内核 HOOK ZwMapViewOfSection

最新推荐文章于 2023-07-08 19:06:33 发布
转载 最新推荐文章于 2023-07-08 19:06:33 发布 · 3.8k 阅读 · 1
文章标签:

#hook #dll #buffer #api

本文详细介绍了如何通过替换SSDT中的ZwMapViewOfSection函数,过滤出加载Kernel32.dll的情况,进而InlineHook其EAT中的CreateThread函数,实现在此进程虚拟地址空间中申请缓冲区并完成DLL加载的过程。关键API包括ZwAllocateVirtualMemory、ZwProtectVirtualMemory和IoAllocateMdl等。

转自:http://lwglucky.blog.51cto.com/1228348/284829


 有部分模块加载时会调用ZwMapViewOfSection,比如进程创建时映射N份DLL到自己的虚拟空间中去.我们替换SSDT中的这个函数,过滤出是加载Kernel32.dll的情况,从参数中取得其基址,Inline Hook其EAT中的CreateThread函数,跳转到在这个进程虚拟地址空间中申请的Buffer,在其中完成DLL的加载过程. 
关键API: 
ZwAllocateVirtualMemory ---- 在此进程空间中分配内存,存放Shellcode 
ZwProtectVirtualMemory ---- 使当前内存块具有可读可写属性 
IoAllocateMdl ---- 创建MDL 
关键Code如下: 



