难

如果有兴趣,可以加Q聊
蚯蚓翔龙
发表于 2015-5-30 22:37:15 | 显示全部楼层
ExitProces 发表于 2015-5-30 18:49
用LdrLoadDll不难,Hook它就难

如果有兴趣,可以加Q聊

HOOK这个LdrLoadDll也不难吧,这个只是我对这个在LoadLibraryExW中转LdrLoadDll里面时候第一个参数还不是很了解,Hook之后遇到要放行的模块的话也不用UnHook,加QQ聊怕会影响你
ExitProces
 楼主| 发表于 2015-5-30 22:42:40 | 显示全部楼层
本帖最后由 ExitProces 于 2015-5-30 22:48 编辑
蚯蚓翔龙 发表于 2015-5-30 22:37
HOOK这个LdrLoadDll也不难吧,这个只是我对这个在LoadLibraryExW中转LdrLoadDll里面时候第一个参数还不是 ...


我知道随随便便下个Hook Hook掉LdrLoadDll很简单.但是,在LoadLibraryExW中转LdrLoadDll会涉及到参数检查和Ascii和Unicode的问题.LdrLoadDll以下直至内核SSDT层不再有参数检查,不会再返回失败.这样的后果是一旦有任何一点的未知错误,会导致直接崩溃.至于你信不信,实践是检验真理的唯一标准.
Hook是需要责任心的,不是Hook了就万事大吉的.崩不崩溃是一个简单的问题,什么时候崩溃是一个艰难的问题.

至于"LoadLibraryExW中转LdrLoadDll里面时候第一个参数"
这是我写的易模块的源码,希望易语言和主流语言之间的隔阂和鸿沟不会给你读这段代码造成障碍
捕获.JPG
图中四个红色字体的是四个NtdllAPI,可以自己去寻找相关的函数原型
希望可以帮到你
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 15:17 , Processed in 0.094932 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表