初步实现系统级拦截应用程序取硬盘物理序列号

最新推荐文章于 2024-04-25 23:49:12 发布
最新推荐文章于 2024-04-25 23:49:12 发布
阅读量4.1k 收藏 3
点赞数
分类专栏: C++ 文章标签: access file null disk hook 算法

【详细过程】
  以前想模拟某个程序取硬盘系列号,就将一个DLL注入进去,拦截DeviceIoControl的返回值,将其修改为目标硬盘的值。
  后来看到REGMON 从SSDT着手拦截注册表操作,可以看到任何程序的读写操作,就仿着改了一下程序。经测试可以欺骗相当
  一部分程序读硬盘序列号,包括ASPROTECT及用其加密算法的子孙:)。
  
  我的思路是这样的:
   
  1、首先用程序取自己的真正的硬盘序列号,假设为XXXX
  
  2、拦截系统的ZwDeviceIoControlFile,并判断入口参数中的IoControlCode ,只有某几个特定的值用来取序列号的,
     目前在所有的程序中取硬盘序列号的,我只发现两个值, 0x7C088 和 0x4D008


第一个数 0x7C088 是对应 SMART drive(ATA) 硬盘接口,这个数在 NTDDK 的 ntdddisk.h 中定义:
 

代码:

   
   



//

// IOCTL support for SMART drive fault prediction.

//



#define SMART_RCV_DRIVE_DATA            CTL_CODE(IOCTL_DISK_BASE, 0x0022, METHOD_BUFFERED, FILE_READ_ACCESS | FILE_WRITE_ACCESS)

 


所以原文中对应的语句改成如下形式比较容易理解:
 

代码:

   
   



    if((SMART_RCV_DRIVE_DATA ==IoControlCode) && OutputBufferLength >DISK_SERIAL_BUFF_LENGTH){

        PUCHAR Locate = IsSubString(OutputBuffer,__DiskSerial,OutputBufferLength,DISK_SERIAL_BUFF_LENGTH);

        if(Locate){

            UCHAR i;

            for(i=0;i<20;i++){

                Locate[i]= __ChangeTo[i];

            }

        }

    }

 


在DDK中对 SMART_RCV_DRIVE_DATA 的解释如下:
 

代码:

   
   



SMART_RCV_DRIVE_DATA

Operation

Returns the ATA-2 identify data, the SMART thresholds, or the SMART attributes for the device. This IOCTL must be handled by drivers that support SMART.



Input

The buffer at Irp->AssociatedIrp.SystemBuffer contains a SENDCMDINPARAMS structure that describes the request being sent to the device. The irDriveRegs.bCommandReg member specifies ID_CMD when identify data is requested and SMART_CMD when SMART data is requested. If SMART data is requested, the irDriveRegs.bFeaturesReg member specifies either READ_ATTRIBUTES or READ_THRESHOLDS.



Parameters.DeviceIoControl.InputBufferLength specifies the size in bytes of the input buffer, which must be >= (sizeof(SENDCMDINPARAMS) – 1).



Parameters.DeviceIoControl.OutputBufferLength specifies the size in bytes of the output buffer, which must be >= (sizeof(SENDCMDOUTPARAMS) – 1 + 512).



Output

The driver returns the SENDCMDOUTPARAMS structure and a 512-byte buffer of drive data to the buffer at Irp->AssociatedIrp.SystemBuffer.



I/O Status Block

The driver sets the Information field to (sizeof(SENDCMDOUTPARAMS) – 1 + 512) when it sets the Status field to STATUS_SUCCESS. Otherwise, the driver sets the Information field to zero and the Status field to possibly STATUS_INVALID_PARAMETER or STATUS_INSUFFICIENT_RESOURCES.

 


第二个数0x4D008 对应 SCSI 接口的硬盘,这个数在NTDDK 的 ntddscsi.h 中定义:
 

代码:

   
   



//

// NtDeviceIoControlFile IoControlCode values for this device.

//

// Warning:  Remember that the low two bits of the code specify how the

//           buffers are passed to the driver!

