邪恶八进制信息安全团队技术讨论组 » 论坛原创{ Original Paper } » [原创]int 2eh 方式调用Native api

‹‹ 上一主题 | 下一主题 ››

发新话题

打印

[原创]int 2eh 方式调用Native api

zhouzhen

团队决策人

Rank: 9 Rank: 9 Rank: 9

E.S.T核心成员 COO

帖子: 479
精华: 50
积分: 6255
阅读权限: 255
性别: 男
在线时间: 817 小时
注册时间: 2004-11-11
最后登录: 2008-5-11

原创技术奖核心建议奖优秀管理奖软件研发奖

发短消息
加为好友
当前离线

楼主大中小发表于 2008-4-26 19:52 只看该作者

[原创]int 2eh 方式调用Native api

信息来源：邪恶八进制信息安全团队 forum.eviloctal.com
文章作者：zhouzhen[E.S.T]

小技巧。但是用的人好像不多。

例子： Windows 2000 下

复制内容到剪贴板

代码:

NtQuerySystemInformationNo = 0x97;



_declspec(naked)

NTSTATUS __stdcall PrivateNtQuerySystemInformation

                 (IN     SYSTEM_INFORMATION_CLASS,

   IN OUT PVOID,

   IN     ULONG,

   OUT    PULONG OPTIONAL)

{



_asm {

 mov eax, NtQuerySystemInformationNo

 lea edx, [esp+4]

 int 2Eh

 ret 10h

 }



}

附件中的程序便使用这个tip

ring3 下直接查出 hxdef100r ，不用任何驱动技术：）

附件

ps.rar (3.08 KB): 2008-4-26 19:52, 下载次数: 51

本帖最近评分记录

eros412 威望 +1 补充：Unix下调用int 0x80 2008-4-26 23:09

安全就象毒品一样，上瘾了就戒不掉了 http://www.6code.net

TOP

dayang1718

晶莹剔透§烈日灼然

Rank: 1

帖子: 75
精华: 0
积分: 256
阅读权限: 40
性别: 男
来自: shandong
在线时间: 76 小时
注册时间: 2006-10-7
最后登录: 2008-5-13

发短消息
加为好友
当前离线

沙发大中小发表于 2008-4-27 09:28 只看该作者

是不是可以用这个技巧就不用驱动就能修复SSDT呢？

love hack

TOP

eros412

Eros412

荣誉会员

Rank: 6 Rank: 6 Rank: 6

帖子: 11
精华: 0
积分: 3231
阅读权限: 100
性别: 男
来自: 马来西亚
在线时间: 104 小时
注册时间: 2007-5-6
最后登录: 2008-5-13

发短消息
加为好友
当前在线

椅子大中小发表于 2008-4-27 20:03 只看该作者

回复沙发 dayang1718 的帖子

使用interrupt方式调用syscall和修复SSDT是两回事,hacker defender并没有挂钩SSDT

[ 本帖最后由 eros412 于 2008-4-27 21:05 编辑 ]

TOP

dayang1718

晶莹剔透§烈日灼然

Rank: 1

帖子: 75
精华: 0
积分: 256
阅读权限: 40
性别: 男
来自: shandong
在线时间: 76 小时
注册时间: 2006-10-7
最后登录: 2008-5-13

发短消息
加为好友
当前离线

板凳大中小发表于 2008-4-30 10:27 只看该作者

我说的是，不用写驱动的方式直接操作系统底层，不是针对什么hacker defender的

love hack

TOP

starrick

晶莹剔透§烈日灼然

Rank: 1

帖子: 9
精华: 0
积分: 32
阅读权限: 40
在线时间: 3 小时
注册时间: 2008-4-25
最后登录: 2008-5-12

发短消息
加为好友
当前离线

地板大中小发表于 2008-4-30 12:11 只看该作者

引用:

原帖由 dayang1718 于 2008-4-30 10:27 发表
我说的是，不用写驱动的方式直接操作系统底层，不是针对什么hacker defender的

那就只有物理内存读写了吧.但是这类行为基本都被监控了(HIPS.

TOP

Anskya

技术核心组

Rank: 8 Rank: 8

E.S.T核心成员

帖子: 53
精华: 7
积分: 3796
阅读权限: 200
在线时间: 31 小时
注册时间: 2004-11-17
最后登录: 2008-5-11

发短消息
加为好友
当前离线

6楼大中小发表于 2008-5-3 00:17 只看该作者

意思就是相当于
调用ntdll下的函数。。。因为ntdll就是这样进入ring0的。。。啊哈～
反汇编一下就知道了PEID足以

TOP

sunwear

团队执行官

Rank: 8 Rank: 8

E.S.T核心成员

帖子: 3746
精华: 70
积分: 18677
阅读权限: 200
性别: 男
来自: 天津
在线时间: 1604 小时
注册时间: 2004-8-16
最后登录: 2008-5-13

优秀管理奖原创技术奖核心建议奖资料收集奖

发短消息
加为好友
当前离线

7楼大中小发表于 2008-5-3 09:30 只看该作者

http://forum.eviloctal.com/viewthread.php?tid=7070
请看此贴
XP下是sysenter 哎你代码不通用啊.

TOP

starrick

晶莹剔透§烈日灼然

Rank: 1

帖子: 9
精华: 0
积分: 32
阅读权限: 40
在线时间: 3 小时
注册时间: 2008-4-25
最后登录: 2008-5-12

发短消息
加为好友
当前离线

8楼大中小发表于 2008-5-4 12:10 只看该作者

引用:

原帖由 eros412 于 2008-4-27 20:03 发表
使用interrupt方式调用syscall和修复SSDT是两回事,hacker defender并没有挂钩SSDT

其实是有的..不过只有几个

TOP

‹‹ 上一主题 | 下一主题 ››

发新话题

邪恶八进制信息安全团队技术讨论组 » 论坛原创{ Original Paper } » [原创]int 2eh 方式调用Native api