NDIS HOOK开发简单日志

最新推荐文章于 2020-11-24 21:39:22 发布
最新推荐文章于 2020-11-24 21:39:22 发布
阅读量4.4k 收藏
点赞数
分类专栏: 网络协议编程-攻击和网络驱动 文章标签: hook null xp string build ddk
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/675463
版权

今天调试了下uay backdoor, 其实基于ndis hook的想法的rootkit,2003年的时候我已经想过,一直没有动手了,看来实战第一. 呵呵,当然波兰的女hacker的rootkit 似乎也是这个思路,没有公布一点源码,这里我们应该感谢uay; 他在源代码里面也提到是采用了gjp的ndis hook技术---fake protocol,其实就是注册一个假协议获取协议连,从而递归来hook所有的协议驱动的一些收发函数, 关键是2000下和xp,2003的ndis_open_block的结构是不同的,gjp的代码是相当完全,不过没有太多说明,他当然是知道的. 另外是最近公开的部分kernel socket代码,就是核心层自己发包构建协议的意思.

uay的后门完全是在xp下使用xp ddk开发的,所以部分函数直接build无法通过,首先我们可以看到了函数RtlGetVersion函数,在2000的ntddk中可以查阅到此函数,但是已经声明只能在xp以上的系统中使用,我们应该替换这个为

BOOLEAN
  PsGetVersion(
  PULONG  MajorVersion  OPTIONAL,
  PULONG  MinorVersion  OPTIONAL,
  PULONG  BuildNumber  OPTIONAL,
  PUNICODE_STRING  CSDVersion  OPTIONAL
  );

   适用系统是nt/2000了, 为了满足多平台这里的框架代码可能要进行调整,好,暂时修改下,build后可以发现error C4013: 'NdisGetPoolFromPacket' undefined这个错误信息,查阅ndisgetpoolfrompacket可以看到此函数只适用与xp以上系统,retrieve the handle to the packet pool from which the packet was allocated,这时候要看看 ndis_packet结构定义了,你会发现_NDIS_PACKET_PRIVATE这个东西,呵呵,所以问题就好办了,

再连续解决这几个问题后,一切ok,下面调试,我们看看系统的_NDIS50_PROTOCOL_CHARACTERISTICS

呵呵,看看2000下的

Local var @ 0xf57cccf8 Type _NDIS50_PROTOCOL_CHARACTERISTICS
   +0x000 MajorNdisVersion : 0xfd ''
   +0x001 MinorNdisVersion : 0x15 ''
   +0x002 Filler           : 0x8043
   +0x004 Reserved         : 1
   +0x004 Flags            : 1
   +0x008 OpenAdapterCompleteHandler : 0x8113c020     +ffffffff8113c020
   +0x00c CloseAdapterCompleteHandler : 0xf57ccdcc     +fffffffff57ccdcc
   +0x010 SendCompleteHandler : 0x00000246     +246
   +0x010 WanSendCompleteHandler : 0x00000246     +246
   +0x014 TransferDataCompleteHandler : 0x80404043     nt!KiUnlockDispatcherDatabase+0
   +0x014 WanTransferDataCompleteHandler : 0x80404043     nt!KiUnlockDispatcherDatabase+0
   +0x018 ResetCompleteHandler : 0xf57ccd44     +fffffffff57ccd44
   +0x01c RequestCompleteHandler : 0xf57ccd9a     +fffffffff57ccd9a
   +0x020 ReceiveHandler   : (null)
   +0x020 WanReceiveHandler : (null)
   +0x024 ReceiveCompleteHandler : (null)
   +0x028 StatusHandler    : 0x8042f09f     nt!KeInsertQueue+0
   +0x02c StatusCompleteHandler : 0xf537420a     ndishook!DriverEntry+0
   +0x030 Name             : _UNICODE_STRING "瓿???"
   +0x038 ReceivePacketHandler : 0x80419079     nt!ExQueueWorkItem+0
   +0x03c BindAdapterHandler : 0x00000001     +1
   +0x040 UnbindAdapterHandler : 0x80421fda     nt!IoQueueWorkItem+0
   +0x044 PnPEventHandler  : 0x81119be8     +ffffffff81119be8
   +0x048 UnloadHandler    : 0x00000001     +1
   +0x04c ReservedHandlers : [4] 0xf57ccd64
   +0x05c CoSendCompleteHandler : 0x00000001     +1
   +0x060 CoStatusHandler  : (null)
   +0x064 CoReceivePacketHandler : 0xf57ccd9a     +fffffffff57ccd9a
   +0x068 CoAfRegisterNotifyHandler : 0x00000020     +20

