对付kernel / fsd inline hook/ssdt hook

最新推荐文章于 2021-04-29 19:45:16 发布
原创 最新推荐文章于 2021-04-29 19:45:16 发布 · 1k 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#hook #system #file #include #tools
#disk
本文介绍了一种名为镜像系统的技术,该技术声称能够有效防止各种类型的Hook(钩子),包括代码Hook,但不包括数据Hook如NDIS或注册表蜂窝Hook等。通过复制内核文件和文件系统驱动文件,该技术旨在创建一个更安全的操作环境。


http://www.rootkit.com/vault/uty/NIAPAntiRootkitTools.rar
号称使用了无视一切 Hook 的“镜像系统”:
In these tools, we use some new tech called mirror system (pretty cool, we hope it worth the name ;p). We mirrored the kernel file, file system driver file, and it can do more. We think the effect is that there will be no more hook(code hook, not include data hook, like NDIS or registry hive hook, for now).

 

对付

remap ntfs/fatfat, ntoskrnel , 然后add  SysetmService,等等无效


对 disk级的无效
对 hal级无效
对XX,XXXX,以及XX1也无效无效

没有走到pool hook的扫描ntfs和fastfat特征...

没有随机设备名

 

老V那个在CVC上发烂了的BDFILE都可以??

Windows钩子教程
10-23
windows钩子入门教程,适合新手。 来源:一路采撷 Blog:http://blog.csdn.net/MaybeHelios/
Windows驱动学习(六)-- FSD钩子
安全杂货铺
11-21 2724
教程参考自:https://www.bilibili.com/video/av26193169/?p=8 代码地址:https://github.com/G4rb3n/Windows-Driver/tree/master/MT_FSDHook 1. 概述 FSD钩子是一种较实用的过滤方法,对比于上一章的添加键盘过滤设备,这种方法更显得简单高效。 2. 驱动编写 2.1 驱动入口函数 入口函数简单明...
FSD键盘钩子框架参考爱写驱动的女装大佬
Cosmopolitan的博客
09-15 494
环境:vs2013+wdk8.1 #include <ntddk.h> extern POBJECT_TYPE *IoDriverObjectType; PDRIVER_OBJECT kbdriver = NULL; typedef NTSTATUS(*pBeforeRead)(PDEVICE_OBJECT pDevice, PIRP pIrp); pBeforeRead Befo...
FSD's Inline Hook & EAT modify check Completed
10-16 1310
   瞎折腾个半天,太菜, 之前也没怎么搞过检测程序,于是匆匆逆了下几个无壳的ARK,结合R3和R0,加上自己的一些总结,胡弄了个DEMO. 目前仅仅是遍历检测ntoskrnl.exe EAT(没加SSDT), 对于fastfat.sys/ntfs.sys/disk.sys等模块还没有检测,不过弄起来也很快, 支持对未导出函数 、Push+ret 等的HOOK检测,不过很脆弱,后期继续加强检
FSDHOOK恢复
125096
08-30 718
WCHAR DriverName[] = L"\\FileSystem\\ntfs"; WCHAR DriverPath[] = L"\\??\\C:\\WINDOWS\\system32\\drivers\\ntfs.sys"; RestoreFSDMajorRoutine(&DriverName, &DriverPath, IRP_MJ_CREATE); //函数名: Resto
FSD HOOKSSDT HOOK恢复简单思路
weixin_34292924的博客
09-03 389
FSD 解释: File System Driver文件系统驱动程序,分为本地FSD和远程FSD。 (1) 本地FSD:允许用户访问本地计算机上的数据 ——本地FSD负责向I/O管理器注册自己,当开始访问某个卷时,I/O管理器调用FSD来进行卷识别。 ——完成卷识别后,本地FSD创建一个设备对象以表示所装载的文件系统。 ——I/O管理器通过卷参数块(VPB)在存...
fsd
Continue strive
07-10 440
fds<!--v/:* {behavior:url(#default#VML);}o/:* {behavior:url(#default#VML);}w/:* {behavior:url(#default#VML);}.shape {behavior:url(#default#VML);}--> Normal 0 7.8 磅 0
几种钩子类型
inuo2011的博客
03-01 2043
1.函数钩子:可以向被注入线程插入木马代码2.系统API钩子,通过给系统的API附加上一段小程序,达到监视甚至控制应用程序对API的调用。3.输入地址表(IAT)钩子,用另一个函数的地址替换DLL输入函数的地址4.中断分配表(IDT)钩子,替换中断分配表中中断服务程序(ISR)的入口地址5.IO请求包函数表(IRP)钩子,替换IRP函数表的一些表项来达到隐藏目的,如文件.网络端口.注册表项等。6....