//



#define IOCTL_SCSI_MINIPORT             CTL_CODE(IOCTL_SCSI_BASE, 0x0402, METHOD_BUFFERED, FILE_READ_ACCESS | FILE_WRITE_ACCESS)

 


在NTDDK中对 IOCTL_SCSI_MINIPORT 的解释如下:
 

代码:

   
   



IOCTL_SCSI_MINIPORT

Operation

Sends a special control function to an HBA-specific miniport driver. Results vary, depending on the particular miniport driver to which this request is forwarded. If the caller specifies a nonzero Length, either the input or output buffer must be at least (sizeof(SRB_IO_CONTROL) + DataBufferLength)).



Input

The buffer at Irp->AssociatedIrp.SystemBuffer must contain an SRB_IO_CONTROL structure. Parameters.DeviceIoControl.InputBufferLength indicates the size in bytes of the buffer, which must be at least sizeof (SRB_IO_CONTROL), with additional storage for data if the Length field is nonzero.



Output

An updated SRB_IO_CONTROL structure is returned to the buffer at Irp->AssociatedIrp.SystemBuffer.



I/O Status Block

The Information field contains the number of bytes returned in the output buffer. The Status field indicates the results of the operation.

    
     如果IoControlCode为上面的值,读取系统原有的ZwDeviceIoControlFile返回BUFFER,并用串匹配方法查找 这个返回值中存在
     不存在XXXX,如果存在,替换为你要欺骗的值.
  
  代码很简单:
  
  UCHAR __DiskSerial[DISK_SERIAL_BUFF_LENGTH]={0};
  UCHAR __ChangeTo  [DISK_SERIAL_BUFF_LENGTH]={0};
  
  //一个简单的低率串匹配算法 ,判断一个串S1是不是另外一个串S2的子串
  PUCHAR IsSubString(PUCHAR String, PUCHAR SubString ,ULONG StringLength ,ULONG SubStringLength)
  {
      ULONG i,j;
      for(i=0;i<StringLength - SubStringLength +1 ;i++){
          for(j=0;j<SubStringLength;j++){
              if(String[i+j]!=SubString[j])
                  break;
          }
          if(j==SubStringLength)  //match a substring
              return String+i;
      }
      return NULL;
  }
  
  //----------------------------------------------------------------------
  //
  //  Our own routine for ZwDeviceIocontrolFile
  //  We change the hard disk serial number value requested by user
  //
  //----------------------------------------------------------------------
  NTSTATUS HookZwDeviceIoControlFile(
                                    IN HANDLE FileHandle,
                                    IN HANDLE Event OPTIONAL,
                                    IN PIO_APC_ROUTINE ApcRoutine OPTIONAL,
                                    IN PVOID ApcContext OPTIONAL,
                                    OUT PIO_STATUS_BLOCK IoStatusBlock,
                                    IN ULONG IoControlCode,
                                    IN PVOID InputBuffer OPTIONAL,
                                    IN ULONG InputBufferLength,
                                    OUT PVOID OutputBuffer OPTIONAL,
                                    IN ULONG OutputBufferLength
                                    )
  {
      NTSTATUS rc;
  
      rc = RealZwDeviceIoControlFile (
          FileHandle,
          Event,
          ApcRoutine,
          ApcContext,
          IoStatusBlock,
          IoControlCode,
          InputBuffer,
          InputBufferLength,
          OutputBuffer,
          OutputBufferLength
      );
      //判断IoControlcode是不是取序列号的值
      if((0x7c088 ==IoControlCode) && OutputBufferLength >DISK_SERIAL_BUFF_LENGTH){
  
          //判断返回值中是否包含当前的硬盘序列号,是的话用假的替换
          PUCHAR Locate = IsSubString(OutputBuffer,__DiskSerial,OutputBufferLength,DISK_SERIAL_BUFF_LENGTH);
          if(Locate){
              UCHAR i;
              for(i=0;i<20;i++){
                  Locate[i]= __ChangeTo[i];
              }
          }
      }
      return(rc);
  }
  