在NT中直接访问物理内存
11-13 3704
P.bhw98{ PADDING-RIGHT: 0px; PADDING-LEFT: 0px; FONT-SIZE: 9pt; PADDING-BOTTOM: 0px; MARGIN: 10px 0px 5px; LINE-HEIGHT: normal; PADDING-TOP: 0px; FONT-FAMIL
Hook了NtCreateFile和NtReadFile能被饶过吗
zhangyihu321的专栏
01-20 614
在应用层面,如果同时Hook了NtCreateFile和NtReadFile,基本很难被绕过,因为这些是Windows系统最底层的文件操作API。// 使用内存映射可能绕过普通的文件读取Hook。// ... 设置trustData。// 通过编写内核驱动直接访问文件系统。// Hook其他可能的文件访问API。// 额外Hook内存映射相关API。// 检查是否试图修改代码段。// Hook内存操作相关API。// Hook文件系统过滤驱动。// 在驱动层面实现文件保护。// 检测常见调试器。
一个注入的老方法 【ZwMapViewOfSection
weixin_30294021的博客
03-15 769
对不起,我又挫B了,居然连这个方法都不知道。 转载一下: http://blog.w4kfu.com/tag/duqu 还有好多要学的东西啊! 路漫漫其修远兮~ 样本里的一些东西: ZwQueryInformationProcess ProcessDebugPort 查看是否被调试ZwSetInformationThread ThreadInformationClass...
漫谈兼容内核之十三:关于“进程挂靠”
周寅的专栏
03-13 2391
     上一篇漫谈在介绍APC机制时提到:线程在Windows内核中运行时有时候需要暂时“挂靠(Attach)”到别的进程的用户空间,即暂时切换到另一个进程的用户空间。这称为“进程挂靠”,因为用户空间是一个进程最主要的特征。    显然,要是当前线程的操作与用户空间无关、不需要访问用户空间,那么当时的用户空间到底是谁的用户空间根本就无关紧要,所以这必定发生在与用户空间有关的操作中。    一般而
使用ZwMapViewOfSection创建内存映射文件总结
01-07 882
标 题: 【原创】使用ZwMapViewOfSection创建内存映射文件总结 作 者: 小覃 时 间: 2012-06-15,02:28:36 链 接: http://bbs.pediy.com/showthread.php?t=152144 在写驱动搜索内核模块内存时,你是不...
php内存映射,如何用ZwMapViewOfSection将Driver分配的内存映射到App空间?
weixin_36152359的博客
03-29 255
保存在DDK的例子Mapmem中,用ZwMapViewOfSection将物理地址映射到App空间,该函数能否将系统地址映射到App空间?我尝试着做了一下,但返回invalid_view_size,好像length给的不对。各位大侠帮忙看看啊。PVOIDGetUserAddressFromSystemAddress(IN PVOID iSystemAddress,///系统地址IN ULONG i...
N种内核注入DLL的思路及实现
05-11
本文基于《N种内核注入DLL的思路及实现》一文,深入剖析四种核心的内核注入DLL技术:APC技术、内核Patch KnownDLLs Kernel32.dll CreateThread、内核HOOK ZwMapViewOfSection以及内核HOOK NtCreateThread,旨在为...
HOOK graphics driver_.zip_d3d_d3d驱动hook_显卡D3D_显卡驱动_驱动源码
07-15
在Windows系统中,这可能包括使用 ZwCreateSection、ZwMapViewOfSection内核API来挂钩内存操作,或者使用IoCreateDevice、DriverEntry等函数来修改设备驱动的行为。 四、驱动源码分析 压缩包中的"HOOK graphics...
SSDT HOOK技术(1)——获得SSDT函数索引号
苞米地里捉小鸡的博客
08-19 1075
1.SSDT是什么? SSDT全程是System Services Discriptor Table 翻译过来就是系统服务描述符表,那么系统服务描述符是什么呢?根据官方的解释ssdt表就是把ring3的Win32 API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。 那么我们可以理解为SSDT就是一个很庞大的数组,它被用来保存windows系统服务地址。 比如我们在R3层调用了CreateFile这个A
mhook HOOK库 支持X86 X64 含Demo VS2010
03-19
mhook是一个免费的非常优秀的API HOOK库,我一直用它,现在分享给大家. mhook类似于微软的Detour库,优点是容易使用,支持X64位的CPU
HOOK 完美支持x86/x64
05-24
完美支持x86、x64,调用方式灵活,x64下可以支持 5字节跳转,12字节跳转,14字节跳转,配合 HookApp 内核注入驱动使用,能达到做好的效果。
[注入] - NtMapViewOfSection
LYSM
08-20 1514
背景 新的注入方式:利用一个未公开函数 NtMapViewOfSection 在远程进程地址空间写入代码,并且用一种新的技术在远程进程中执行它,这种技术完全工作在用户模式下,并且不需要特殊的条件比如像管理员权限或者之类的要求 代码 #define _WIN32_WINNT 0x0400 #include <windows.h> typedef LONG NTSTATUS, *PNTSTATUS; #define NT_SUCCESS(Status) ((NTSTATUS)(Status) &
ring3-NtMapViewOfSection注入
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
09-19 1369
新的注入方式:利用一个未公开函数NtMapViewOfSection在远程进程地址空间写入代码,并且用一种新的技术在远程进程中执行它,这种技术完全工作在用户模式下,并且不需要特殊的条件比如像管理员权限或者之类的要求 [cpp] view plain copy #define _WIN32_WINNT 0x0400   #include      
使用 ZwUnmapViewOfSection 卸载并替换内存镜像
weixin_41875267的博客
09-09 2184
The ZwUnmapViewOfSection routine unmaps a view of a section from the virtual address space of a subject process. NTSTATUS ZwUnmapViewOfSection( IN HANDLE ProcessHandle, IN PVOID BaseAddress ); 这个函数在 wdm.h 里声明,它的功能是卸载进程的内存镜像(Image Buff...
Delphi驱动开发研究第六篇--与用户进程通讯(section篇)
08-26 680
在进入主题之前,先来简单地看一下结构化异常处理(Structured Exception Handling, SEH),本篇的程序需要这个东东。    结构化异常处理    这里我并不打算详细讲结构化异常处理,关于SEH,在网上你能找到相关的内容,SHE能用于所有的异常处理,
32位/64位WINDOWS驱动之物理地址读写内存方法4
a756598009的博客
07-08 1559
自写函数 通过PID切换到目标进程环境 计算出物理地址把物理地址映射到当前进程 不使用时需要用ZwUnmapViewOfSection取消映射//转换成 物理地址的方式 读取进程虚拟地址。
内核驱动注入你能帮我实现吗 我的电脑上没有安全中心 没法开启hvci
最新发布
10-18
ZwMapViewOfSection(hSection, ...); ``` 通过直接映射物理内存加载驱动,避免触发文件完整性检查[^2] 3. **漏洞利用注入**(高危技术): - 利用未修复的**内核池溢出漏洞**(如CVE-2021-34527) - 通过**...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值