arm64 内核 inline hook
inquisiter
02-17 2427
linux 内核对于安全可能是比较重要的一环。 关于syscall table 表替换的问题 这里以linux 4.15和4.19为代表的说明我遇到的问题。 syscall hook 4.15 4.19 拥有可读写状态 hook成功 hook失败 这里似乎到4.19添加了对systable的保护。 如果非要对systable进行hook,可能替换这页表,改变物理地址指向是一种解...
linux arm和x86 inline hook技术
fanlilei的专栏
11-18 3892
Suterusu Rootkit: Inline Kernel Function Hooking on x86 and ARM Posted on January 7, 2013 Table of Contents IntroductionFunction Hooking in Suterusu Function Hooking on x86 Write Protec
挂钩FSD实现文件隐藏
zacklin的专栏
05-18 1861
【文章标题】: 挂钩FSD实现文件隐藏 【文章作者】: index09 【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教! -------------------------------------------------------------------------------- 【详细过程】 最近看Fastfat驱动想到的方法。查了一下又是被别人玩过了,还是简单说一下吧
linux内核中的hook,Linux内核Hook系统调用
weixin_42394913的博客
04-29 660
1,截获write系统调用:#ifndef MODULE#define MODULE#endif#ifndef __KERNEL__#define __KERNEL__#endif#include #include #include #include #include #include /*#include #include #include #include #include #include ...
r0下FSD inline hook防删除
03-26 1716
只拦截了Ntfs.sys上的,FastFat同Ntfs。感觉更像是一个inline hook的例子 呵呵 :)引用:/*                By 炉子[0GiNr]                http://hi.baidu.com/breakinglove_                http://0ginr.com*/typedef NTSTATUS (*pfnD
fsd inline hook
05-15 1328
这是一段未完成的代码 本来我打算用它来隐藏文件的 可是具体写隐藏文件函数的位置上出现了问题 现在正在思考中 把它发出了主要的目的其实是求助啦 不过我在网上找了好久相关的代码 却没找到 于是发上来跟大家分享一下代码:#include "ntddk.h"typedef BOOLEAN BOOL;typedef unsigned long DWORD;typedef DWOR
R0 下 FSD inline Hook 防删除
Rootkit ﹏
09-02 1048
<br />/*<br />                By 炉子[0GiNr]<br />                http://hi.baidu.com/breakinglove_<br />                http://0ginr.com<br />*/<br />typedef NTSTATUS (*pfnDrvDispath)(<br />                                  IN PDEVICE_OBJECT        DeviceOb
【创新未发表】绿电直连型电氢氨园区优化运行研究(Matlab代码、Python、数据、word论文)
最新发布
06-20
内容概要:本研究聚焦于绿电直连型电氢氨园区的优化运行,提出一种集成绿色电力直接供给、电解水制氢及氢气合成氨工艺的综合能源系统架构。通过建立包含风光发电、电解槽、氨合成反应器、储氢罐、电网交互及多类型负荷在内的系统模型,综合考虑绿电直供优先、能量梯级利用与多能互补原则,构建以系统综合运行成本最小化为目标的优化调度模型。研究采用Matlab与Python工具进行算法求解和仿真分析,利用实际气象与负荷数据完成案例验证,评估了不同运行策略下系统的经济性、可再生能源消纳能力与碳减排效益,为新型电氢氨一体化园区的规划与运行提供了理论依据和技术支撑。; 适合人群:具备一定电力系统、新能源或化工背景的研究生、科研人员及从事综合能源系统规划与优化工作的工程技术人员。; 使用场景及目标:①用于科研学习,理解电-氢-氨多能转换系统的建模与优化方法;②为工业园区的低碳化、智能化改造提供技术参考与决策支持;③作为开发类似综合能源管理系统的理论基础。; 阅读建议:此资源包含完整的模型代码、数据与论文,使用者应结合代码仔细研读论文中的模型构建部分,重点关注目标函数与约束条件的设计逻辑,并尝试修改参数进行仿真,以深入掌握优化算法在实际系统中的应用。
微型打印机控制电路的设计资料.rar
06-20
微型打印机控制电路的设计资料.rar
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值