  
  目前,驱动只处理了简单的几个应用层的消息,包括停止欺骗,开始欺骗,设置新的欺骗值。
  
  BOOLEAN  HDHookDeviceControl( IN PFILE_OBJECT FileObject, IN BOOLEAN Wait,
                                IN PVOID InputBuffer, IN ULONG InputBufferLength,
                                OUT PVOID OutputBuffer, IN ULONG OutputBufferLength,
                                IN ULONG IoControlCode, OUT PIO_STATUS_BLOCK IoStatus,
                                IN PDEVICE_OBJECT DeviceObject ) {
      BOOLEAN                 retval = FALSE;
      ULONG i;
  
      // Its a message from our GUI!
      IoStatus->Status      = STATUS_SUCCESS; // Assume success
      IoStatus->Information = 0;              // Assume nothing returned
  
  
      switch ( IoControlCode ) {
  
      //  开始欺骗
  
      case HDHOOK_HOOK:
          HookStart();
          break;
  
      // 停止欺骗
  
      case HDHOOK_UNHOOK:
          HookStop();
          break;
  
      // 告诉驱动当前自己硬盘的序列号值为多少
  
      case HDHOOK_SETSELFVALUE:
        if( InputBufferLength < DISK_SERIAL_BUFF_LENGTH || InputBuffer == NULL){
          IoStatus->Status = STATUS_INVALID_PARAMETER;
          break;
        }
        for(i=0; i< DISK_SERIAL_BUFF_LENGTH ;i++)
          __DiskSerial[i] = ((UCHAR *)InputBuffer)[i];
  
          break;
  
      // 设置新的欺骗的硬盘序列号
  
      case HDHOOK_SETEMULABLEVALUE:
        if( InputBufferLength < DISK_SERIAL_BUFF_LENGTH || InputBuffer == NULL){
          IoStatus->Status = STATUS_INVALID_PARAMETER;
          break;
        }
  
        for(i=0;i< DISK_SERIAL_BUFF_LENGTH ;i++)
          __ChangeTo[i] = ((UCHAR *)InputBuffer)[i];
  
          break;
  
    //返回驱动的版本号
  
    case HDHOOK_VERSION:
          if ( OutputBufferLength < sizeof(ULONG) ||
               OutputBuffer == NULL ) {
              IoStatus->Status = STATUS_INVALID_PARAMETER;
              break;
          }
  
          *(ULONG *)OutputBuffer = REGMONVERSION;
          IoStatus->Information = sizeof(ULONG);
          break;
  
      default:
          IoStatus->Status = STATUS_INVALID_DEVICE_REQUEST;
          break;
      }
      return TRUE;
  }
  
  
  
  应用层程序可以通过如下简单代码与驱动进行通信:
  
  #define HDHOOK_HOOK                  (ULONG) CTL_CODE( FILE_DEVICE_REGMON, 0x00, METHOD_BUFFERED, FILE_ANY_ACCESS )
  #define HDHOOK_UNHOOK                (ULONG) CTL_CODE( FILE_DEVICE_REGMON, 0x01, METHOD_BUFFERED, FILE_ANY_ACCESS )
  #define HDHOOK_VERSION               (ULONG) CTL_CODE( FILE_DEVICE_REGMON, 0x02, METHOD_BUFFERED, FILE_ANY_ACCESS )
  #define HDHOOK_SETSELFVALUE          (ULONG) CTL_CODE( FILE_DEVICE_REGMON, 0x03, METHOD_BUFFERED, FILE_ANY_ACCESS )
  #define HDHOOK_SETEMULABLEVALUE      (ULONG) CTL_CODE( FILE_DEVICE_REGMON, 0x04, METHOD_BUFFERED, FILE_ANY_ACCESS )
  
  #define DISK_SERIAL_BUFF_LENGTH      20
  
  //设置新的序列号模拟值
  DeviceIoControl(__SysHandle,HDHOOK_SETEMULABLEVALUE,szEmulSerial,DISK_SERIAL_BUFF_LENGTH, NULL, 0, &dwDummy, NULL) ;
  
  //告诉驱动自己的硬盘序列号
  DeviceIoControl(__SysHandle,HDHOOK_SETSELFVALUE,szBuffer,DISK_SERIAL_BUFF_LENGTH, NULL, 0, &dwDummy, NULL) ;
  
