精易论坛

标题: 恢复驱动回调和任意进程HOOK检测与恢复 [打印本页]

作者: 同学麻烦让让 时间: 2023-7-10 12:51
标题: 恢复驱动回调和任意进程HOOK检测与恢复
本帖最后由同学麻烦让让于 2023-7-10 12:56 编辑

公司说是为了内网安全怕不懂电脑的人运行了钓鱼软件啥的为了数据安全要求电脑必须安装了某监控软件才能联网，这个软件在网上简直是臭名昭著，内核方面下了进程和线程还有映像回调和OB回调，运行什么程序后台知道的一清二楚，R3方面全局注入了DLL把SOCKET相关的函数都HOOK了，浏览什么网站分析分析数据后台也能知道的一清二楚，还有监控屏幕啥的肯定也不能少，这怎么能忍，分驱动和应用层来处理，驱动方面本来是想枚举进程/线程钩子回调还有OB回调然后摘除，代码都从网上CTRL+C+V好了，后来想想似乎不用那么麻烦，直接把所有回调函数废除不就行了，x64里因为函数调用约定的原因直接函数头一个ret就行了，不用考虑那么多乱七八糟的平多少栈啥的，R3应用层方面主要是两个方面，第一是写了一个检测进程HOOK和恢复HOOK的程序，当然我只写了对下面几个DLL里的HOOK进行检测与恢复的功能
      moduleNameArray.push_back(_T("wsock32.dll"));
      moduleNameArray.push_back(_T("iphlpapi.dll"));
      moduleNameArray.push_back(_T("kernel32.dll"));
      moduleNameArray.push_back(_T("kernelbase.dll"));
      moduleNameArray.push_back(_T("ws2_32.dll"));
      moduleNameArray.push_back(_T("ntdll.dll"));

要增加检测其他DLL里的HOOK和修复就在数组里添加就行了，不过只检测了inlinehook，至于iat eat啥的没有检测和恢复，我用不到。
R3方面第二个措施是写了一个LSP程序注入到程序里拦截更上层的SOCKET相关函数，把连接指定IP的请求全部咔嚓，想监视屏幕没门。

这里把驱动和监测与恢复HOOK的源码发出来，如果大家有公司也装了这个软件，只要把驱动里的几个回调函数偏移改一下再编译和签名就行了，监测和恢复HOOK直接编译就行，这两个都是x64的程序。至于LSP的源码因为之前卖了一份给某个人就不好开源了。

作者: yxl2008 时间: 2023-7-10 14:04
感谢分享，下载学习！！！

作者: cf2006a 时间: 2023-7-10 14:05
好像很不错的样子下个学习了

作者: wuqingg 时间: 2023-7-10 14:23
索德斯涅~~

作者: 熬夜 时间: 2023-7-10 14:28
程HOOK检测与

作者: 学习122 时间: 2023-7-10 14:47
感谢分享！

作者: jysoft2022 时间: 2023-7-10 14:50
谢谢分享

作者: cg1294429257 时间: 2023-7-10 15:19
66666666666666666666666

作者: j21zj7 时间: 2023-7-10 15:40
谢谢谢谢谢

作者: jiang910615 时间: 2023-7-10 16:10
遇到这种软件我都是拿出我的wtg u盘从另外一个系统里面去把它软件的驱动文件全部删掉，如果是域策略自动安装直接用ARK工具把gpsvc服务禁用掉

作者: jiang910615 时间: 2023-7-10 16:14

jiang910615 发表于 2023-7-10 16:10
遇到这种软件我都是拿出我的wtg u盘从另外一个系统里面去把它软件的驱动文件全部删掉，如果是域策略自 ...

我们公司的域控就是加域之后自动安装公共盘的360天擎等一众监控软件
解决方法就是：在加域之前先安装火绒设定好运行及安装任何程序都要经过确认，域控安装360天擎一样会被拦截到

作者: 菜就多多练 时间: 2023-7-10 16:26
66666666666666666666666

作者: 小小鱿鱼 时间: 2023-7-10 16:39
索德斯涅~~

作者: 小小鱿鱼 时间: 2023-7-10 16:39
111111111111111

作者: 同学麻烦让让 时间: 2023-7-10 16:45

jiang910615 发表于 2023-7-10 16:14
我们公司的域控就是加域之后自动安装公共盘的360天擎等一众监控软件
解决方法就是：在加域之前先安装火 ...