iiprogram
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows防火墙之NDIS HOOK和TDI HOOK
深度技术安全
02-20 7894
<br />1、TDI HOOK<br /> TDI Client利用TDI接口,向TDI Server发送IRP(I/O Request Packet)请求包,来获得TDI Server提供的服务。因此,可以利用分层驱动原理[5],在TDI Client和TDI Server驱动之间加一层过滤驱动-FilterDriver.sys。对于TCP/IP协议而言,在Windows网络协议体系结构中是由Tcpip.sys驱动实现的。Tcpip.sys创建了几个设备对象,/Device/RawIp,/Device/
TCP中的7种定时器详解
Hyman's Blog
08-01 7128
TCP中的7种定时器:建立连接定时器、重传定时器、延迟应答定时器、坚持定时器、FIN_WAIT_2定时器、TIME_WAIT定时器
NDIS的NDIS_PROTOCOL_BLOCK和NDIS_OPEN_BLOCK的介绍
chenyujing1234的专栏
08-03 3306
转载自:http://blog.sina.com.cn/s/blog_4de78d5901000bfd.html   本人简单的介绍一种更有效的基于NDIS包拦截技术。 大家都知道,NDIS协议驱动程序是通过填写一张NDIS_PROTOCOL_CHARACTERISTICS的表,并调用NDIS API 函数NdisRegisterProtocol进行注册。现在我们来关注一下NDIS_P
Windows8核心态网络过滤研究
weixin_30355437的博客
06-08 276
Windows 8是微软公司推出的最新的客户端操作系统,内部名称Windows NT 80。相对于Windows NT 5.x,其网络结构变化非常大,原有的TDI,NDIS系统挂接方法不再适用。在Windows8系统中,微软引入了两种新的网络过滤系统,WFP和NDISfilter。WFP (Windows Filtering Platform)其包含从用户态到核心态的一系列应用层,根据需...
基于线程调度的同步机制
maomao171314的专栏
11-24 391
基于线程调度的同步机制 1 线程进入等待 当一个线程的控制流到达一个等待函数时,若等待的条件不满足,则线程调度器会将处理器的执行权交给其他处于备用或就绪状态的线程。这些被等待的对象可以用来协调线程之间的行为,它们被称为同步对象或者分发器对象。头部以DISPATCH_HEADER开始的对象都市分发器对象,定义如下: typedef struct _DISPATCHER_HEADER { union { struct { UCHAR Type; ...
NDIS HOOK的几种方法
namelcx的专栏
12-08 1743
NDIS HOOK大概有三种方法 1,Inline HOOK NDIS 的分发函数 2,修改 ndis.sys的导出表 3,注册一个假协议驱动,并通过协议链表找到tcpip节点,修改它的分发函数
ndis_hook.rar_Ndis hook_ndis
09-19
source code for ndis hooking .
基于Ndis Hook钩子技术开发的网络防火墙源代码
11-20
基于Ndis Hook技术开发的网络防火墙源代码
NdisHook防火墙
09-18
NdisHook做的简易防火墙,NdisHook防火墙源码
DrvFltIp.rar_DrvFltIp_NDIS Filter_Ndis hook_ndis_ndis过滤
09-14
一个驱动级的防火墙源程序,基于ndis hook,可以设定外部设定过滤规则,
基于费尔的Ndis Hook技术的网络监控系统防火墙源码
08-07
基于费尔的Ndis Hook技术的网络监控系统防火墙源码
探索NDIS HOOK新的实现方法
10-29
这是我在安全焦点上找的NDISHOOK方面的文章,很好的
Windows网络数据包NDIS_Hook拦截技术
12-27
Windows网络数据包NDIS_Hook拦截技术.pdf
NDIS HOOK实现方法
weixin_30417487的博客
04-13 139
转载探索NDIS HOOK新的实现方法(1) NDIS HOOK是专业级防火墙使用的一种拦截技术,NDIS HOOK的重点是如何获得特定协议对应NDIS_PROTOCOL_BLOCK指针,获得了该指针,接下来就可以替换该协议所注册的收发函数,而达到拦截网络数据的目的。 获 得NDIS_PROTOCOL_BLOCK指针的方法一般是用NdisRegisterProtocol注...
NT内核代码分析
Netfilter
02-09 4192
某种意义上nt内核用irql解决了一切,这正是由于它有一个基本的,核心的支撑。这就是它的抽象中断框架---IRQL。在linux中,我们知道,如 果我要知道能否调用schedule进行调度,那么我必须知道还有什么数据结构处在临界区,这个时候是否适合抢占,等等,当然内核的数据结构已经做得很好,我们做开发的不用考虑那么多,比如用spin_lock啦,用preempt_disable啦,但是当你读到这些
内核中的同步机制(二)
Returns' Station
05-23 1276
★.线程等待对象 一些对象时刻等待的 进程 线程 定时器 各种同步对象等等 可被等待的对象,开头都是一个分发器头,这是WRK中的定义,WDK中的定义要更复杂点 typedef struct _DISPATCHER_HEADER { union { struct { UCHAR Type; 对象类型 union
Windows操作系统文件安全NDIS-Hook的实现方法
weixin_33943347的博客
01-17 326
NDIS-Hook技术的工作机制是挂接网络驱动NDIS.SYS的函数库中的导出函数,在发向NDIS的请求之前就会被挂接并经过自己函数的处理。在Windows实现NDIS-Hook时有两种不同的思路可以利用。①对内核驱动NDIS.SYS的Exporttable进行Hook 在Windows下,可执行文件(包括DLL以及SYS)都是遵从PE(PortableExe-c...
NDIS网络数据监控程序NDISMonitor(1)-----驱动程序(编译过程与源码讲解)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
10-09 1481
一、编译过程 弄了半天终于编译通过了,看来驱动的开发确实没有应用来得简单啊。 由于DDK提供的ndis.h有4个,什么时候要调用哪个我确实不清楚: (1)我先用#include 结果报错了: [plain] view plaincopy 1>1>errors in directory e:\g2\fft\usbdri~1\ndismo~1\ndismo~4\d
ndis passthru
最新发布
05-16
NDIS Passthru,又称NDIS Intermediate Driver,在Windows内核技术中扮演着非常重要的角色。NDIS Passthru可以实现网络数据包的捕获、修改,并继续转发到网络上,是网络协议栈透明代理的一种实现方式。NDIS Passthru...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值