开启辅助访问 切换到宽版

精易论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

用微信号发送消息登录论坛

新人指南 邀请好友注册 - 我关注人的新帖 教你赚取精币 - 每日签到


求职/招聘- 论坛接单- 开发者大厅

论坛版规 总版规 - 建议/投诉 - 应聘版主 - 精华帖总集 积分说明 - 禁言标准 - 有奖举报

查看: 9971|回复: 140
收起左侧

[其它源码] 恢复驱动回调和任意进程HOOK检测与恢复

[复制链接]

结帖率:100% (1/1)
发表于 2023-7-10 12:51:45 | 显示全部楼层 |阅读模式   广东省深圳市
分享源码
界面截图: -
是否带模块: -
备注说明: -
本帖最后由 同学麻烦让让 于 2023-7-10 12:56 编辑

公司说是为了内网安全怕不懂电脑的人运行了钓鱼软件啥的为了数据安全要求电脑必须安装了某监控软件才能联网,这个软件在网上简直是臭名昭著,内核方面下了进程和线程还有映像回调和OB回调,运行什么程序后台知道的一清二楚,R3方面全局注入了DLL把SOCKET相关的函数都HOOK了,浏览什么网站分析分析数据后台也能知道的一清二楚,还有监控屏幕啥的肯定也不能少,这怎么能忍,分驱动和应用层来处理,驱动方面本来是想枚举进程/线程钩子回调还有OB回调然后摘除,代码都从网上CTRL+C+V好了,后来想想似乎不用那么麻烦,直接把所有回调函数废除不就行了,x64里因为函数调用约定的原因直接函数头一个ret就行了,不用考虑那么多乱七八糟的平多少栈啥的,R3应用层方面主要是两个方面,第一是写了一个检测进程HOOK和恢复HOOK的程序,当然我只写了对下面几个DLL里的HOOK进行检测与恢复的功能
        moduleNameArray.push_back(_T("wsock32.dll"));
        moduleNameArray.push_back(_T("iphlpapi.dll"));
        moduleNameArray.push_back(_T("kernel32.dll"));
        moduleNameArray.push_back(_T("kernelbase.dll"));
        moduleNameArray.push_back(_T("ws2_32.dll"));
        moduleNameArray.push_back(_T("ntdll.dll"));

要增加检测其他DLL里的HOOK和修复就在数组里添加就行了,不过只检测了inlinehook,至于iat eat啥的没有检测和恢复,我用不到。
R3方面第二个措施是写了一个LSP程序注入到程序里拦截更上层的SOCKET相关函数,把连接指定IP的请求全部咔嚓,想监视屏幕没门。

这里把驱动和监测与恢复HOOK的源码发出来,如果大家有公司也装了这个软件,只要把驱动里的几个回调函数偏移改一下再编译和签名就行了,监测和恢复HOOK直接编译就行,这两个都是x64的程序。至于LSP的源码因为之前卖了一份给某个人就不好开源了。

555555555.JPG
驱动VS.JPG
111111111111.JPG
HOOK检测与修复.JPG
22222222222.JPG


hookReocver.rar (135.95 KB, 下载次数: 126)

评分

参与人数 7好评 +1 精币 +10 收起 理由
liu3315764684 + 1 YYDS~!
wa690602724 + 1 感谢分享,很给力!~
pj小黑屋 + 1 感谢分享,很给力!~
ppppzj + 2 支持开源~!感谢分享
※逍遥游※ + 1 感谢分享,很给力!~
易语言资源网 + 1 + 3 开源精神必须支持~
a524666979 + 1 一山更比一山高

查看全部评分


本帖被以下淘专辑推荐:

发表于 前天 21:29 | 显示全部楼层   广东省广州市
真有这么牛逼吗,不得下来看看有没有料
回复 支持 反对

使用道具 举报

签到天数: 2 天

发表于 2024-10-22 06:11:15 | 显示全部楼层   福建省龙岩市
牛逼,感谢
回复 支持 反对

使用道具 举报

结帖率:61% (30/49)

签到天数: 2 天

发表于 2024-8-10 23:22:54 | 显示全部楼层   云南省丽江市
恢复驱动回调和任意进程HOOK检测与恢复
回复 支持 反对

使用道具 举报

签到天数: 4 天

发表于 2024-7-31 19:57:03 | 显示全部楼层   上海市上海市

6666谢谢大佬分享
回复 支持 反对

使用道具 举报

签到天数: 2 天

发表于 2024-7-9 09:27:00 | 显示全部楼层   广东省深圳市
6666谢谢大佬分享
回复 支持 反对

使用道具 举报

结帖率:45% (10/22)

签到天数: 27 天

发表于 2024-7-4 08:20:20 | 显示全部楼层   辽宁省鞍山市
易语言有没有这种东西啊!不错的东西啊!
回复 支持 反对

使用道具 举报

结帖率:33% (2/6)

签到天数: 23 天

发表于 2024-3-21 13:34:06 | 显示全部楼层   广东省湛江市
回复 支持 反对

使用道具 举报

结帖率:33% (2/6)

签到天数: 23 天

发表于 2024-3-21 13:30:18 | 显示全部楼层   广东省湛江市
感谢分享,很给力!~
回复 支持 反对

使用道具 举报

发表于 2023-12-9 16:42:54 高大上手机用户 | 显示全部楼层   山东省济南市
666
回复 支持 反对

使用道具 举报

发表于 2023-9-1 03:56:18 | 显示全部楼层   湖北省荆州市
好东西啊,好多登录器就是这个原理
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则 致发广告者

发布主题 收藏帖子 返回列表

sitemap| 易语言源码| 易语言教程| 易语言论坛| 易语言模块| 手机版| 广告投放| 精易论坛
拒绝任何人以任何形式在本论坛发表与中华人民共和国法律相抵触的言论,本站内容均为会员发表,并不代表精易立场!
论坛帖子内容仅用于技术交流学习和研究的目的,严禁用于非法目的,否则造成一切后果自负!如帖子内容侵害到你的权益,请联系我们!
防范网络诈骗,远离网络犯罪 违法和不良信息举报电话0663-3422125,QQ: 793400750,邮箱:wp@125.la
Powered by Discuz! X3.4 揭阳市揭东区精易科技有限公司 ( 粤ICP备12094385号-1) 粤公网安备 44522102000125 增值电信业务经营许可证 粤B2-20192173

快速回复 返回顶部 返回列表