我们公司这个不能卸载，必须在他软件里输入用户密码登录，验证通过后才有网络，登录成功后也不能结束进程或暂停进程，如果这样做了过一段时间一样掉网，所以只能等验证通过后把能关掉的功能尽量干掉，而且我也怕直接干掉他时间久了会被后台发现，到时候来查我电脑就麻烦了

作者: yu520 时间: 2023-7-10 18:16
66666666666666666666666

作者: Shanks 时间: 2023-7-10 18:45

作者: 黑白之翼 时间: 2023-7-10 19:05

6666

作者: fyh505099 时间: 2023-7-10 19:12
感谢大佬享支持开源

作者: xiaosep123 时间: 2023-7-10 20:19
如果您要查看本帖隐藏内容

作者: kantal 时间: 2023-7-10 20:20
感谢大佬享支持开源

作者: pjm123 时间: 2023-7-10 20:42
谢谢分享

作者: 亿万 时间: 2023-7-10 21:06
支持开源~！感谢分享

作者: 1145960810 时间: 2023-7-10 21:47
学习一下

作者: pipicool 时间: 2023-7-10 22:08
学习一下

作者: zlw8504 时间: 2023-7-10 22:20
感谢楼楼分享！！！

作者: 网络注册网员 时间: 2023-7-10 22:56
必须支持

作者: 网络注册会员 时间: 2023-7-10 22:57
感谢分享

作者: qq1529195115 时间: 2023-7-10 23:12
恢复驱动回调和任意进程HOOK检测与恢复

作者: wjc826194 时间: 2023-7-10 23:30
学习一下感谢开源

作者: qq2518 时间: 2023-7-11 01:55
感谢分享。学习一下

作者: 故林 时间: 2023-7-11 07:36

作者: jiang910615 时间: 2023-7-11 08:30

同学麻烦让让发表于 2023-7-10 16:45
我们公司这个不能卸载，必须在他软件里输入用户密码登录，验证通过后才有网络，登录成功后也不能结束进程 ...

