支持x64,反一切R3下的常规Hook,完全基于Baby大佬的KiFastSystem...
前言[*]本程序完全基于Baby大佬的Kernel,保留Baby大佬的一切权限!
原理部分介绍:
[*]以“OpenProcess”这个大家熟悉的API为例子:
https://www.eyuyan.la/data/attachment/forum/201909/05/083704sad93absawx7s3wd.png
[*]程序若其中任意一步被Hook,则相当于“OpenProcess”被Hook了但是,这也启发了我们一些东西,假如我们去直接用SSDT编号调用Api的话,是不是相当于接近了内核,那么直接Hook“OpenProcess”或者“ZwOpenProcess”是也无效了?(理论上,这个方法可以绕过R3下一切的常规Hook,我们根本没有调用“ZwOpenProcess”,IAT,EAT钩子理论上全部失效!)
程序例子:
[*]首先先编写好代码:
[*]https://www.eyuyan.la/data/attachment/forum/201909/05/083704vjhuuo7mh8z9y2dy.png
[*]没有Hook下直接调用ZwSuspendProcess:
https://www.eyuyan.la/data/attachment/forum/201909/05/083704a1a1221iusxmie1e.png
[*]
[*]有Hook的情况下:
https://www.eyuyan.la/data/attachment/forum/201909/05/083704yzw6ywc03wc8dg66.png
[*]这时调用KiSuspendProcess:
https://www.eyuyan.la/data/attachment/forum/201909/05/083704pz8mr8qqm4bkcmf2.png
[*]你会发现,Hook根本对它没有效果,程序任然按照计划执行的
最后声明
[*]本程序完全基于Baby大佬的Kernel,保留Baby大佬的一切权限!
[*]
[*]下载链接:[*]https://t00y.com/file/20110282-443030258
[*]
页:
[1]