请选择 进入手机版 | 继续访问电脑版
设为首页收藏本站

梦织未来

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 1267|回复: 14

[原创] 基于VT MSR HOOK的 SSSDT HOOK(win10 KiSystemCall64 Emulate)

[复制链接]

升级   100%

41

主题

5

精华

153

积分
发表于 2017-11-19 02:02:17 | 显示全部楼层 |阅读模式
本帖最后由 FadeC 于 2017-11-19 19:44 编辑

systemcall64_win10 - 副本.rar (4.74 KB, 下载次数: 136)
回复

使用道具 举报

升级   9.33%

47

主题

0

精华

228

积分
发表于 2017-11-19 12:39:27 | 显示全部楼层
的 SSSDT HOOK  0.0
回复 支持 反对

使用道具 举报

升级   8%

0

主题

0

精华

4

积分
发表于 2017-11-19 14:07:28 | 显示全部楼层
一个版本一个版本抠
回复 支持 反对

使用道具 举报

升级   100%

221

主题

66

精华

1504

积分
发表于 2017-11-19 15:10:02 | 显示全部楼层
这个就是需要定位的东西有点儿多,而且有些偏移可能版本变化就会变化。

我之前也在纳闷KiSystemCall64不好hook,后来就写那个一字节hook,就比较好解决这个问题了~
我一定是见鬼了!
回复 支持 反对

使用道具 举报

升级   100%

41

主题

5

精华

153

积分
 楼主| 发表于 2017-11-19 19:17:49 | 显示全部楼层
本帖最后由 FadeC 于 2017-11-19 19:32 编辑
mengwuji 发表于 2017-11-19 15:10
这个就是需要定位的东西有点儿多,而且有些偏移可能版本变化就会变化。

我之前也在纳闷KiSystemCall64不 ...
  1. namespace SyscallHook
  2. {
  3.         namespace MagicNumber
  4.         {
  5.                 namespace Win10
  6.                 {
  7.                         typedef enum _ShadowSSDTNum {

  8.                                 numNtUserBuildHwndList = 31,
  9.                                 numUserQueryWindow = 19,
  10.                                 numNtUserFindWindowEx = 111,
  11.                                 numNtUserGetForegroundWindow = 63,
  12.                                 numNtUserWindowFromPoint = 23,
  13.                                 numNtUserGetProcessUIContextInformation = 928,
  14.                                 numNtUserGetClassName = 124,
  15.                                 numNtUserGetCPD = 72
  16.                         }ShadowSSDTNum;

  17.                         typedef enum _SSDTNum {
  18.                                 numNtOpenProcess = 38,
  19.                                 numNtQuerySystemInformation = 54
  20.                         }SSDTNum;
  21.                 }

  22.                 namespace Win10_15063
  23.                 {
  24.                         typedef enum _Offset
  25.                         {
  26.                                 OFFSET_PsInvokeWin32 = 0x1E3,
  27.                                 OFFSET_KiConvertToGuiThread = 0x5E5,
  28.                                 OFFSET_KiSystemServiceExit = 0x2db,
  29.                                 OFFSET_KiSystemServiceCopyEnd = 0x2c0,
  30.                                 GUIThreadFlag = 0x40;
  31.                                 ServiceMaxNum = 0x100000;
  32.                         }Offset;

  33.                         
  34.                 }

  35.                 namespace Win10_16299
  36.                 {
  37.                         typedef enum _Offset
  38.                         {
  39.                                 OFFSET_PsInvokeWin32 = 0x1E3,
  40.                                 OFFSET_KiConvertToGuiThread = 0x5E5,
  41.                                 OFFSET_KiSystemServiceExit = 0x2db,
  42.                                 OFFSET_KiSystemServiceCopyEnd = 0x2c0,
  43.                                 GUIThreadFlag = 0x80;
  44.                                 ServiceMaxNum = 0x200000;
  45.                         }Offset;
  46.                 }
  47.         }
  48. }
复制代码



我是这样写的,其实也还好写,用特征码定位也行,KiSystemCall64 是导出的且变化不大。比较惊奇的是 GUIThreadFlag,ServiceMaxNum 这两个值居然变了


回复 支持 反对

使用道具 举报

升级   100%

221

主题

66

精华

1504

积分
发表于 2017-11-19 19:24:49 | 显示全部楼层
FadeC 发表于 2017-11-19 19:17
我是这样写的,其实也还好写,用特征码定位也行,KiSystemCall64 是导出的且变化不大。

我很好奇的是他们有的能把win10更新到17xxx版本,而我只能更新到16299版本,不知道怎么继续往上更新
我一定是见鬼了!
回复 支持 反对

使用道具 举报

升级   100%

41

主题

5

精华

153

积分
 楼主| 发表于 2017-11-19 19:35:04 | 显示全部楼层
mengwuji 发表于 2017-11-19 19:24
我很好奇的是他们有的能把win10更新到17xxx版本,而我只能更新到16299版本,不知道怎么继续往上更新{:4_1 ...

win10 有一个版本 和 一个内部版本

内部版本 16299.19
版本 1709
回复 支持 反对

使用道具 举报

升级   100%

221

主题

66

精华

1504

积分
发表于 2017-11-19 19:38:10 | 显示全部楼层
FadeC 发表于 2017-11-19 19:35
win10 有一个版本 和 一个内部版本

内部版本 16299.19

原来如此,那意思是16299已经是最新的啦
我一定是见鬼了!
回复 支持 反对

使用道具 举报

升级   100%

41

主题

5

精华

153

积分
 楼主| 发表于 2017-11-19 19:40:14 | 显示全部楼层
mengwuji 发表于 2017-11-19 19:38
原来如此,那意思是16299已经是最新的啦

反正我这里没看到推送更新的版本了
回复 支持 反对

使用道具 举报

升级   9.33%

47

主题

0

精华

228

积分
发表于 2017-11-20 22:12:45 | 显示全部楼层
mengwuji 发表于 2017-11-19 19:24
我很好奇的是他们有的能把win10更新到17xxx版本,而我只能更新到16299版本,不知道怎么继续往上更新{:4_1 ...

16299对应的不就是1703版本吗?难道是我理解有误??
回复 支持 反对

使用道具 举报

升级   42%

1

主题

0

精华

21

积分
发表于 2017-11-21 14:51:00 | 显示全部楼层
基情点赞
回复 支持 反对

使用道具 举报

升级   78%

5

主题

0

精华

39

积分
发表于 2017-12-1 13:51:15 | 显示全部楼层
有代码,就必须顶下,楼 主,辛苦
回复 支持 反对

使用道具 举报

升级   6%

0

主题

0

精华

3

积分
发表于 2017-12-2 18:36:25 | 显示全部楼层
下载下来是损坏的
回复 支持 反对

使用道具 举报

升级   100%

41

主题

5

精华

153

积分
 楼主| 发表于 2017-12-4 11:33:30 | 显示全部楼层
wc32168 发表于 2017-12-2 18:36
下载下来是损坏的

不是我自己下了一遍 我差点就信了
回复 支持 反对

使用道具 举报

升级   82%

4

主题

0

精华

41

积分
发表于 2017-12-24 00:33:39 | 显示全部楼层
mengwuji 发表于 2017-11-19 19:24
我很好奇的是他们有的能把win10更新到17xxx版本,而我只能更新到16299版本,不知道怎么继续往上更新{:4_1 ...

还有windows预览体验计划
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|手机版|小黑屋|Archiver|mengwuji ( 粤ICP备13060035号-1 )  

GMT+8, 2018-2-23 08:41 , Processed in 0.417398 second(s), 28 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表