分类: |
  • 1

360保险箱反注入分析

分析版本:360保险箱v3.0正式版(2009.12.1下载)
分析工具:syser debugger、ida
使用平台:XP sp2虚拟机
 
启动的注入进程在进入r0后总会执行到内核态函数KeUsermodeCallback,而DLL

查看更多...

Tags: 导 数 inline hook 汇编 vc

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 10754

inline hook NtQuerySystemInformation 保护进程

      inline hook & NtQuerySystemInformation & ring0
本文呢,是介绍一种保护进程不被结束的方法,这个方法不算新了,好旧好旧的了,其实呢,也是 hook 了某个函数来实现的,不过没有 hook NtOpenProcess 、NtTerminateProcess、KiInsertQueuApc 等函数,而是 hook 了 NtQuerySystemInformation 来保护我们的进程,NtQuerySystemInformation 是用来查询系统信息的,可以查询的系统信息有 54 种这么多,其中 ID 是 5 的话呢,就会返回一个链表,这个链表中包括了当前系统中的所以的进程名、进程 ID,也就是说这个函数可以获取系统的进程列表,我们可以 hook 这个函数来隐藏进程,不过这次是保护进程,不是隐藏哦
在 ring3 中,列举进程的方法是调用 Tool32 或者 psapi 中的 EnumProcess,可是这些函数都调用了 ZwQuerySystemInformation 然后在NtQuerySystemInformation,也就是我们 hook NtQuerySystemInformation 就可以保护&隐藏进程了哇
hookNtQuerySystemInformation 的方法有好的,可以修改 SSDT,也可以修改函数前 5 个字节,也就是inline hook了,本文采用后者哦
在函数开始的5个字节中,改为一个 Jmp 指令,让她在调用这个函数的时候跳转到我们的函数中,我们在经过一些处理后再调用原来的****

查看更多...

Tags: inline hook api hook

分类:破解调试 | 固定链接 | 评论: 0 | 查看次数: 12646
  • 1