查看: 6424|回复: 9
收起左侧

[讨论] 请高人dl123100来 ,求解XT下内核钩子的看法(判断方法)

[复制链接]
Aar0N
发表于 2011-4-12 21:22:23 | 显示全部楼层 |阅读模式
本帖最后由 Aar0N 于 2011-4-12 21:24 编辑

求解XT下内核钩子的看法,即判断方法,我百度了一下,发现这方面的知识都比较稀少,
也希望大牛们能为我们广大XueTr爱好者谱写通俗教程
(现在已经有隐藏SSDT hook的驱动了,但是它过不了内核钩子检测 ,更希望学会这种高层次的判断,制止病毒)
一下如图:

3df.jpg
t.JPG

3.jpg
dl123100
发表于 2011-4-12 21:42:39 | 显示全部楼层
本帖最后由 dl123100 于 2011-4-12 23:43 编辑

貌似开启了360的arp防火墙
目前XueTr的kernel hook检测,包括inline hook、eat hook、iat hook。
参考http://bbs.kafan.cn/thread-503793-1-1.html
kernel hook的判断和恢复:
1、 出现KeFlushCurrentTb、RtlPrefetchMemoryNonTemporal、KiSystemCallExitBranch等处的hook长度仅1字节可以忽略,这些是内核为CPU优化进行的自修改。
2、跳转在可信模块内部,对象劫持检测也无问题,可以排除。3、当前模块的hook最终跳转到相同模块,一般可能是XueTr模拟出现问题,这时可能需要用XueTr查看反汇编,比较麻烦。这里有一些例外,如Rustock.B会将hook跳转至内核内部资源节,XueTr虽然能检测,但是并没有特别提示。
4、usbxx、spsys、peauth的hook同样是自修改,不能恢复,恢复会导致蓝屏。
5、调转模块为未知的情况,排除安装微点外,一般有或多或少的灰色行为(另外安装可牛某些版本或者开启某些校验工具的环境下,有时会因资源不足出现此问题)。
6、网上的隐藏SSDT,一般就是指通过hook MSR寄存器、KiFastCallEntry、KiSystemService或者直接替换ethread.ServiceTable、KeServiceDescriptorTable、KeServiceDescriptorTableShadow的指向,然后在自己的函数里分发自定义的服务函数。
对前者,XueTr可以检测到hook,但是具体替换的函数是不可见的。对后者,目前不会检测。
7、还原驱动、反外-挂驱动、鬼影早期等驱动等尽量不要尝试恢复,容易蓝屏。
8、恢复后刷新仍然存在时,需要尝试通过进程->System线程、DPC定时器、内核工作线程、系统回调等处挂起线程,摘除某些回调。对微点通过Ring3反复与Ring0交互方式检查hook,恢复前需要结束微点进程,目前XueTr并没有对微点特殊处理,结束在Vista以下容易出现死锁。



评分

参与人数 4经验 +6 人气 +4 收起 理由
change_018 + 1 学习
找不到新用户名 + 1 学习
tawny2008 + 6 感谢解答:)
xiaoluo + 2 感谢提供分享

查看全部评分

童话小米饭
发表于 2011-4-12 22:02:35 | 显示全部楼层
我坐下来也看一下呵呵!
FreeEquFraT
发表于 2011-4-12 22:10:51 | 显示全部楼层
回复 2楼 dl123100 的帖子

看了了解一下,不过还是觉得太深奥,不明白啊
IllusionWing
发表于 2011-4-12 22:39:27 | 显示全部楼层
回复 2楼 dl123100 的帖子

重定向系统调用表的话是不是要先把所有其他进程挂起?
dl123100
发表于 2011-4-12 22:54:32 | 显示全部楼层
回复 4楼 FreeEquFraT 的帖子

只是换了一种说法 没按以前的说明
dl123100
发表于 2011-4-12 23:06:40 | 显示全部楼层
本帖最后由 dl123100 于 2011-4-12 23:20 编辑

回复 5楼 IllusionWing 的帖子

不需要 也做不到
真的挂起系统也挂了

多核下的同步 4字节及以下的hook 可以实现原子操作 然后刷新下缓存就行了
5字节及以上 无法保证完全的安全 一般映射Mdl、提升IRQL、投递DPC、YieldExecution等方法混合使用
当然某些大牛提出了像其它核投递IPI、获取任务调度锁、对hook地址下硬件断点之类的方法
tawny2008
发表于 2011-4-12 23:26:16 | 显示全部楼层
实用的xuetr判断使用方法,此帖限时高亮
Aar0N
 楼主| 发表于 2011-4-13 10:06:32 | 显示全部楼层
回复 2楼 dl123100 的帖子

多谢解答
FreeEquFraT
发表于 2011-4-13 12:28:06 | 显示全部楼层
回复 6楼 dl123100 的帖子

谢谢了,不过应该是我水平问题,我这水平确实就是看不懂了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 08:23 , Processed in 0.137448 second(s), 21 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表