Hook ZwQueryInformationProcess 函數使得異常處理可以在shellcode上執行

原創 nLif 2020-07-03 23:17

32位系統上當你的shellcode有使用

__try

__except

進行處理時,系統最終會調用RtlIsValidHandler來判斷異常處理函數是否有效,如果你希望處理異常

應該是Hook RtlIsValidHandler,可是微軟沒有導出這個接口

於是我們逆向看看RtlIsValidHandler

發現它會判斷ZwQueryInformationProcess的返回值,這裏就是ExecuteFlag,這個值不好進行設置,內核會根據flag=8將其鎖死,所以我們hook ZwQueryInformationProcess即可

我們再看調用IsValidHandler的RtlDispatchException函數

也判斷了一個標記

那麼最終我們應該增加0x40+0x30 也就是0x70的標記即可

        //根據逆向我們似乎發現了一個辦法,也就是Process的MemoryFlag,可用ZwQueryInformationProcess來進行查詢
        //0x22 flag,返回的一個字節就是MemoryFlag
        //#define MEM_EXECUTE_OPTION_DISABLE                          0x1
        //#define MEM_EXECUTE_OPTION_ENABLE                           0x2
        //#define MEM_EXECUTE_OPTION_DISABLE_THUNK_EMULATION          0x4
        //#define MEM_EXECUTE_OPTION_PERMANENT                        0x8
        //#define MEM_EXECUTE_OPTION_EXECUTE_DISPATCH_ENABLE          0x10
        //#define MEM_EXECUTE_OPTION_IMAGE_DISPATCH_ENABLE            0x20
        //#define MEM_EXECUTE_OPTION_VALID_FLAGS                      0x3F
        //當其具有MEM_EXECUTE_OPTION_IMAGE_DISPATCH_ENABLE | MEM_EXECUTE_OPTION_EXECUTE_DISPATCH_ENABLE時就可以了
        //或者是0x70

 

下面是hook函數的代碼

NTSTATUS __stdcall MyZwQueryInformationProcess(
    IN HANDLE ProcessHandle,
    IN PROCESSINFOCLASS ProcessInformationClass,
    OUT PVOID ProcessInformation,
    IN ULONG ProcessInformationLength,
    OUT PULONG ReturnLength OPTIONAL
)
{
    g_bInMyZwQueryInformationProcess ++;
    if (ProcessInformationClass == ProcessExecuteFlags && ProcessHandle == GetCurrentProcess() && ProcessInformationLength == sizeof(ULONG))
    {
        NTSTATUS n2 = raw_ZwQueryInformationProcess(ProcessHandle,
            ProcessInformationClass,
            ProcessInformation,
            ProcessInformationLength,
            ReturnLength);

        if (g_bInMyZwQueryInformationProcess == 1)
        {
            //Debug_View(L"n2=%x, retlen=%d", n2, (*ReturnLength));
        }

        if (n2 == 0 && ProcessInformation)
        {
            if (g_bInMyZwQueryInformationProcess == 1)
            {
                //Debug_View(L"Old Execute Flag: %x", (*((ULONG*)ProcessInformation)));
            }

            (*((ULONG*)ProcessInformation)) |=0x70;
            
            if (g_bInMyZwQueryInformationProcess == 1)
            {
                //Debug_View(L"New Execute Flag: %x", (*((ULONG*)ProcessInformation)));
            }
        }

        g_bInMyZwQueryInformationProcess--;
        return n2;
    }

    g_bInMyZwQueryInformationProcess--;
    return raw_ZwQueryInformationProcess(ProcessHandle,
        ProcessInformationClass,
        ProcessInformation,
        ProcessInformationLength,
        ReturnLength);
}
 

 

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

SwiftUI ZStack overlay background 詳解與區別

設計 App 畫面時,除了控制元件的上下左右位置,控制元件的階層也很重要,因為它將決定 A 元件會覆蓋元件 B 還是被 B 覆蓋,影響元件是否會被別人檔到。 在 SwiftUI 裡主要有 ZStack,overlay & backgroun

PixWorld 2024-03-16 10:17:35

2024年首個iOS AI病毒來了!偷人臉照片,轉銀行卡餘額...