说明有心跳包和远程控制网络的服务器连接你试试抓包

作者: Fate 时间: 2023-7-11 08:57

感谢分享

作者: 一指温柔 时间: 2023-7-11 09:08
开源精神必须支持~

作者: bianyuan456 时间: 2023-7-11 09:13
已经顶贴，感谢您对论坛的支持！

作者: e时代科技 时间: 2023-7-11 09:32
恢复驱动回调和任意进程HOOK检测与恢复

作者: 同学麻烦让让 时间: 2023-7-11 10:41

jiang910615 发表于 2023-7-11 08:30
说明有心跳包和远程控制网络的服务器连接你试试抓包

是的，有心跳包，没敢动它，现在做的这些是在尽量不被后台发现的情况下能做到的了

作者: fenggei 时间: 2023-7-11 13:43
666666666666666666666

作者: 396384183 时间: 2023-7-11 15:20
感谢分享感谢分享

作者: 396384183 时间: 2023-7-11 15:20
感谢分享

作者: 小Ye夜 时间: 2023-7-11 17:14
支持学习看看啊

作者: 涛哥娱乐网 时间: 2023-7-11 17:19
谢谢分享！！！

作者: zichenhung 时间: 2023-7-11 18:33

开源精神必须支持~

作者: 萌新苏苏 时间: 2023-7-11 18:55
一山更比一山高

作者: 精易论坛龙 时间: 2023-7-11 19:49
谢谢分享

作者: 亿人不及一人 时间: 2023-7-11 20:01
牛的牛的，直接回调ret，省事方便

作者: Say 时间: 2023-7-11 20:01
很好、很强大，这个一定得支持！！！⊙_⊙

作者: 631935411 时间: 2023-7-11 20:50
6666666666666666

作者: Bszk 时间: 2023-7-11 20:52
支持一下

作者: hegh 时间: 2023-7-11 21:42
开源精神必须支持~

作者: 无泪殇 时间: 2023-7-11 22:19
6666666666666666666666666

作者: chinaswyx 时间: 2023-7-11 22:25
看看啥样的呢

作者: a'ゞ月红 时间: 2023-7-12 00:49
感谢分享

作者: 彗星爱地球 时间: 2023-7-12 01:10
谢谢楼主分享

作者: sdfdssd 时间: 2023-7-12 01:34
厉害了我的哥

作者: yangdoudou 时间: 2023-7-12 07:36
给楼主点赞或评分打赏，让楼主更有动力创作优秀内容！

作者: 一指温柔 时间: 2023-7-12 08:33
支持开源~！感谢分享

作者: ccok 时间: 2023-7-12 09:17
#在这里快速回复#您要查看本帖隐藏内容请回复

作者: 临安 时间: 2023-7-12 10:44
楼主辛苦了，谢谢楼主，感谢楼主分享，楼主好人一生平安！！！

作者: 月下老人 时间: 2023-7-12 11:21
感谢分享

作者: 734108950 时间: 2023-7-12 14:47
感谢分享

作者: 敬你 时间: 2023-7-12 14:48

感谢分享

作者: 风中的玫瑰 时间: 2023-7-12 18:44
下载学习.谢谢分享

作者: 白陌陌 时间: 2023-7-12 18:51
道高一尺魔高一丈

作者: 年华℡ 时间: 2023-7-12 19:08
道高一尺魔高一丈

作者: ttuzi 时间: 2023-7-12 19:23
感谢分享

作者: wb92704 时间: 2023-7-12 19:35
恢复驱动回调和任意进程HOOK检测与恢复

作者: xiaoniu1230 时间: 2023-7-12 19:56
感谢分享支持开源！

作者: lobid 时间: 2023-7-12 22:28
楼主辛苦了，谢谢楼主，感谢楼主分享，楼主好人一生平安！！！

作者: 萌新苏苏 时间: 2023-7-12 23:34
支持开源~！感谢分享

作者: tvvvhg 时间: 2023-7-12 23:39
支持楼主

作者: snufgpl 时间: 2023-7-13 00:08
支持楼主

作者: 宇晨CC 时间: 2023-7-13 00:16
看看帖子里藏了啥好东西~~~

作者: dzscuz 时间: 2023-7-13 00:33
看看啥操作！

作者: weiyoucg 时间: 2023-7-13 02:28
LSP程序注入到程序

作者: 有亮啦 时间: 2023-7-13 04:17
一山更比一山高

作者: nz夕颜 时间: 2023-7-13 07:57
1111111111111111

作者: 1043603367 时间: 2023-7-13 08:36
这是用魔法打败魔法呀。

作者: fanfall 时间: 2023-7-13 10:07
恢复驱动回调和任意进程HOOK检测与恢复

作者: a370398126 时间: 2023-7-13 12:25
看看看看看看

作者: nb1130 时间: 2023-7-13 20:17
学一下学一下

作者: f451ykcm 时间: 2023-7-13 20:30

作者: 1184798949 时间: 2023-7-13 20:50
谢谢分享！

作者: heckvo 时间: 2023-7-13 23:04
支持开源，感谢分享

作者: gfx4ga 时间: 2023-7-14 06:24

支持开源，感谢分享

作者: muye84 时间: 2023-7-14 06:44
感谢分享，很给力！~

作者: 内存Hook专业户 时间: 2023-7-14 14:54

作者: 温暖的舌骨 时间: 2023-7-14 22:24

作者: freeocean 时间: 2023-7-15 00:51
赠人玫瑰手有余香

作者: vesslin 时间: 2023-7-15 03:20
学一下学一下

作者: youxiaxy 时间: 2023-7-15 08:19
要增加检测其他DLL里的HOOK和修复就在数组里添加就行了，

作者: eqdrp 时间: 2023-7-15 08:45
感谢楼主的分享

作者: szxct4 时间: 2023-7-15 11:01
感谢分享

作者: ppppzj 时间: 2023-7-15 15:02
多谢楼主分享！

作者: 不二猫猫 时间: 2023-7-15 19:51

作者: jiqigouer 时间: 2023-7-16 00:52
谢谢分享

作者: 灵猫作者 时间: 2023-7-16 11:49
感谢分享，很给力！~

作者: bbb620 时间: 2023-7-17 02:04
感谢分享，很给力！~

作者: 楓哥哥 时间: 2023-7-17 04:52
66666666666666

欢迎光临精易论坛 (https://125.confly.eu.org/)