hook

今天拿到一个比较有意思的dmp,分析之余觉得有趣,撰文以分享。
国外友人发表的一篇文章https://p4xon.blog/hooking-all-system-calls-in-windows-10-20h1/ 中提到了如何在20h1版本的Windows进行inf hook. 然而我发现在19041上存在不兼容.因此阅读原作者文章对其源码进行修改来学习infinity hook原理.
本章中我们进一步介绍,大家在学习和工作中使用Frida的实际场景,比如动态查看安卓应用程序在当前内存中的状态,比如指哪儿就能hook哪儿,比如脱壳,还有使用Frida来自动化获取参数、返回值等数据。
最近在实现linux的HIDS agent, 搜索资料时发现虽然资料不少, 但是每一篇文章都各自有侧重点, 少有循序渐进, 讲的比较全面的中文文章, 在一步步学习中踩了不少坑, 在这里将以进程信息收集作为切入点就如何实现一个HIDS的agent做详细说明。
通过API hook方法从微软RDP客户端中提取明文凭据。通过这种方法,如果攻击者掌握目标用户的权限(比如通过钓鱼攻击),并且用户打开了RDP会话,那么就可以提取明文密码,无需提升权限。
Uroburos是一个比较高级的rootkit,由两个文件,一个驱动程序和一个加密的虚拟文件系统组成。