前言山石网科情报中心在分析狩猎样本时,对一些EDR对抗技术做了技术沉淀。该系列将由浅入深介绍EDR相关安全对抗技术。什么是 syscallWindows下有两种处理器访问模式:用户模式(user mo...
SSDT HOOK(补充)
修改页的属性两种范式1、第一种办法,用我们学过的知识,通过页表基址直接修改if(RCR4 & 0x00000020){//说明是2-9-9-12分页KdPrint(("2-9-9-12分页 %...
系统调用-SSDT HOOK
SSDT与SSDT Shadow前面我们已经介绍了系统服务表-SystemServiceTable,并且了解到一个程序如何从3环进入0环找到我们想要的函数,今天在完成SSDT HOOK项目之前,还需要...
如何使用 Dtrace 和 XPerf 监视 Windows 系统调用
监视系统调用 (syscall) 和分析系统行为可以帮助您调试产品并提高其性能、安全性和合规性。然而,由于缺乏内置工具以及需要逆向工程和应用程序行为分析的专业知识,监视 Windows 中的系统调用面...
内核实现x86QQ防截屏
本文为看雪论坛优秀文章看雪论坛作者ID:breeze911防截屏需要hook一个函数NtGdiBitBlt, 实现代码在附件里。//本来我以为要hook两个函数呢,还有个NtGdiStretchBlt...
构建API调用框架绕过杀软hook
0x00 前言 我们知道杀软在API函数的监控上一般有两种手段,一种是在3环直接通过挂钩到自己的函数判断是否调用了这个API,另外一种方式就是在0环去往SSDT表的路径上挂钩来判断进0环后的操作。那么...
构建API调用框架绕过杀软hook
0x00 前言 我们知道杀软在API函数的监控上一般有两种手段,一种是在3环直接通过挂钩到自己的函数判断是否调用了这个API,另外一种方式就是在0环去往SSDT表的路径上挂钩来判断进0环后的操作。那么...
构建API调用框架绕过杀软hook
首发于跳跳糖社区:https://tttang.com/archive/1546/前言 我们知道杀软在API函数的监控上一般有两种手段,一种是在3环直接通过挂钩到自己的函数判断是否调用了这个API,另...
【2022HVV系列】| 2-应急响应常用工具
1 进程分析工具1.1 ProcessHacker功能:ProcessHacker是一款不错的进程分析工具,可查看所有进程信息,包括进程加载的dll、进程打开的文件、进程读写的注册表……,也可以将特定...
ring0下使用内核重载绕过杀软hook
首发于奇安信攻防社区: https://forum.butian.net/share/1423前言内核重载听起来是一个很高大上的概念,但其实跟PE的知识息息相关,那么为什么会有内核重载的出现呢?我们知...
r0下进程保护
简介SSDT 的全称是 System Services Descriptor Table,系统服务描述符表。这个表就是一个把 Ring3 的 Win32 API 和 Ring0 的内核 API 联系起...