重载重点,其实就是自己实现一个山寨版的Windows PELoader ,重载其实就是将一个模块自己重新加载一份到别的内存,运行它。
所谓内核重载,则是将内核文件即:ntkrnlpa.exe 自己加载一份到内存,并运行它,这样的好处可以避免一切HOOK,如SSDT ,InLineHook 等等,原理就是HOOK继续
HOOK主原来内核,但是实际上Windows走的是我们自己的内核。
...
分类:
Windows程序 时间:
2014-12-19 22:08:21
阅读次数:
1115
VC里面快速调用Nt系列函数示例方法,以NtTerminateProcess结束自己为例
当初研究的目的也只是为了一个稳定通用的ring3 inline hook bypass
funaddr + 5的方法除外,如果你还有其他方法或思路,欢迎交流指导!...
分类:
其他好文 时间:
2014-12-19 20:45:44
阅读次数:
149
《对“XXX::Invoke”类型的已垃圾回收委托进行了回调。这可能会导致应用程序崩溃、损坏和数据丢失。向非托管代码传递委托时,托管应用程序必须让这些委托保持活动状态,直到确信不会再次调用它们》的问题的解决方法...
分类:
其他好文 时间:
2014-12-19 19:13:47
阅读次数:
407
最近需要用到Androidsohook,于是分析了一下比较流行的CydiaSubstrate框架CydiaSubstrate框架的核心函数是MSHOOKFunction,官方使用说明如下:现在Android默认编译出来的都是thumb指令集的,就分析一下这个模式下的HOOK吧。在使用MSHOOKFunctionHOOK前,先用IDAattach到进程先..
分类:
移动开发 时间:
2014-12-19 15:54:29
阅读次数:
744
1.简介由于Andorid更新很快,较之Droidbox这种通过hook系统动态分析APK行为的方法,APIMonitor这种通过在APK包中注入监控代码(监控API调用然后保存为日志)然后重打包APK包的方法要更为适用。2.安装easy_install pippip install python-...
SSDT Hook实现内核级的进程保护目录SSDT Hook效果图SSDT简介SSDT结构SSDT HOOK原理Hook前准备如何获得SSDT中函数的地址呢SSDT Hook流程SSDT Hook实现进程保护Ring3与Ring0的通信如何安装启动停止卸载服务参考文献源码附件版权SSDT Hook效...
分类:
其他好文 时间:
2014-12-19 01:51:42
阅读次数:
270
I played around with the Ford IDS system for a coupe of year, it allowed me to do 90% what I expert. But I have not yet hook it up to program ACM modu...
分类:
其他好文 时间:
2014-12-17 15:55:33
阅读次数:
788
1 #include 2 #include 3 4 public plugin_init() 5 { 6 register_plugin("Chat Hook", "1.0", "crsky") 7 8 register_forward(FM_ClientComma...
分类:
其他好文 时间:
2014-12-14 11:50:25
阅读次数:
191
转: 网上有很多讨论关于NDIS HOOK的文章,但大多只讲了WIN7之前的HOOK NDIS_OPEN_BLOCK下的例程,至于WIN7下怎么HOOK以及如何做MINIPORT-HOOK,网络上则鲜有提及.根据前阵子的相关分析,我把NDIS HOOK总结一下,网上有一些讨论NDIS HOOK的.....
