Detours within Windows kernel

最新推荐文章于 2025-11-25 12:58:51 发布
转载 最新推荐文章于 2025-11-25 12:58:51 发布 · 1k 阅读 · 0
文章标签:

#windows #ddk #hook #service #module #function

本文介绍了一种在Windows环境下实现内联函数Hooking的方法,即Detouring技术。作者未能找到现成的解决方案,因此自行开发了一个名为KREMBO的驱动程序,用于拦截和修改nt!RtlRandom函数的行为。该文章包含了源代码及已编译的驱动文件。
By: izik

 

  I had to do an inline function hooking (aka. Detouring) to accomplish some task. When I've started looking around for example in rootkits source codes, it turns out no rootkit is actually using this method. It's makes sense in a way since it's much easier to hook functions within service tables when trying to intercept calls from applications to the kernel, but as far as intercepting functions within the same module (driver) it won't work. Since I couldn't find anything, I have then decided to write my own detouring driver, now I am publishing it for educational purpose only

KREMBO is a Windows driver which detours nt!RtlRandom (for no particular reason, just as a proof of concept). It's well commented and includes debug prints. I have successfully compiled it with Windows DDK 3790.1830. The zip includes in it, both the source code and an already compiled (in checked environment) driver.

KREMBO (.zip)
基于detoursWindows Hook
小龙在线
06-19 743
Detours是一个用于在Windows上监视和检测API调用的软件包。Detours 是一个由 Microsoft Research 开发的库,它允许开发人员在运行时动态地拦截(或“钩子”)Windows API 函数调用。这对于诸如调试、日志记录、模拟、扩展或修改应用程序行为等任务特别有用。通过使用 Detours,开发者可以透明地替换任何已存在的函数,同时保持其原始功能(如果需要)的可用性。
Kernel Detours
xiaoqiangvs007的专栏
06-13 1338
2007年02月19日 星期一 上午 08:58 修改了微软的Detours库使之可以在驱动中使用,并且可以用在DriverWorks类库环境中,运行测试通过,感觉巨爽!呵呵! // KnlDetoursDriver.cpp//// Generated b
detours, x86 kernel hook 以及 x64 kernel hook
基岩的专栏
02-28 1762
detours, x86 kernel hook 以及 x64 kernel hookhttp://bbs.driverdevelop.com/htm_data/92/0702/99096.html我假设读者已经非常熟悉detours,阅读此文只是为了增强对detours的理解以及为了实现x64 hook。有关detours原理部分不再多讲。X86 Kernel Hook早些年,我把det
Windows API钩子
zhaotianff的专栏
07-30 1513
原文链接:https://www.cnblogs.com/zhaotianff/p/18073138有前面的文章中,我介绍了一个Windows API的监控工具(API Monitor)的使用。它内部就是使用了Hook机制,能Hook Windows API,能在我们钩选的API函数被调用时,进入中断。这里我们借助github上一个库来自己实现一下类似API Monitor的功能。项目地址:https://github.com/TsudaKageyu/minhookThe Minimalistic x86/
detours, x86 kernel hook 以及 x64 kernel hook [转自驱动开发网]
xiaoqiangvs007的专栏
06-13 5452
  HuYuguang 2007-02-09 14:08 我假设读者已经非常熟悉detours,阅读此文只是为了增强对detours的理解以及为了实现x64 hook。有关detours原理部分不再多讲。X86 Kernel Hook早些年,我把
A Catalog of Local Windows Kernel-mode Backdoor Techniques
07-24 2608
 skape & Skywing mmiller@hick.org & Skywing@valhallalegends.com        Abstract: This paper presents a detailed catalog of techniques that can beused to create local kernel-mode backdoors on Windows
A Catalog of Local Windows Kernel-mode Backdoor Techniques—WIndows内核级后门技术
MMOG Server/Graphics Engine/C++ - 周龙亭的专栏
