Hooking KiFastSystemCall

最新推荐文章于 2024-10-16 11:08:37 发布
转载 最新推荐文章于 2024-10-16 11:08:37 发布 · 2.9k 阅读 · 1
文章标签:

#hook #function #windows

本文介绍了一个针对 KiFastSystemCall 的 hook 实现方法,通过覆盖特定 API 调用来实现内存保护级别的修改。该 hook 方法利用了 madCodeHook 库,并详细展示了如何拦截 ZwProtectVirtualMemory 函数调用。
 program KiFastSystemCall;

uses
  Windows, madCodeHook, SysUtils;

var
  realKiFastSystemCall: procedure;
  dwIndexPVM: DWORD;

function hookZwProtectVirtualMemory(hProcess: THandle; lpAddress: Pointer; dwSize, flNewProtect: DWORD; lpflOldProtect: Pointer): DWORD; stdcall;
var
  Stack1, Stack2: DWORD;
begin
  Result := 0;
  MessageBoxA(0, PChar(IntToHex(DWORD(lpAddress), 8)), 'ZwProtectVirtualMemory', 0);
  asm
    pop eax
    mov [Stack1], eax
    pop eax
    mov [Stack2], eax
    mov eax, [dwIndexPVM]
    call realKiFastSystemCall
    mov [Result], eax
    push [Stack2]
    push [Stack1]
  end;
end;

procedure hookKiFastSystemCall; assembler;
label
  CallPVM;
begin
  asm
    cmp eax, [dwIndexPVM]
    je @CallPVM
    jmp realKiFastSystemCall
    @CallPVM:
    pop eax
    jmp hookZwProtectVirtualMemory
  end;
end;

