瞄一眼

 找回密码
 立即注册
查看: 404|回复: 18

[内核驱动] 利用ETW机制达到hook系统调用的目的

[复制链接]

320

主题

340

帖子

47

积分

管理员

Rank: 12Rank: 12Rank: 12

积分
47
发表于 2019-8-8 06:44:51 | 显示全部楼层 |阅读模式
ETW就是windows系统内核自带的 事件监视的一个东西 可以监视很多  比如ssdt的调用 从r3进入内核后 会首先进入ETW的回调 此时劫持堆栈上的参数 比如r3的软件要调用NtCloseFile() 堆栈上保存这个地址 你直接替换成其他nt函数地址  和hook有啥区别呢 效果一样 可惜hook 会触发PG检测 这种玩法太多了  中断事件啊 线程创建 进程创建 各种都可以diy 剩余自己脑补


更多相关参考资料:
游客,如果您要查看本帖隐藏内容请回复

游客,如果您要查看本帖隐藏内容请回复

游客,如果您要查看本帖隐藏内容请回复

下载地址
游客,如果您要查看本帖隐藏内容请回复




0

主题

3

帖子

0

积分

韶华一笑间

Rank: 1

积分
0
发表于 2019-9-19 17:11:53 | 显示全部楼层
look  up

0

主题

24

帖子

3

积分

韶华一笑间

Rank: 1

积分
3
发表于 2019-10-7 23:32:07 | 显示全部楼层
ETW很高大上的东西  好好学习了  谢谢分享

0

主题

10

帖子

1

积分

韶华一笑间

Rank: 1

积分
1
发表于 2019-10-8 16:33:50 | 显示全部楼层
学习下骚操作

0

主题

33

帖子

4

积分

韶华一笑间

Rank: 1

积分
4
发表于 2019-10-16 19:33:38 | 显示全部楼层
试试                  我

0

主题

2

帖子

0

积分

韶华一笑间

Rank: 1

积分
0
发表于 2019-11-11 16:14:55 | 显示全部楼层
感谢分享!!!!!!!!!!!!!

0

主题

2

帖子

0

积分

韶华一笑间

Rank: 1

积分
0
发表于 2019-11-11 16:41:00 | 显示全部楼层

感谢分享!!!!!!!!!!!!!

0

主题

2

帖子

0

积分

韶华一笑间

Rank: 1

积分
0
发表于 2019-11-12 09:16:44 | 显示全部楼层
nbnbnbnb

0

主题

14

帖子

2

积分

韶华一笑间

Rank: 1

积分
2
发表于 2019-11-12 09:24:02 | 显示全部楼层
感谢分享

0

主题

14

帖子

2

积分

韶华一笑间

Rank: 1

积分
2
发表于 2019-11-12 10:36:12 | 显示全部楼层
学习下怎么处理HOOK
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|瞄眼社区

GMT+8, 2020-4-6 09:01 , Processed in 0.273766 second(s), 29 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表