内核 HOOK ZwMapViewOfSection

来源：互联网发布：淘宝引流软件哪个好编辑：程序博客网时间：2024/05/04 19:13

转自：http://lwglucky.blog.51cto.com/1228348/284829

有部分模块加载时会调用ZwMapViewOfSection,比如进程创建时映射N份DLL到自己的虚拟空间中去.我们替换SSDT中的这个函数,过滤出是加载Kernel32.dll的情况,从参数中取得其基址,Inline Hook其EAT中的CreateThread函数,跳转到在这个进程虚拟地址空间中申请的Buffer,在其中完成DLL的加载过程.
关键API:
ZwAllocateVirtualMemory ---- 在此进程空间中分配内存,存放Shellcode
ZwProtectVirtualMemory ---- 使当前内存块具有可读可写属性
IoAllocateMdl ---- 创建MDL
关键Code如下:

内核 HOOK ZwMapViewOfSection
Windows内核API HOOK
hook 内核的体会
内核级hook大法
内核hook工具
Windows内核API HOOK 之 Inline Hook
hook API系列---理解内核hook
Windows内核API HOOK 之 Inline Hook
Windows 内核API HOOK 之 Inline Hook
Windows内核API HOOK 之 Inline Hook
Hook 内核函数技术细节
linux内核系统调用hook
linux内核系统调用hook
内核hook NtQuerySystemInformation隐藏进程
360内核 inline Hook 分析
NT内核下的inline hook
2.6内核中netfilter hook点一览
详谈内核三步走Inline Hook实现
什么是P问题、NP问题和NPC问题
accp6.0 《使用javascript增强交互效果》学习笔记ch6 表单基本验证技术
C++ primer 第十一章
UVa 409 Excuses! Excuses!
OCR
内核 HOOK ZwMapViewOfSection
乔布斯
USACO 第一章总结
hibernate中java.util.Date类型映射
Linux Event Logging
VS2008中添加程序启动画面 splash screen
奶牛的午餐
网页设计要学什么
C++文件操作详解（ifstream、ofstream、fstream）