草庐IT

挂钩

全部标签

驱动开发:内核实现SSDT挂钩与摘钩

在前面的文章《驱动开发:内核解析PE结构导出表》中我们封装了两个函数KernelMapFile()函数可用来读取内核文件,GetAddressFromFunction()函数可用来在导出表中寻找指定函数的导出地址,本章将以此为基础实现对特定SSDT函数的Hook挂钩操作,与《驱动开发:内核层InlineHook挂钩函数》所使用的挂钩技术基本一致,不同点是前者使用了CR3的方式改写内存,而今天所讲的是通过MDL映射实现,此外前者挂钩中所取到的地址是通过GetProcessAddress()取到的动态地址,而今天所使用的方式是通过读取导出表寻找。挂钩的目的就是要为特定函数增加功能,挂钩的实现方式无
挂钩内核spanclasstoken驱动开发c++内核开发c语言windows

驱动开发:内核扫描SSDT挂钩状态

在笔者上一篇文章《驱动开发:内核实现SSDT挂钩与摘钩》中介绍了如何对SSDT函数进行Hook挂钩与摘钩的,本章将继续实现一个新功能,如何检测SSDT函数是否挂钩,要实现检测挂钩状态有两种方式,第一种方式则是类似于《驱动开发:摘除InlineHook内核钩子》文章中所演示的通过读取函数的前16个字节与原始字节做对比来判断挂钩状态,另一种方式则是通过对比函数的当前地址与起源地址进行判断,为了提高检测准确性本章将采用两种方式混合检测。具体原理,通过解析内核文件PE结构找到导出表,依次计算出每一个内核函数的RVA相对偏移,通过与内核模块基址相加此相对偏移得到函数的原始地址,然后再动态获取函数当前地址
挂钩内核spanclasstoken驱动开发内核开发windows汇编内核安全

驱动开发:内核扫描SSDT挂钩状态

在笔者上一篇文章《驱动开发:内核实现SSDT挂钩与摘钩》中介绍了如何对SSDT函数进行Hook挂钩与摘钩的,本章将继续实现一个新功能,如何检测SSDT函数是否挂钩,要实现检测挂钩状态有两种方式,第一种方式则是类似于《驱动开发:摘除InlineHook内核钩子》文章中所演示的通过读取函数的前16个字节与原始字节做对比来判断挂钩状态,另一种方式则是通过对比函数的当前地址与起源地址进行判断,为了提高检测准确性本章将采用两种方式混合检测。具体原理,通过解析内核文件PE结构找到导出表,依次计算出每一个内核函数的RVA相对偏移,通过与内核模块基址相加此相对偏移得到函数的原始地址,然后再动态获取函数当前地址
挂钩内核pSectionHeadercodeFileOffsetC++

驱动开发:内核层InlineHook挂钩函数

在上一章《驱动开发:内核LDE64引擎计算汇编长度》中,LyShark教大家如何通过LDE64引擎实现计算反汇编指令长度,本章将在此基础之上实现内联函数挂钩,内核中的InlineHook函数挂钩其实与应用层一致,都是使用劫持执行流并跳转到我们自己的函数上来做处理,唯一的不同的是内核Hook只针对内核API函数,但由于其身处在最底层所以一旦被挂钩其整个应用层都将会受到影响,这就直接决定了在内核层挂钩的效果是应用层无法比拟的,对于安全从业者来说学会使用内核挂钩也是很重要。挂钩的原理可以总结为,通过MmGetSystemRoutineAddress得到原函数地址,然后保存该函数的前15个字节的指令,
InlineHook驱动codeApiAddressPatchSizeC++

驱动开发:内核层InlineHook挂钩函数

在上一章《驱动开发:内核LDE64引擎计算汇编长度》中,LyShark教大家如何通过LDE64引擎实现计算反汇编指令长度,本章将在此基础之上实现内联函数挂钩,内核中的InlineHook函数挂钩其实与应用层一致,都是使用劫持执行流并跳转到我们自己的函数上来做处理,唯一的不同的是内核Hook只针对内核API函数,但由于其身处在最底层所以一旦被挂钩其整个应用层都将会受到影响,这就直接决定了在内核层挂钩的效果是应用层无法比拟的,对于安全从业者来说学会使用内核挂钩也是很重要。挂钩的原理可以总结为,通过MmGetSystemRoutineAddress得到原函数地址,然后保存该函数的前15个字节的指令,
InlineHook驱动codeApiAddressPatchSizeC++

比特币的价值已经完全和美股挂钩了?

越来越多的迹象表明,作为加密货币行业无可置疑的老大,比特币的价值已经开始直接与美股相挂钩,比特币的行情和美股正相关的情况已经成为了美股涨跌的情报站。究其原因,是因为现在加密货币已经成为了投资者心态反应的一个前哨站,越来越多的实际情况证明,当比特币在前一天下跌时,道琼斯指数在第二天也会应声下跌,这就是当前的情况,比特币已经逐渐成为了美股晴雨表的先行表现。也许只有当投资者们都真正放弃加密货币市场,并且停止向这个市场继续投入资金时,也许整个资金大盘才会重新回到美股市场,也许这个时候才是美股触底的日子。随着疫情对经济的不断影响以及美联储加息缩表导致全球流动资金回流,加密货币市场也遇到了不可避免的熊市。
比特币比特抄底投资者区块链$比特币加密货币美股

比特币的价值已经完全和美股挂钩了?

越来越多的迹象表明,作为加密货币行业无可置疑的老大,比特币的价值已经开始直接与美股相挂钩,比特币的行情和美股正相关的情况已经成为了美股涨跌的情报站。究其原因,是因为现在加密货币已经成为了投资者心态反应的一个前哨站,越来越多的实际情况证明,当比特币在前一天下跌时,道琼斯指数在第二天也会应声下跌,这就是当前的情况,比特币已经逐渐成为了美股晴雨表的先行表现。也许只有当投资者们都真正放弃加密货币市场,并且停止向这个市场继续投入资金时,也许整个资金大盘才会重新回到美股市场,也许这个时候才是美股触底的日子。随着疫情对经济的不断影响以及美联储加息缩表导致全球流动资金回流,加密货币市场也遇到了不可避免的熊市。
比特币比特抄底投资者区块链$比特币加密货币美股
12