  //开始拦截
  DeviceIoControl(__SysHandle,HDHOOK_HOOK,NULL,0,NULL,0,&dwDummy,NULL) ;
  
  
  //停止拦截
  DeviceIoControl(__SysHandle,HDHOOK_UNHOOK,NULL,0,NULL,0,&dwDummy,NULL) ;
  
  其中__SysHandle是安装驱动的句柄
  
  
  这篇文章的思路来自regmon(regmon版权申明我保留在文件中),写出来是方便调试那些有正版注册号且以硬盘序列号生成注册码的程序,方便一 下大家。
  
  附件中包含我写的一个简单的UI,用来与驱动通信。
  
  如果你觉得有用,希望有人能完成如下功能:
  1、进程过滤功能,只对特定程序拦截。
  2、考虑将上面的那个串匹配算法改得高效些,数据结构教材上有现成的:)
  3、那个返回值中有硬盘厂家,磁道数等信息,完成完全模拟,还有IoControlCode 的完善。
  
  若改好了希望能传一份给我 :)

zougangx
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windbg dump分析 学习总结
bcbobo21cn的专栏
03-05 2万+
Windbg核心调试之dump分析 http://www.pediy.com/kssd/pediy08/pediy8-428.htm 标 题: Windbg核心调试之dump分析 作 者:Lvg 时 间:2006-11-17 12:56  链 接:http://bbs.pediy.com/showthread.php?threadid=35044 调试环境:winxp sp2+wind
驱动开发(8)处理设备I/O控制函数DeviceIoControl
zuishikonghuan的博客
01-03 8447
本博文由CSDN博主zuishikonghuan所作,版权归zuishikonghuan所有,转载请注明出处: 在上面的两篇博文中,介绍了IRP与派遣函数,以及我们通过了一个例子“磁盘设备的绝对读写”来演示了在应用程序中是如何向一个设备发出I/O请求的。这篇博文将演示在驱动程序中处理一个非常简单的I/O请求——由DeviceIoControl这个Win32API经过一系列的调用,在内核中
hook更改硬盘序列号 转载
07-25
在驱动层hook ZwDeviceIoControlFile,当有请求获硬盘物理SN时,返回指定SN,从而达到模拟硬盘物理SN的效果. 本工具包含源码,可自行编译.
HDHook(附源码)HookAPI改变硬盘串号和MAC地址
05-18
VC++源码 一个使用detours来HookAPI的简单例子 DeviceIoControl获硬盘串号 GetAdaptersInfo获MAC Hook这两个API改变获硬盘串号和MAC地址 HDHook工程 生成dll GetHDDSN工程 载入生成的dll 获硬盘串号和MAC地址 需要自行安装detours
常见的Hook技术方案总结
Android技术之家
03-20 34
本文为看雪论坛精华文章看雪论坛作者ID:随风而行aa一前言最近一段时间在研究Android加壳和脱壳技术,其中涉及到了一些hook技术,于是将自己学习的一些hook技术进行了一下梳理,以便后面回顾和大家学习。本文第二节主要讲述编译原理,了解编译原理可以帮助进一步理解hook技术。本文第三节主要讲述NDK开发的一些基础知识。本文第四节主要讲述各类hook技术的实现原理。本文第五节主要讲述各hook技...
显卡驱动入手的构造D3DHook的方法
YuHengZuo的博客
02-28 4766
转载https://bbs.pediy.com/thread-195759.htm本文要点: 介绍一种从显卡驱动入手的构造D3DHook的方法,DX9,DX9EX,DX10,DX11均试用,无需重启进程,注入即可使用。以DX9为例。前置知识: 1. API Hook的基础知识 2. DX绘图知识 3. 关于DX Hook 有很多种方法,传统的方法请自行查找资料。 4. Windows Display
硬盘序列号欺骗程序
12-16
可以修改硬盘序列号,对某些针对硬盘序列号注册的软件可以进行欺骗。
WDK获得U盘的序列号
大头的博客
08-30 692
一、获得U盘的逻辑序列号 重点函数:FltQueryVolumeInformation :查询卷实例的信息 可查询的类型如下: typedef enum _FSINFOCLASS { FileFsVolumeInformation = 1, FileFsLabelInformation, // 2 FileFsSizeInformation, ...
硬盘 SMART 检测参数详解[转]
weixin_34363171的博客
10-21 2507