11-28 2490
A Catalog of Local Windows Kernel-mode Backdoor Techniques文章作者:skape & SkywingAbstract: This paper presents a detailed catalog of techniques that can beused to create local kernel-mode backdoors
MhookDetours
02-01 505
Detours vs. Mhook Detours is available for free with a noncommercial license but it only supports the x86 platform. Detours can also be licensed for commercial use which also gives you full x64 sup
windows下的api hooking技术
G_Spider的专栏
07-30 2607
<br />API Spying Techniques for Windows 9x, NT and 2000<br /><br />Yariv Kaplan<br /><br />API spying utilities are among the most powerful tools for exploring the inner structure of applications and operating systems. Unfortunately, neither the SDK nor th
【OBS】vs2019 + QT5.15.2 : obs-studio-27.2.4 configure和vs工程生成
突围
04-02 2784
下载的官方 发布版本, 但是https://github.91chi.fun/https://github.com/obsproject/libdshowcapture.git 竟然没有。 要自己来。 DepsPath DepsPath Windows API version is 10.0.22000.0 CMake Warning at CMakeLists.txt:54 (message): DepsPath variable is missing. Please set this ..
kbhook.zip_detours_kbhook_windows_windows lock_锁定键盘
09-19
"kbhook.zip_detours_kbhook_windows_windows lock_锁定键盘"这个压缩包文件内容可能涉及到了一种利用Detours库来实现键盘钩子(KBHOOK)的方法,以便在Windows系统中锁定键盘输入。 Detours是Microsoft Research...
Detours:Detours是一个软件包,用于监视和检测Windows上的API调用。 它以源代码形式分发-windows source code
03-25
DetoursWindows NT操作系统家族兼容:Windows NT,Windows XP,Windows Server 2003,Windows 7,Windows 8和Windows10。WindowsStore应用程序无法使用它,因为Detours需要这些应用程序不可用的API。 此存储库...
Java·关于List
Porunarufu的博客
11-25 378
List 是Collection接口的子接口,用于存储有序、可重复有序性:元素的插入顺序与存储顺序一致,支持通过索引(0 起始)访问元素;可重复性:允许存储多个相同的元素(包括null索引操作:提供了基于索引的增删改查方法(这是 List 与 Set 最核心的区别)。
使用Qoder编写ztdaq的C#跨平台示例总结
最新发布
haohaoganhuo的专栏
11-25 421
CSTest2是一个基于C# .NET 8.0和Avalonia UI框架开发的数据采集演示程序,主要用于与工业采集卡设备进行通信,实现AD(模数转换)数据的实时采集和波形显示功能。该程序提供了设备连接、数据采集、波形可视化等核心功能。
Kotlin中的infix函数:优雅的DSL设计利器
dongdeaiziji的专栏
11-21 525
Kotlin的infix函数允许以更自然的语法调用函数,省略点号和括号。它必须是成员/扩展函数,且只能有一个参数。常见应用场景包括:创建测试断言(如x shouldBe y)、构建DSL(如SQL查询)、数学运算和集合操作。虽然infix能提高代码简洁性,但需注意优先级规则(低于算术运算符)并避免过度使用影响可读性。最佳实践包括选用直观的函数名、保持简单逻辑,特别适合领域特定语言开发。合理使用infix可使API更优雅,但应始终以代码清晰度为优先考量。
Java中泛型擦除详解
2301_77029970的博客
11-25 285
Java是伪泛型,Java在编译期间,所有泛型信息都会被擦除掉。具体来说,就是在编译期间,编译器会将泛型类型参数,例如<T>,替换为它们的边界类型(如果没有指定边界,则替换为Object),并在需要的地方插入类型转换,以保证类型安全。这样,在运行的字节码中,泛型类型信息就被擦除掉了。泛型擦除的主要目的是为了保持与旧版本Java的兼容性,因为泛型是在Java 5引入的,而Java的类库和应用程序在之前是没有泛型的。泛型代码可以与非泛型代码可以互操作。在编译后,由于泛型擦除,就会变成。
Java项目——斗地主小游戏(控制台版)
2401_84643729的博客
11-21 357
Java项目——斗地主小游戏(控制台版)
xxl-job事务
C18298182575的博客
11-21 637
XXL-Job中事务的正确用法。
【C++STL】List详解
lzh20040919的博客
11-25 669
list是C++的一个序列容器,允许在序列中的任意位置进行常数时间的插入和删除操作,并支持双向迭代。列表容器采用双向链表实现,与其他基本标准序列容器(数组、向量和双端队列)相比,列表在插入、提取和移动容器内已获得迭代器的任何位置的元素方面通常表现更好,主要缺点是它们无法通过位置直接访问元素
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值