8_InlineHook
2024-08-31 21:03:35
1 shellcode低2Gb警告、应使用高2GB 稳定 :
在内核挂钩子:
由于每个进程的低2gb 的数据是不同的;所以 在内核挂钩子 因该把 代码 放在 高 2gb。
方法1(申请):
比如 使用前面的 ExAllocatePool(0,size);分配非分页内存,然后把shellcode 拷贝到 非分页内存。
方法2(偷内存):
注意: 偷的时候 看一下 页属性 是否可读可写可执行
在内核固定 没有使用到的地方 放上我们的 shellcode;;
如:gdtr 中的 空向量。
起始 下面这些都没有使用到,都可以占用:
裸函数注意:
在裸函数中没有自动的 ebp ,esp 开栈 平栈的操作;所以忌讳使用局部变量;当然可以自己管理栈,使用好局部变量。
Hook kifastcallentry
重点结论:注意 当
目标地址 < 当前地址 ; jmp 的偏移 应该是 直接 目标 - 当前 -5;
目标地址 > 当前地址 ; jmp 的偏移应该 是 目标 - 当前 -5;
是一样的; jmp 偏移的基址 是当前指令结束位置。
jmp 寄存器 和call寄存器一样 也 不需要计算什么偏移;寄存器是什么就跳到什么。
push 0xAddr;ret 也不需要 计算偏移;但是需要 6个字节;计算偏移的需要5个字节
计算偏移 是最重要的;
注意 步骤:
计算到目标code 的偏移 (或者直接使用寄存器)
将当前位置的 opcode 修改 为跳转 指令 char * [] = {0xe9,0x.....0x..}
然后在目标地址那个做好处理后 最好将 执行流 交换原来的执行流;所以再计算偏移(或使用寄存器)跳回去;
f7 单步调试触发 的是 idt 里面的 1号处理
使用 pchunter 查看idt 里面的序号为 1 的向量的地址;然后 使用ida 调试 查看;
hook;
大致如下:
程序1 : 挂钩gdt内存地址到 目标函数
程序2 :hook 逻辑操作 代码:
最新文章
- C#数组的声明
- FPM打包工具
- C#设计模式——访问者模式(Visitor Pattern)
- 微软推出首个Microsoft Azure Stack技术预览版
- Android版本分布——2016年10月更新
- 转载:Java多线程中join方法的理解
- iOS 9之New System Fonts(San Francisco 字体)
- 双线服务器和CDN的区别
- android 适配器 ArrayAdapter,SimpleAdapter的学习
- Xamarin.Android中实现延迟跳转
- Dijkstra算法 Java实现
- Linux 文本处理工具记录
- JavaScript入门学习笔记(二)
- Delphi 对ini文件的操作
- solr插件导入数据库中的数据
- Python3-socket网络知识储备
- 【Odoo 8开发教程】第二章:Odoo生产环境部署设置
- tkinter 打包成exe可执行文件
- es中级部分知识点总结
- PAT甲级 1126. Eulerian Path (25)