一、SMART概述     硬盘的故障一般分为两种:可预测的(predictable)和不可预测的(unpredictable)。后者偶而会发生,也没有办法去预防它,例如芯片突然失效,机械撞击等。但像电机轴承磨损、盘片磁介质性能下降等都属于可预测的情况,可以在在几天甚至几星期前就发现这种不正常的现象。如果发生这种问题,SMART功能会在开机时响起警报,至少让使用者有足够的时间把重要资料转移到其...
查看DeviceIoControl控制码的值
07-16
VC++在使用DeviceIoControl函数时可以直接使用控制码的代号,VB(或者其它语言)就没这么方便了。本程序可以根据控制码的代号得到控制码的16进制值。
硬盘序列号修改驱动
12-19
通过ssdt hook去修改NtDeviceIoControlFile函数的地址,当应用程序查询硬盘序列号时进行修改
硬盘物理序列号模拟工具
10-22
硬盘物理序列号模拟工具,初步实现系统拦截应用程序硬盘物理序列号
从Java层进行拦截Andrdoid中对应用程序的行为
02-21
在之前写过对应用程序的行为进行拦截的方式(C层)实现的博客,在写完这篇之后,本来想是尽快的把Java层拦截的文章结束的,但是由于各种原因吧,所以一直没有时间去弄这些了。今天算是有空,就总结一下吧。下面进入...
小程序如何自主实现拦截器的示例代码
12-13
例如要实现这个需求:小程序每次获到定位后都存到 globalData 里: wx.getLocation({ // .. success(res) { getApp().globalData.location = res // ... } }) 如果每一处使用 wx.getLocation 的地方都这么...
【Leetcode】2007. 从双倍数组中还原原数组
weixin_43627638的博客
04-19 299
一个整数数组original可以转变成一个数组changed,转变方式为将original中每个元素加入数组中,然后将所有元素。给你一个数组changed,如果change是数组,那么请你返回original数组,否则请返回空数组。original的元素可以以顺序返回。
算法刷题-16
qq_45773834的博客
04-21 624
学习来源: leetcode,牛客 https://programmercarl.com https://www.yuque.com/taxing-qarr6/hxitgt/dedugmp09knerdi1
时间,空间复杂度讲解——夯实根基
最新发布
strive_mianyang的博客
04-25 671
时间复杂度与空间复杂度讲解!!
牛客NC233 加起来和为目标值的组合(四)【中等 DFS C++、Java、Go、PHP】
weixin_37991016的博客
04-22 169
代码中的类名、方法名、参数名已经指定,请勿修改,直接返回方法规定的值即可。* @param nums int整型一维数组。* @param target int整型。* @return int整型。
微信小程序如何实现请求拦截和响应拦截
05-18
微信小程序的请求拦截和响应拦截可以通过使用 wx.request 方法的拦截器来实现。 请求拦截可以通过在 wx.request 方法中使用 header 属性来设置请求头,在请求头中添加自定义字段来实现。例如: ``` wx.request({ url: 'url', method: 'GET', header: { 'content-type': 'application/json', 'Authorization': 'Bearer ' + token }, success: function(res) { console.log(res.data) } }) ``` 在上述代码中,我们在请求头中添加了一个名为 Authorization 的字段,值为我们从后端获的 token。这样,每次请求时都会带上这个请求头,从而实现了请求拦截。 响应拦截可以通过在 wx.request 方法的 success 回调函数中对响应结果进行处理来实现。例如: ``` wx.request({ url: 'url', method: 'GET', success: function(res) { if(res.statusCode === 200) { console.log(res.data) } else { console.log('请求失败') } } }) ``` 在上述代码中,我们对响应结果的状态码进行了判断,如果状态码为 200,说明请求成功,可以对响应数据进行处理;如果状态码不为 200,说明请求失败,可以对失败情况进行处理,例如提示用户请求失败等。 需要注意的是,以上代码仅为示例,实际开发过程中应根据具体需求进行修改和完善。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值