对付kernel / fsd inline hook/ssdt hook

最新推荐文章于 2020-02-17 09:42:48 发布
原创 最新推荐文章于 2020-02-17 09:42:48 发布 · 1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#hook #system #file #include #tools #disk

本文介绍了一种名为镜像系统的技术,该技术声称能够有效防止各种类型的Hook(钩子),包括代码Hook,但不包括数据Hook如NDIS或注册表蜂窝Hook等。通过复制内核文件和文件系统驱动文件,该技术旨在创建一个更安全的操作环境。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >



http://www.rootkit.com/vault/uty/NIAPAntiRootkitTools.rar
号称使用了无视一切 Hook 的“镜像系统”:
In these tools, we use some new tech called mirror system (pretty cool, we hope it worth the name ;p). We mirrored the kernel file, file system driver file, and it can do more. We think the effect is that there will be no more hook(code hook, not include data hook, like NDIS or registry hive hook, for now).

 

对付

remap ntfs/fatfat, ntoskrnel , 然后add  SysetmService,等等无效


对 disk级的无效
对 hal级无效
对XX,XXXX,以及XX1也无效无效

没有走到pool hook的扫描ntfs和fastfat特征...

没有随机设备名

 

老V那个在CVC上发烂了的BDFILE都可以??

FSD's Inline Hook & EAT modify check Completed
10-16 1276
   瞎折腾个半天,太菜, 之前也没怎么搞过检测程序,于是匆匆逆了下几个无壳的ARK,结合R3和R0,加上自己的一些总结,胡弄了个DEMO. 目前仅仅是遍历检测ntoskrnl.exe EAT(没加SSDT), 对于fastfat.sys/ntfs.sys/disk.sys等模块还没有检测,不过弄起来也很快, 支持对未导出函数 、Push+ret 等的HOOK检测,不过很脆弱,后期继续加强检
R0 下 FSD inline Hook 防删除
Rootkit ﹏
09-02 1000
<br />/*<br />                By 炉子[0GiNr]<br />                http://hi.baidu.com/breakinglove_<br />                http://0ginr.com<br />*/<br />typedef NTSTATUS (*pfnDrvDispath)(<br />                                  IN PDEVICE_OBJECT        DeviceOb
Windows钩子教程
10-23
windows钩子入门教程,适合新手。 来源:一路采撷 Blog:http://blog.csdn.net/MaybeHelios/
fsd inline hook
05-15 1314
这是一段未完成的代码 本来我打算用它来隐藏文件的 可是具体写隐藏文件函数的位置上出现了问题 现在正在思考中 把它发出了主要的目的其实是求助啦 不过我在网上找了好久相关的代码 却没找到 于是发上来跟大家分享一下代码:#include "ntddk.h"typedef BOOLEAN BOOL;typedef unsigned long DWORD;typedef DWOR
Windows驱动学习(六)-- FSD钩子
安全杂货铺
11-21 2621
教程参考自:https://www.bilibili.com/video/av26193169/?p=8 代码地址:https://github.com/G4rb3n/Windows-Driver/tree/master/MT_FSDHook 1. 概述 FSD钩子是一种较实用的过滤方法,对比于上一章的添加键盘过滤设备,这种方法更显得简单高效。 2. 驱动编写 2.1 驱动入口函数 入口函数简单明...
利用Hook技术实现Windows进程隐藏教程
在Windows内核中,有多种方式可以实现钩子,比如IAT(Hook)、Inline HookSSDT HookFSD Hook等。这些技术可以拦截各种API调用,并在调用执行之前修改其行为或结果。例如,通过SSDTSystem Service Dispatch Table...
PC Hunter是Windows系统信息查看软件,一种常用性质软件
最新发布
10-08
3.SSDT、Shadow SSDTFSD、KBD、TCPIP、Nsiproxy、Tdx、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看,并能检测和恢复ssdt hookinline hook 4.CreateProcess、CreateThread、LoadImage、CmpCallback、...
XueTr专用版 Hook 过保
10-30
