分析了一下360安全衛士的hook(zt)2010-6-3 18:36
閱讀(12)
分析了一下360的hook,通過直接hook kifastcallentry實現以所有系統呼叫的過濾。
我分析的版本如下:
主程式版本: 6.0.1.1003
hookport.sys版本: 1, 0, 0, 1005
hookport.sys的timestamp: 4a8d4ab8
簡單說明:360把所有被hook的系統服務的過濾函式放在了乙個表裡,索引即對應的系統服務在該過濾函式表中的索引。
所有列出來的函式都會被hook掉的,是否處理指某個系統服務有沒有相應的過濾函式進行處理,拒絕還是放行就是在過濾函式中完成判斷的。
不處理的系統服務,將會直接呼叫原始服務例程。
函式如下:
服務名稱 索引 是否處理 備註
ntcreatekey 0×00 否
ntqueryvaluekey 0×01 是
ntdeletekey 0×02 是
ntdeletevaluekey 0×03 是
ntrenamekey 0×04 是
ntreplacekey 0×05 是
ntrestorekey 0×06 是
ntsetvaluekey 0×07 是
ntcreatefile 0×08 是
ntfscontrol 0×09 是
ntsetinformationfile 0×0a 是
ntwritefile 0×0b 是
ntwritefilegather 0×0b 是 //和ntwritefile共用乙個過濾函式
ntcreateprocess 0×0d 是
ntcreateproces*** 0×0e 是
ntcreateuserprocess 0×0f 是 //only on vista or later
ntcreatethread 0×10 是
ntcreatethreadex 0×10 是 //和ntcreatethread共用乙個過濾函式,for vista or later
ntopenthread 0×11 是
ntdeletefile 0×12 是
ntopenfile 0×13 是
ntreadvirtualmemory 0×14 否
ntterminateprocess 0×15 是
ntqueueapcthread 0×16 是
ntsetcontextthread 0×17 是
ntsetinformationthread 0×18 否
ntprotectvirtualmemory 0×19 否
ntwritevirtualmemory 0×1a 是
ntadjustgrouptoken 0×1b 否
ntadjustprivilegestoken 0×1c 否
ntrequestwaitreplyport 0×1d 是
ntcreatesection 0×1e 是
ntopensecton 0×1f 是
ntcreatesymboliclinkobject 0×20 是
ntopensymboliclinkobject 0×21 否
ntloaddriver 0×22 是
ntunloaddriver 0×22 是 //和ntloaddriver共用乙個過濾函式
ntquerysysteminformation 0×23 是
ntsetsystemtime 0×25 否
ntsystemdebugcontrol 0×26 是
ntuserbuildhwndlist 0×27 是
ntuserquerywindow 0×28 是
ntuserfindwindowex 0×29 是
ntuserwindowfrompoint 0×2a 是
ntusermessagecall 0×2b 是
ntuserpostmessage 0×2c 是
ntusersetwindowshookex 0×2d 是
ntuserpostthreadmessage 0×2e 是
ntopenprocess 0×2f 是
ntdeviceiocontrolfile 0×30 是
ntusersetparent 0×31 是
ntopenkey 0×32 是
ntduplicateobject 0×33 是
ntresumethread 0×34 否
ntuserchildwindowfrompointex 0×35 是
ntuserdestroywindow 0×36 是
ntuserinternalgetwindowtext 0×37 否
ntusermovewindow 0×38 是 //和ntsetparent共用乙個過濾函式
ntuserrealchildwindowfrompoint 0×39 是 //和ntuserchildwindowfrompointex共用乙個過濾函式
ntusersetinformationthread 0×3a 否
ntusersetinternalwindowpos 0×3b 是 //和ntsetparent共用乙個過濾函式
ntusersetwindowlong 0×3c 是 //和ntsetparent共用乙個過濾函式
ntusersetwindowplacement 0×3d 是 //和ntsetparent共用乙個過濾函式
ntusersetwindowpos 0×3e 是 //和ntsetparent共用乙個過濾函式
ntusersetwindowrgn 0×3f 是 //和ntsetparent共用乙個過濾函式
ntusershowwindow 0×40 是
ntusershowwindowasync 0×41 是 //和ntusershowwindow共用乙個過濾函式
ntqueryattributesfile 0×42 否
ntusersendinput 0×43 否
ntalpcsendwaitreceiveport 0×44 是 //for vista or later
ntunmapviewofsection 0×46 是
ntusersetwineventhook 0×47 否
ntsetsecurityobject 0×48 是
ntusercallhwndparamlock 0×49 是
ntuserregisteruserapihok 0×4a 否
解除安裝360安全衛士帶來的悲劇
然後不用說直接度娘 找相關解決方案 解決方案1 我試了對我不起作用。解決方案2 我試了 可以,但是要修改資料庫連線串為格式,但這樣也不符合我的要求,我不能該成這種格式。後來我又仔細想了下這幾天我到底做了什麼操作而導致目前情況。貌似也就是解除安裝了360安全衛士,而且解除安裝後還出現win7開機帶滑鼠...
360安全衛士和火絨之間的事
聽說魯大師的溫度檢測不錯,我也覺的得不錯,這還是在我是個萌新的時候。隨著時間的流逝我已經不再是乙個聽從魯大師和360發小廣告的人了 每當廣告出現我一指他他就關掉了,其實我還在敲 誰頂得住這種頻率的廣告呢,於是我就把他們解除安裝了直接裸奔,沒毛病嘛,我也沒說他們不好,感謝這一年來他們對我電腦的保護。對...
當AdGuard遭遇360安全衛士的應對之策
眾所周知,adguard軟體對各種型別的廣告具備有效攔截,除此之外,也可以通過管理第三方cookie 快取 資料引數等方式充分保障使用者的隱私安全。由於該廣告攔截軟體功能特性的要求,在電腦系統中會預設占用某些許可權。而360安全衛士屬於系統安全軟體,兩款軟體產品在系統許可權方面會產生一些衝突。那麼當...