SysEnter Hook

最新推荐文章于 2019-07-03 00:30:32 发布
转载 最新推荐文章于 2019-07-03 00:30:32 发布 · 983 阅读 · 1
本文介绍了一种在内核级别实现Hook技术的方法,通过修改IA32_SYSENTER_EIP寄存器来达到替换ntoskrnl!KiFastCallEntry函数的目的。展示了如何在驱动加载和卸载时进行Hook及还原。 
#include <ntddk.h>

ULONG g_OldKiFastCallEntry; // Original value of ntoskrnl!KiFastCallEntry

VOID OnUnload( IN PDRIVER_OBJECT DriverObject )
{
    _asm
    {
        mov ecx, 0x176
        xor edx,edx
        mov eax, g_OldKiFastCallEntry     // Hook function address
        wrmsr                        // Write to the IA32_SYSENTER_EIP register
      }
}

// Hook function
__declspec(naked) MyKiFastCallEntry()
{
  __asm {
    jmp [g_OldKiFastCallEntry]
  }
}

NTSTATUS DriverEntry( IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRING pRegistryPath )
{
  pDriverObject->DriverUnload  = OnUnload; 

  __asm {
        mov ecx, 0x176
        rdmsr                 // read the value of the IA32_SYSENTER_EIP register
        mov g_OldKiFastCallEntry, eax
        mov eax, MyKiFastCallEntry     // Hook function address
        wrmsr                        // Write to the IA32_SYSENTER_EIP register
  }