3.SSDT、Shadow SSDTFSD、Keyboard、TCPIP、Classpnp、Atapi、Acpi、SCSI、Mouse、IDT、GDT信息查看,并能检测和恢复ssdt hookinline hook 4.CreateProcess、CreateThread、LoadImage、CmpCallback、...
pchunter64位 v1.6已签名 支持win11 强大的内核工具,强效手动杀毒,强力删除文件,强力结束进程
08-15
3.SSDT、Shadow SSDTFSD、KBD、TCPIP、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看,并能检测和恢复ssdt hookinline hook 4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、...
PCHunter32/PCHunter64
06-19
3.SSDT、Shadow SSDTFSD、KBD、TCPIP、Nsiproxy、Tdx、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看,并能检测和恢复ssdt hookinline hook 4.CreateProcess、CreateThread、LoadImage、CmpCallback、...
r0下FSD inline hook防删除
03-26 1676
只拦截了Ntfs.sys上的,FastFat同Ntfs。感觉更像是一个inline hook的例子 呵呵 :)引用:/*                By 炉子[0GiNr]                http://hi.baidu.com/breakinglove_                http://0ginr.com*/typedef NTSTATUS (*pfnD
FSD键盘钩子框架参考爱写驱动的女装大佬
Cosmopolitan的博客
09-15 447
环境:vs2013+wdk8.1 #include <ntddk.h> extern POBJECT_TYPE *IoDriverObjectType; PDRIVER_OBJECT kbdriver = NULL; typedef NTSTATUS(*pBeforeRead)(PDEVICE_OBJECT pDevice, PIRP pIrp); pBeforeRead Befo...
FSDHOOK恢复
125096
08-30 653
WCHAR DriverName[] = L"\\FileSystem\\ntfs"; WCHAR DriverPath[] = L"\\??\\C:\\WINDOWS\\system32\\drivers\\ntfs.sys"; RestoreFSDMajorRoutine(&DriverName, &DriverPath, IRP_MJ_CREATE); //函数名: Resto
fsd
Continue strive
07-10 418
fds<!--v/:* {behavior:url(#default#VML);}o/:* {behavior:url(#default#VML);}w/:* {behavior:url(#default#VML);}.shape {behavior:url(#default#VML);}--> Normal 0 7.8 磅 0
挂钩FSD实现文件隐藏
zacklin的专栏
05-18 1811
【文章标题】: 挂钩FSD实现文件隐藏 【文章作者】: index09 【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教! -------------------------------------------------------------------------------- 【详细过程】 最近看Fastfat驱动想到的方法。查了一下又是被别人玩过了,还是简单说一下吧
arm64 内核 inline hook
inquisiter
02-17 2252
linux 内核对于安全可能是比较重要的一环。 关于syscall table 表替换的问题 这里以linux 4.15和4.19为代表的说明我遇到的问题。 syscall hook 4.15 4.19 拥有可读写状态 hook成功 hook失败 这里似乎到4.19添加了对systable的保护。 如果非要对systable进行hook,可能替换这页表,改变物理地址指向是一种解...
FSD HOOKSSDT HOOK恢复简单思路
weixin_34292924的博客
09-03 325
FSD 解释: File System Driver文件系统驱动程序,分为本地FSD和远程FSD。 (1) 本地FSD:允许用户访问本地计算机上的数据 ——本地FSD负责向I/O管理器注册自己,当开始访问某个卷时,I/O管理器调用FSD来进行卷识别。 ——完成卷识别后,本地FSD创建一个设备对象以表示所装载的文件系统。 ——I/O管理器通过卷参数块(VPB)在存...
几种钩子类型
inuo2011的博客
03-01 1987
1.函数钩子:可以向被注入线程插入木马代码2.系统API钩子,通过给系统的API附加上一段小程序,达到监视甚至控制应用程序对API的调用。3.输入地址表(IAT)钩子,用另一个函数的地址替换DLL输入函数的地址4.中断分配表(IDT)钩子,替换中断分配表中中断服务程序(ISR)的入口地址5.IO请求包函数表(IRP)钩子,替换IRP函数表的一些表项来达到隐藏目的,如文件.网络端口.注册表项等。6....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值