adminWow64_Syscall_List 采用自构建的Syscall,允许易语言程序在64位系统中直接调用x64内核功能号进入内核
源码中已内置大量Zw*/Nt*相关函数,可快速调用且直接进入内核,*注意:请不要在32位系统上使用
调用一个函数本来是这样的:
Wow64_Syscall_List 就把它变成了这样而已:
借用了SysWhispers2开源库获取内核功能号的思维,并改造为适合易语言使用的ShellCode
说起SysWhispers其1代SysWhispers1通过事先定义各系统大量的功能号存根,使用时在通过系统版本号搜寻相应功能号,这种方法现在看来着实臃肿不堪
SysWhispers2 某天一觉睡醒突发奇想,换了一种办法,就是根据PEB取出导出表中 Zw*相关导出函数,并对其函数名哈希,把这个哈希后的值和函数入口RVA存根,并根据其RVA对其进行冒泡排序从小到大排列存根,那么排在最前面的函数就是功能号0,依次递增,cha询时根据函数名哈希值即可准确获得表中位置,返回其位置即为功能号
神奇的事情就此发生,这种获得功能号的方法貌似非常不错,用一张图表示的话:
发表评论