内核级利用通用Hook函数方法检测进程
2007-06-08 18:41
357 查看
[align=center]内核级利用通用Hook函数方法检测进程 www.hackbase.com 2007-1-5 0 黑客基地 [/align] | |||||
介绍通用hook的一点思想: 在系统内核级中,ms的很多信息都没公开,包括函数的参数数目,每个参数的类型等。在系统内核中,访问了大量的寄存器,而很多寄存器的值,是上层调用者提供的。如果值改变系统就会变得不稳定。很可能出现不可想象的后果。另外有时候对需要hook的函数的参数不了解,所以不能随便就去改变它的堆栈,如果不小心也有可能导致蓝屏。所以hook的最佳原则是在自己的hook函数中呼叫原函数的时候,所有的寄存器值,堆栈里面的值和hook前的信息一样。这样就能保证在原函数中不会出错。一般我们自己的hook的函数都是写在c文件里面的。例如hook的目标函数kireadythread。 那么一般就自己实现一个: hook kireadythread检测系统中的进程: 在线程调度抢占的的时候会调用kireadythread,它的原型为void fastcall kireadythread (in prkthread thread),在进入kireadythread时,ecx指向thread。所以完全可以hook kireadythread 然后用ecx的值得到但前线程的进程信息。kireadythread没被ntosknrl.exe导出,所以通过硬编码来。在2000sp4中地址为0x8043141f。 具体实现: (完) |
相关文章推荐
- 内核级利用通用Hook函数方法检测进程
- 内核级利用通用Hook函数方法检测进程
- 内核级利用通用Hook函数方法检测进程
- 内核级利用通用Hook函数方法检测进程
- 内核级利用通用Hook函数方法检测进程
- 内核级利用通用Hook函数方法检测进程
- 【收藏】内核级利用通用Hook函数方法检测进程
- 内核级利用通用Hook函数方法检测进程
- 内核级利用通用Hook函数方法检测进程
- 内核级利用通用Hook函数方法检测进程
- (转载)利用内核级通用Hook检测系统中的进程
- 利用内核级通用HOOK检测系统中的进程(转载)
- 解析Linux内核获取当前进程指针的方法
- Linux用户进程内存泄露一种检测方法
- 通用快速检测邮件故障思路方法
- K:利用System.getProperties()方法获得的虚拟机进程的信息
- linux内核的 等待队列 使用方法,wait_queue_head_t,进程休眠
- 在linux 内核中做开关变量的三种方法—— 利用proc 、sys文件系统,字符设备等与内核进行交互
- 内核驱动程序中获取当前用户进程的进程名的方法
- 通用快速检测邮件故障思路方法