首页
论坛
课程
招聘
[原创]I/O HOOK大法
2013-5-8 09:38 4244

[原创]I/O HOOK大法

2013-5-8 09:38
4244
这样hijack 文件操作感觉如何,比直接修改MJ_READ,MJ_WRITE函数指针隐蔽多了吧
晕,我最近好像变得相当猥琐了呢
有兴趣的兄台可以帮忙写个DEMO代码看看

2021 KCTF 秋季赛 防守篇-征题倒计时(11月14日截止)!

上传的附件:
  • 1.PNG (70.25kb,20次下载)
收藏
点赞0
打赏
分享
最新回复 (7)
雪    币: 2140
活跃值: 活跃值 (404)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
zhouws 活跃值 2 2013-5-8 10:07
2
0
楼主加油。
但这个大概一年前就有人做了。
雪    币: 105
能力值: (RANK:50 )
在线值:
发帖
回帖
粉丝
phpskycn 活跃值 1 2013-5-8 11:05
3
0
好像还不够底层
雪    币: 255
活跃值: 活跃值 (18)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
AioliaSky 活跃值 1 2013-5-8 12:29
4
0
这就是传说中的IRP Hook?
雪    币: 427
活跃值: 活跃值 (68)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
Tee8088 活跃值 2 2013-5-8 13:16
5
0
IRP是好东西呀
雪    币: 1034
活跃值: 活跃值 (69)
能力值: ( LV12,RANK:750 )
在线值:
发帖
回帖
粉丝
boywhp 活跃值 12 2013-5-8 15:09
6
0
应该算是最顶层截获了,有时候不一定最底层就好,最顶层hook往往可以最早获取控制权
雪    币: 105
能力值: (RANK:50 )
在线值:
发帖
回帖
粉丝
phpskycn 活跃值 1 2013-5-8 16:03
7
0
顶层容易被绕过……
话说这不是最顶层吧,IRP之前还有系统服务……
雪    币: 7506
活跃值: 活跃值 (298)
能力值: ( LV9,RANK:610 )
在线值:
发帖
回帖
粉丝
achillis 活跃值 15 2013-5-8 19:35
8
0
文件系统栈的顶层嘛,咬文嚼字没意思,这个mj写过了,某年的360竞赛题目里……
游客
登录 | 注册 方可回帖
返回