收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 国外杀毒软件 新型ntdll钩子绕过技术
123下一页
返回列表 发新帖
楼主: 00006666
 收起左侧

[分享] 新型ntdll钩子绕过技术

[复制链接]
驭龙
发表于 前天 14:44 来自手机 | 显示全部楼层
隔山打空气 发表于 2026-1-11 14:14
不但敢上 而且大量独占 只是有些默认不启用 很多人觉得B端本身就要求稳 C端可以做的很激进 结果BD个人版 ...

按理说企业版都应该是稳定版才是王道,BD这种真的不多,不过个人版啥都没有也是挺无语的。

话说,重载ntdll来绕过hook的方法好像已经很普遍了吧,听说这东西也不难防?我对这方面了解不多,前些年没怎么关注安全软件导致我知识断层了,别见笑
回复

举报

00006666
 楼主| 发表于 前天 15:43 | 显示全部楼层
本帖最后由 00006666 于 2026-1-11 15:48 编辑
驭龙 发表于 2026-1-11 14:44
按理说企业版都应该是稳定版才是王道,BD这种真的不多,不过个人版啥都没有也是挺无语的。

话说,重载 ...

重载ntdll是一个大类,有很多种实现方案,这个文章里面这种跟别的也有点不一样,这个文章说的是一种针对性的重载,具体内容可以参考文章里面写的。
回复

举报

00006666
 楼主| 发表于 前天 16:03 | 显示全部楼层
本帖最后由 00006666 于 2026-1-11 16:05 编辑
隔山打空气 发表于 2026-1-11 14:14
不但敢上 而且大量独占 只是有些默认不启用 很多人觉得B端本身就要求稳 C端可以做的很激进 结果BD个人版 ...

ETW-TI跟ETW HOOK(InfinityHook)还是有区别的,后者属于一种漏洞,有可能会被微软拉黑的,比如下发个人客户端说不定哪天驱动就被微软拉黑,所以这个问题还是要看BD他自身是怎么实现他所谓的内核API监控。

评分

参与人数 1人气 +2 收起 理由
隔山打空气 + 2 没事 360还在用(

查看全部评分

回复

举报

隔山打空气
发表于 前天 16:45 | 显示全部楼层
驭龙 发表于 2026-1-11 14:44
按理说企业版都应该是稳定版才是王道,BD这种真的不多,不过个人版啥都没有也是挺无语的。

话说,重载 ...

这个技术确实非常普遍 也不难防 但绕过三环钩(可以推广到其他用户层数据源)的技术非常多而且对抗起来往往是很恶心的 也未必能检测完整 最佳方案还是尽可能使用内核钩/内核数据源以减少影响 对于需要三环钩的那部分尽量做好对钩子的完整性保护外加拆钩检测方案 可以检测hook的那一段内存被覆写 也可以在内核数据源的配合下检测三环钩本应钩到的但实际只有内核接到了底层函数的调用信息 这就可以说明钩子被绕过了
回复

举报

驭龙
发表于 前天 19:27 | 显示全部楼层
隔山打空气 发表于 2026-1-11 16:45
这个技术确实非常普遍 也不难防 但绕过三环钩(可以推广到其他用户层数据源)的技术非常多而且对抗起来往 ...

说真的,我一直喜欢驱动强度高的产品,有的产品驱动就几百KB,能实现多少内核功能,里面的函数都没多少,所以我一直喜欢那种加起来有几MB驱动的产品,当然体积不是一切,内部函数也很重要,但体积大的自然函数多,体积小的话,怎么可能实现各种功能。

现在的问题是微软抽风的开始玩收紧内核权限,这真的让安全软件有一点难混了,不过到时候各种非公开技术肯定遍地开花了,就是不知稳定性,感觉微软真的是瞎折腾
回复

举报

驭龙
发表于 前天 19:31 | 显示全部楼层
00006666 发表于 2026-1-11 15:43
重载ntdll是一个大类,有很多种实现方案,这个文章里面这种跟别的也有点不一样,这个文章说的是一种针对 ...

刚刚看了一下,确实是有不同的地方,不过本质上还是重载NTDLL类的技术,算得上是迭代版本了。

感觉现在也就俄系的喜欢搞驱动对抗的技术,很多厂商直接躺平,放弃驱动级的对抗了,比如说McAfee个人版,真的是惨不忍睹,包括MD也是,现在都删除TDT技术了
回复

举报

隔山打空气
发表于 前天 19:42 | 显示全部楼层
驭龙 发表于 2026-1-11 19:31
刚刚看了一下,确实是有不同的地方,不过本质上还是重载NTDLL类的技术,算得上是迭代版本了。

感觉现 ...

至少大肉鸡和鸭鸭提到的那个Hook IRP方案好几家B端杀软都有了 已知的就有S1 BEST 然后CS和PA疑似有 不确定 对付发IRP给漏洞驱调用ZwTerminateProcess终止进程的技术都可以通防了 现在大部分挖掘出来的BYOVD都是这种利用方案 还是较少有利用任意读写的 目前做到这里已经相当够用了(
回复

举报

驭龙
发表于 前天 20:47 来自手机 | 显示全部楼层
隔山打空气 发表于 2026-1-11 19:42
至少大肉鸡和鸭鸭提到的那个Hook IRP方案好几家B端杀软都有了 已知的就有S1 BEST 然后CS和PA疑似有 不确 ...

这些企业级的产品,我都没有体验过,所以才不是很了解。

现在感觉个人版在这方面真的有一点惨啊,个人版好像防这方面都不太好
回复

举报

Rukia
发表于 前天 21:17 | 显示全部楼层
驭龙 发表于 2026-1-11 20:47
这些企业级的产品,我都没有体验过,所以才不是很了解。

现在感觉个人版在这方面真的有一点惨啊,个人 ...

卡巴斯基 即使是个人版也能防漏洞驱动。
不懂技术,我印象中也是Hook IRP方案(论坛的帖子了解到的)。
回复

举报

00006666
 楼主| 发表于 前天 21:33 | 显示全部楼层
Rukia 发表于 2026-1-11 21:17
卡巴斯基 即使是个人版也能防漏洞驱动。
不懂技术,我印象中也是Hook IRP方案(论坛的帖子了解到的)。

国外杀软能这样做是因为国外的系统环境要更单纯,没有那么多乱七八糟的驱动,放到国内很多浏览器甚至是办公软件都有各种乱七八糟的驱动,你用这种方法一不小心就出问题。
回复

举报

下一页 »
123下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2026-1-13 23:35 , Processed in 0.067251 second(s), 3 queries , Redis On.

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表