  return STATUS_SUCCESS;
}

支持x64,反一切R3下的常规Hook,完全基于Baby大佬的KiFastSystemCall-易语言
06-12
前言 本程序完全基于Baby大佬的Kernel,保留Baby大佬的一切权限! 原理部分介绍: 以“OpenProcess”这个大家熟悉的API为例子: 程序若其中任意一步被Hook,则相当于“OpenProcess”被Hook了 但是,这也启发了我们一些东西,假如我们去直接用SSDT编号调用Api的话,是不是相当于接近了内核,那么直接Hook“OpenProcess”或者“ZwOpenProcess”是也无效了?(理论上,这个方法可以绕过R3下一切的常规Hook,我们根本没有调用“ZwOpenProcess”,IAT,EAT钩子理论上全部失效!) 程序例子: 首先先编写好代码:没有Hook下直接调用ZwSuspendProcess: 有Hook的情况下: 这时调用KiSuspendProcess: 你会发现,Hook根本对它没有效果,程序任然按照计划执行的 最后声明 本程序完全基于Baby大佬的Kernel,保留Baby大佬的一切权限!
修改MSR对syscall指令HOOK
12-12
修改MSR(lstar)对syscall指令HOOK. 本身在win7 x64 sp1使用VS2013开发。
分析系统调用(win下)
weixin_33924312的博客
06-23 169
分析快速系统调用的位置 int main() { CreateFile( L"C:\\1.txt", FILE_ALL_ACCESS, NULL, NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL ); return...
sysenter HOOK反OD调试
_KaQqi的博客
05-12 2339
sysenter指令: SYSENTER用来快速调用一个0层的系统过程。SYSENTER是SYSEXIT的同伴指令。该指令经过了优化,它可以使将由用户代码(运行在3层)向操作系统或执行程序(运行在0层)发起的系统调用发挥最大的性能。   在调用SYSENTER指令前,软件必须通过下面的MSR寄存器,指定0层的代码段和代码指针,0层的堆栈段和堆栈指针: 1.       IA32_SYS
note : get address of KiFastCallEntry
博客标题不能为空
08-18 1056
在开源工程中看到取 KiFastCallEntry 地址, 但是 rdmsr  的参数 0x176, 是个魔法数. 查了资料, 弄清楚了魔法数的含义. #ifndef IA32_SYSENTER_EIP #define IA32_SYSENTER_CS 0x174 ///< The 16-bit selector of a Ring 0 code segment #define IA
SYSENTER-HOOK
qq_31507523的博客
06-07 862
SYSENTER-HOOK 实验环境:win7虚拟机 示例是对内核层进行SYSENTER-HOOK实现保护进程的功能 SYSENTER-HOOK也成称为KiFastCallEntry-Hook,它相当于是内核层的Inline-Hook,通过修改SYSENTER_EIP_MSR 寄存器使其指向我们自己的函数,那么我们就可以在自己的的函数中对所有来自3环的函数调用进行第一手过滤。 一会儿会用到的API...
简单Hook SYSENTER
liujiayu2的专栏
06-30 1769
其实所有的HOOK,都基本是一样道理。就是勾住你的目标函数,实现你自己的功能。只要你掌握了,HOOK的原理。剩下的就是寻找目标函数了。      今天回忆一下 HOOK SYSENTER,目的当然还是继续充实自己的BLOG,继续灌水。 一:认识SYSENTER    SYSENTER是一个东西?大家都知道调用门,陷阱门,任务门(这里没有照片!_!).。通过他们我们可以从R3到达R
rootkit hook之[六] -- sysenter Hook
kansa1988的专栏
03-14 356
<br />SYSENETER是一条汇编指令,它是在Pentium® II 处理器及以上处理器中提供的,是快速系统调用的一部分。 SYSENTER/SYSEXIT这对指令专门用于实现快速调用。在这之前是采用INT 0x2E来实现的。INT 0x2E在系统调用的时候,需要进行 栈切换的工作。由于Interrupt/Exception Handler的调用都是通过 call/trap/task这一类的gate来实现的,这 种方式会进行栈切换,并且系统栈的地址等信息由TSS提供。这种方式可能会引起多次内存访
sysenter Hook
weixin_34239169的博客
11-05 141
SYSENTER是一条汇编指令,它是在Pentium 转载于:https://blog.51cto.com/whatday/1382274
x86 SYSENTER HOOK
XboxMicro
02-26 1915
准备资料:   自2000以后Windows系统不再用int 2e或通过IDT来请求系统调用表中的服务,而是使用快速调用方法fast call method.在这种方法中,NTDLL向EAX寄存器中加载被请求服务的系统调用号,向EDX寄存器中加载当前堆栈指针ESP。然后发出Intel指令SYSENTER。   SYSENTER指令将控制权传递给模型相关寄存器(Model-Specifi
sysenter调用详解
云淡风轻
12-18 9178
sysenter调用 以CreateFile为例,因为它常见,且对应于nt中的函数NtCreateFile。  对于程序中队CreateFile的调用,编译器会编译成如下汇编码: 先会将参数压栈,然后调用函数: 01031017 call        dword ptr[__imp__CreateFileW@28 (1032000h)]  上面的1032000处的值为0x7664cc
另一种sysenter hook方法(绕过绝大多数的rootkit检测工具的检测)
04-16 1499
作 者: 堕落天才时 间: 2007-04-14,11:09链 接: http://bbs.pediy.com/showthread.php?threadid=42705******************************************************************************标题:【原创】另一种sysenter hook方法(绕过绝大多数的root
【反调试】去除各种反调试
热门推荐
Night May Say
04-14 1万+
前不久破解一个软件的时候遇到了各种反调试,折腾的自己各种难受,最终爆破了之后感觉心情大快就顺手写下了这篇文章使用工具十六进制分析工具:winhex 查壳工具:PEID 脱壳工具:ollydump插件或者LordPE 脱壳修复工具:ImportREC 逆向工具:OllyDbg分析过程PE修复打开源程序所在文件夹,发现有一个crackme,双机运行程序发现有这个提示: 应该是文件的PE结构
sysenter内核入口点代码分析
weixin_34015860的博客
07-03 653
参考:http://www.mouseos.com/windows/kernel/KiFastCallEntry.html http://www.mouseos.com/windows/kernel/%E4%B8%80%E4%BA%9B%E9%80%86%E5%90%91%E5%87%BA%E6%9D%A5%E7%9A%84%E5%87%BD%E6%95%B0%E5%AE%9E%E7%8E%B0...
x64位微软Windows内核重要的安全机制简介
XboxMicro
02-18 3318
Win32 HookHook去很蛋疼……各种Hook  Irp hook ssdt hook idt hook sssdt hook sysenter hook .... 还有各种DKOM摘链行为,比如人们喜闻乐见的EPROCESS摘链=。= hook到都形成了hook链 你hook你的,我hook我的……Win32脆弱的内核安全机制使得rk大行其道,一旦加驱成功,系统基
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值