begin
  MessageBoxA(0, 'You need to call me once before you install the hook, otherwise I don''t initialize properly.', 'MessageBoxA Bug Fix', 0);
  dwIndexPVM := PDWORD(DWORD(GetProcAddress(GetModuleHandle('ntdll.dll'), 'ZwProtectVirtualMemory'))+1)^;
  HookAPI('ntdll.dll', 'KiFastSystemCall', @hookKiFastSystemCall, @realKiFastSystemCall);
end.
APIHook.rar_API hooking_APIHOOK_TerminateProcess _hooking
09-24
API Hooking是一种技术,常用于系统监控、调试、安全防护以及软件增强等方面。在这个"APIHook.rar_API hooking_APIHOOK_TerminateProcess_hooking"的压缩包中,我们重点探讨的是如何对API钩子(API Hook)进行设置,...
API-Hooking-with-MS-Detours.zip_API hooking_detours
09-24
API Hooking是一种技术,它允许开发者拦截和修改特定API(应用程序接口)的调用行为,以便在不修改原始代码的情况下实现额外的功能或监控系统活动。在这个案例中,我们讨论的是使用Microsoft Detours库来实现API ...
另类HOOKKiFastSystemCall为例
Rprop
01-21 2782
标题的另类并非什么高新技术, 说白了仍是满大街的inline hook, 只不过它为解决可patch空间不足提供了一种有限的解决方案, 本文以早期32位windows系统的以KiFastSystemCall为例.
Windows系统调用架构分析—也谈KiFastCallEntry函数地址的获取
热门推荐
Less Is More
05-27 2万+
为什么要写这篇文章 1.      因为最近在学习《软件调试》这本书,看到书中的某个调试历程中讲了Windows的系统调用的实现机制,其中讲到了从Ring3跳转到Ring0之后直接进入了KiFastCallEntry这个函数。 2.      碰巧前天又在网上看到了一篇老文章介绍xxx安全卫士对Windows系统调用的Hook,主要就是Hook到这个函数 3.      刚刚做完毕业设计,对
KiFastCallEntry() 机制分析
无本之木
05-28 1316
本文转自:http://www.mouseos.com/windows/kernel/KiFastCallEntry.html 1. 概述 从 windows xp 和 windows 2003 开始使用了快速切入内核的方式提供系统服务例程的调用。 KiFastCallEntry() 的实现是直接使用汇编语言,C 语言不能直接表达某些操作。我从 windows 2003
支持x64,反一切R3下的常规Hook,完全基于Baby大佬的KiFastSystemCall-易语言
06-12
前言 本程序完全基于Baby大佬的Kernel,保留Baby大佬的一切权限! 原理部分介绍: 以“OpenProcess”这个大家熟悉的API为例子: 程序若其中任意一步被Hook,则相当于“OpenProcess”被Hook了 但是,这也启发了我们一些东西,假如我们去直接用SSDT编号调用Api的话,是不是相当于接近了内核,那么直接Hook“OpenProcess”或者“ZwOpenProcess”是也无效了?(理论上,这个方法可以绕过R3下一切的常规Hook,我们根本没有调用“ZwOpenProcess”,IAT,EAT钩子理论上全部失效!) 程序例子: 首先先编写好代码:没有Hook下直接调用ZwSuspendProcess: 有Hook的情况下: 这时调用KiSuspendProcess: 你会发现,Hook根本对它没有效果,程序任然按照计划执行的 最后声明 本程序完全基于Baby大佬的Kernel,保留Baby大佬的一切权限!
对XP上的KiFastSystemCall进行浅析
weixin_34200628的博客
11-19 280
WindowsAPI的系统调用过程通过KiFastSystemCall或int2e进入内核,本文仅对XP上的KiFastSystemCall进行浅析。   以ntdll!ZwCreateProcessEx为例:   Eax中保存系统调用号,此处ZwCreateProcessEx的为30h;Edx是SharedUserData!SystemCallStub的地址,里面保存着KiF...
Hooking-Template-With-Mod-Menu:一个用于Android Hooking with Substrate的小模板。 (包括用Java编写的mod菜单)
02-06
带有模板的挂钩模板 这是一个使用Cydia Substrate和And64InlineHook以及Java编写的Mod菜单的简单模板。 实现方式: 仔细阅读本教程 教程: 布局: 这就是您简单地构建和运行菜单时的样子 学分: ...
video_board_schemtic1.zip_Hooking Up_de1_video fpga
07-15
this is the schemtic for hooking up a video encoding chip (SAA7121H) to a IDE connector so it can connect to a DE1 FPGA board or any other you fancy
Offensive-API-Hooking:进攻API挂钩用于获取明文凭证
03-25
在网络安全领域,API挂钩(Hooking)是一种技术,它允许我们拦截并控制应用程序与操作系统或其他组件之间的通信。这种技术在防御性安全分析中被广泛使用,但也可以被攻击者利用来执行恶意活动,例如“进攻API挂钩”...
易语言淘宝api模块
04-26
易语言淘宝api模块,淘宝开放平台,支持开放平台的所有命令
易语言真实API模块
07-18
易语言真实API模块源码,真实API模块,BaseSetLastNTError,调用_KiFastSystemCall,备份_调用_KiFastSystemCall,调用_NtQueryInformationProcess,调用_NtSetInformationThread,调用_NtDeviceIoControlFile,调用_NtFsControlFile,调用_NtWaitForSingleObject,调用
易语言 HOOK API例子
03-07
这个例子是HOOK 弹出消息框的例子 HOOK MessageBoxA 截取消息
dll万能注射器
05-15
dll万能注射器
系统调用之KiFastSystemCall
最新发布
wxy_xx1的博客
10-16 286
当CPU执行sysenter时,会提前将CS/SS/ESP对应的值保存到MSR寄存器中(rdmsr属于特权指令只能在内核执行)KiFastSystemCall原型。0x175保存的是ESP。0x176保存的是EIP。0x174保存的是CS。
KiFastSystemCall函数问题
陈刚编程心得与知识集
02-27 862
代码: HANDLE DebugPort = 0; NtQueryInformationProcess((HANDLE)-1, ProcessDebugPort, &DebugPort, sizeof(HANDLE), 0); 函数声明如下 __declspec(naked) NTSTATUS NTAPI NtQueryInformationProcess(
关于sysenter与KiFastSystemCall
Mr.Out的专栏
10-02 1971
<br />xp下用sysenter指令代替了int 2eh来进入ring0,似乎所有的sysenter都是通过KiFastSystemCall来调用的<br />KiFastSystemCall()<br />{<br /> sysenter<br />}<br /> <br />这样是不是可以通过Hook  KiFastSystemCall来了解哪些是需要调用内核的API了<br /> <br /> <br /> <br /> 
系统调用计算KiFastCallEntry地址的过程以及由此得到的一种获取KiFastCallEntry地址的方式
Lagon的专栏
03-23 1952
SYENTER和SYSEXIT指令首次出现于Pentium II处理器中,其目的是为了提供一个快速(低负载) 的调用操作系统或者执行体过程的机制.SYSENTER用于运行特权级别为3的用户 调用特权级0 的系统内核代码。 WinDbg中反汇编 KiFastSystemCall可以看到SYSENTER指令。 在调用SYSENTER指令前,CPU会通过下面的MSR
SystemCallStub与KiFastSystemCall的关系
zfs2008zfs的博客
08-25 1234
SystemCallStub与KiFastSystemCall的关系
API Hooking技术示例:TerminateProcess功能实现
资源摘要信息:"API Hooking与APIhook_TerminateProcess示例" API hooking(API钩子)是编程和系统开发领域中的一种高级技术,它允许开发者在操作系统层面上拦截和修改某个应用程序调用的系统API(应用程序编程接口...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值