邪恶八进制信息安全团队技术讨论组's Archiver

zhouzhen 2008-4-26 19:52

[原创]int 2eh 方式调用Native api

信息来源:邪恶八进制信息安全团队 forum.eviloctal.com
文章作者:zhouzhen[E.S.T]

小技巧。但是用的人好像不多。

例子:  Windows 2000 下[code]
NtQuerySystemInformationNo = 0x97;

_declspec(naked)
NTSTATUS __stdcall PrivateNtQuerySystemInformation
                 (IN     SYSTEM_INFORMATION_CLASS,
   IN OUT PVOID,
   IN     ULONG,
   OUT    PULONG OPTIONAL)
{

_asm {
mov eax, NtQuerySystemInformationNo
lea edx, [esp+4]
int 2Eh
ret 10h
}

}
[/code]附件中的程序便使用这个tip

ring3 下直接查出 hxdef100r , 不用任何驱动技术 :)

dayang1718 2008-4-27 09:28

是不是可以用这个技巧就不用驱动就能修复SSDT呢?

eros412 2008-4-27 20:03

回复 沙发 dayang1718 的帖子

使用interrupt方式调用syscall和修复SSDT是两回事,hacker defender并没有挂钩SSDT

[[i] 本帖最后由 eros412 于 2008-4-27 21:05 编辑 [/i]]

dayang1718 2008-4-30 10:27

我说的是,不用写驱动的方式直接操作系统底层,不是针对什么hacker defender的

starrick 2008-4-30 12:11

[quote]原帖由 [i]dayang1718[/i] 于 2008-4-30 10:27 发表 [url=https://forum.eviloctal.com/redirect.php?goto=findpost&pid=141979&ptid=32930][img]images/common/back.gif[/img][/url]
我说的是,不用写驱动的方式直接操作系统底层,不是针对什么hacker defender的 [/quote]

那就只有物理内存读写了吧.但是这类行为基本都被监控了(HIPS.

Anskya 2008-5-3 00:17

意思就是相当于
调用ntdll下的函数。。。因为ntdll就是这样进入ring0的。。。啊哈~
反汇编一下就知道了PEID足以

sunwear 2008-5-3 09:30

[url]http://forum.eviloctal.com/viewthread.php?tid=7070[/url]
请看此贴
XP下是sysenter  哎 你代码不通用啊.

starrick 2008-5-4 12:10

[quote]原帖由 [i]eros412[/i] 于 2008-4-27 20:03 发表 [url=https://forum.eviloctal.com/redirect.php?goto=findpost&pid=141908&ptid=32930][img]images/common/back.gif[/img][/url]
使用interrupt方式调用syscall和修复SSDT是两回事,hacker defender并没有挂钩SSDT [/quote]

其实是有的..不过只有几个

页: [1]
© 1999-2008 EvilOctal Security Team