2024年2月15日,國外安全公司Group-IB宣佈,發現一個名爲“GoldPickaxe”的惡意軟件。該惡意軟件的iOS版本,誘騙用戶進行人臉識別、提交身份證件,然後基於用戶的人臉信息進行深度僞造。 通過深度僞造的虛假的人臉視頻,欺詐分

原創 2024-02-29 00:54:54

去新加坡旅遊,你必須要收藏瞭解的當地電商欺詐風險!

  2月9日,除夕,中國與新加坡免籤正式生效。免籤政策簡化了持普通護照中國遊客入境新加坡的程序,使通關更爲便捷。根據協定,雙方持普通護照人員可免簽入境對方國家從事旅遊、探親、商務等私人事務,停留不超過30日,爲兩國

原創 2024-02-23 00:38:14

修改虛函數中部分函數和HOOK虛函數

class CTestVirtual { public:     virtual void FunA()     {         std::cout << "FuncA " << m_iNum << std::endl;     }

yu_sn0w 2020-07-07 13:31:33

有點糊塗.

今天做了一個下午的HOOK,要做一個有記憶鍵盤功能的全局鉤子,沒想到搞半天做了一個亂七八糟的東西出來,哎..有點遺憾. LRESULT CALLBACK KeyboardProc( int code, //

sghgcn 2020-07-06 12:38:03

拉起遊戲客戶端carsh

提交新版本的遊戲客戶端carsh,詢問開發拿到最新的頭文件。開始文件的對比工作。   通過跟蹤代碼,發現TF 在啓動hook的時候報錯 Root::getSingletonPtr()->getActiveHookSystem()->sta

rolandluo 2020-07-06 03:13:38

Pytorch_hook機制的理解及利用register_forward_hook(hook)中間層輸出

參考文獻: 【1】梯度計算問題含公式:參考鏈接1. 【2】pytorch改動和.data和.detch()問題:https://blog.csdn.net/dss_dssssd/article/details/83818181 【3】ho

Foneone 2020-07-05 21:07:17

四級核心詞彙表

110. private a. 私人的,個人的111. individual a. 個別的,單獨的 n. 個人,個體112. personal a. 個人的,私人的;親自的114. personnel n. [總稱人員,員工;人事

lovefish2020 2020-07-05 09:30:08

Git自動部署

Git自動部署文件位於repository下面的hooks裏的post-receive #!/bin/sh set -e git-update-server-info gitosis-run-hook update-mirrors #

hugh_1013 2020-07-04 22:42:46

讓你在不編寫 class 的情況下使用 state 以及其他的 React 特性【React hook】

Hook 是 React 16.8 的新增特性。它可以讓你在不編寫 class 的情況下使用 state 以及其他的 React 特性。 那麼,什麼是 Hook? Hook 是一些可以讓你在函數組件裏“鉤入” React stat

馒头老爸 2020-07-04 16:03:21

不用DLL即可Hook得到按鍵代碼(支持XP)

不用DLL即可Hook得到按鍵代碼(支持XP) unit Main;interface uses  Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, F

siow 2020-07-04 08:47:48

炒魷魚 give sb.the hook “結婚”和“牧師”的幽默說法

炒魷魚 give sb.the hook   一百年以前,電影和電視還沒有成爲美國人生活的一個重要部份。然而,那個時候,美國各地都有戲院,演出那些比較輕鬆的節目,像唱歌,跳舞和滑稽等。有的時候,這些戲院還會讓一些業餘的演員在晚上客串演出,

wudong123 2020-07-04 05:42:46

linux內核netfilter之ip_conntrack模塊的作用舉例--nat和REDIRECT爲例

修改應用層協議控制包使用了ip_conntrack,iptables的REDIRECT target也使用了ip_conntrack,另外包括iptables的state模塊也是如此,使用ip_conntrack,可見ip_conntra

liuzhenhua_andy 2020-07-03 21:44:42

XposedHook:hook敏感函數

Xposed框架 Xposed框架通過修改Android系統的源碼,並替換Android的主程序Zygote(Init 是所有Linux程序的起點,而Zygote於Android,正如它的英文意思,是所有java程序的’孵化池’)

bin2415 2020-07-03 18:48:35

鉤子(Hook)教程

基本概念 鉤子(Hook),是Windows消息處理機制的一個平臺,應用程序可以在上面設置子程以監視指定窗口的某種消息,而且所監視的窗口可以是其他進程所創建的。當消息到達後,在目標窗口處理函數之前處理它。鉤子機制允許應用程序截獲處理win

xiexiaopingroma 2020-07-03 08:18:44