inlinehook NtCreateFile

最新推荐文章于 2020-12-05 00:12:34 发布
最新推荐文章于 2020-12-05 00:12:34 发布
阅读量2.5k 收藏
点赞数
分类专栏: 内核学习笔记 文章标签: attributes hook integer access string object
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ztz5651483/article/details/6362552
版权
这篇博客介绍了如何在Windows驱动开发中使用inlinehook技术监控NtCreateFile函数。通过获取NtCreateFile的地址,关闭写保护,构造跳转指令,然后在钩子函数DetourNtCreateFile中检查文件路径,达到拦截特定文件创建的目的。当驱动卸载时,会恢复被hook的函数。
摘要由CSDN通过智能技术生成

#include "Driver.h"

 

unsigned char OrgCode[5]; //原函数开头5个字节的代码

unsigned char HookJmp[5] = {0xe9,0,0,0,0}; //放入原函数开头的Hook跳转

INT old_cr0; //存放cr0寄存器的内容

ULONG CreateAddr; //存放NtCreateFile的地址

#pragma LOCKEDCODE

/******************************************

打开写保护

*******************************************/

VOID WOpen(){

_asm{

cli

push eax

mov eax,old_cr0

mov cr0,eax

pop eax

}

return;

}

#pragma LOCKEDCODE

/******************************************

关闭写保护

*******************************************/

VOID WClose(){

_asm{

push eax

mov eax,cr0

mov old_cr0,eax

and eax,0xfffeffff

mov cr0,eax

pop eax

sti

}

}

#pragma LOCKEDCODE

/***************

最低0.47元/天 解锁文章
asfsadfads
关注
专栏目录
内核编程之SSDTHook(3)Hook NtCreateSection监控所有可执行模块加载
zuishikonghuan的博客
03-18 5621
本博文由CSDN博主zuishikonghuan所作,版权归zuishikonghuan所有,转载请注明出处:http://blog.csdn.net/zuishikonghuan/article/details/50924829 在上两篇博文中,我介绍了SSDTHook的原理,并给出了一个实例--通过Hook NtOpenProcess来实现进程保护:http://blog.csdn.net/
钩取API应用实例【NtCreateFile
weixin_30369087的博客
10-03 438
#include "stdafx.h"#include <tchar.h>#include <io.h>#define STATUS_SUCCESS(0x00000000L) typedef LONG NTSTATUS;typedef struct _LSA_UNICODE_STRING {USHORT Length;USHORT MaximumLeng...
蹂躏D&F学习之重复NtCreateFile之二
EXPENF的专栏
01-15 738
//rlTenD.cpp #include #include "SSDTHOOK.h" #include "rlTenD.h" ULONG g_uOldNtCreateFileAddr = 0; PFNNTCREATEFILE g_pfnNtCreateFile = NULL; NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRI
NT内核下的inline hook
04-29 1160
inline hook原理大概如下:     修改被HOOK函数A的头5个字节,使其跳转到我们自定义的函数B,函数B的类型与函数A要相同。因为我们是使用JMP直接跳转到函数B, 而不是使用正常的CALL指令。在函数B内,我们可以检查函数参数,然后可以直接返回。也可以再调用函数A的一个副本。这个副本在HOOK动作发生的同时,就保存下来了。     代码非常简单,工程打包供大家学习。高手飘过/* * 
ntcreatefile使用_红队战术:在C#中使用syscall之编写代码
weixin_39956110的博客
12-05 576
前言本文专注于实际编写代码,利用在上一篇文章中学到的内容,实现一个有效的syscall。除了编写代码外,也会介绍如何对“工具”代码进行管理,以及如何为之后与其他工具的集成做准备。在上一篇文章中,我们介绍了一些在C#中使用syscall需要了解的基本概念,其中触及了一些比较深入的主题,例如Windows内部结构及系统调用的概念。还讨论了.NET 框架的工作原理以及如何在C#中利用非托管代码...
易语言APIHOOK CreatefileA实现写到文件、读入文件-易语言
06-12
看到一个 开源的HOOK CreatefileA的帖子 里面说 “ 直接APIhook会 出错 只有汇编hook了 ” ,那我写个APIhook的方法。用到了精易模块的APIhook类。
易语言-APIHOOK CreatefileA源码(写到文件、读入文件)
06-25
看到一个开源的HOOK CreatefileA的帖子 里面说 “直接APIhook会 出错 只有汇编hook了”,那我写个APIhook的方法。用到了精易模块的APIhook类。
Inline Hook_inlinehook_x86_x64_64位HOOK_
09-28
Inline Hook是一种技术,主要用于在程序运行时修改函数的行为。它涉及到计算机编程中的底层技术,特别是逆向工程和软件调试领域。Inline Hook的核心是通过在原函数的代码中插入额外的指令来实现对函数调用的拦截,...
使用内核三步实现InlineHook的详细分析
07-06
Inlinehook.通俗的说就是对函数执行流程进行修改。达到控制函数过滤操作的目的。理论上我们可以在函数任何地方把原来指令替换成我们的跳转指令,也确实有些人在inlineHook的时候做得很深,来躲避inlineHook的检测。...
代码实例分析android中inline hook
08-28
Android 中的 Inline Hook 技术详解 Android 中的 Inline Hook 技术是指在 Android 操作系统中,使用 Hook 技术来拦截和修改应用程序的行为。Inline Hook 是一种常用的 Hook 技术,通过在应用程序的代码中注入一段...
inline hook 源码
11-14
**inline hook**是一种在程序运行时修改代码行为的技术,它涉及到计算机编程中的底层知识,特别是与操作系统、处理器架构和动态代码篡改相关的概念。本文将深入探讨inline hook的原理、实现方式以及它在x86和x64架构...
HOOK(易语言高级部分)
热门推荐
平凡者的专栏
03-17 1万+
Hook API_HOOK核心代码 这里时绝对跳转 FF,有些需要修改内存属性 下面在同进程中也使用通过,其他未测试 hook同进程MessageBoxA 未HOOK前 MessageBoxA HOOK后 MessageBoxA 我们正好把这7个字节改了. mov eax,0x401A5F jmp eax 类_InlineHook 这个就是利用相对跳转。E9 整体逻...
hook后的重定位原理
谢绝(无视)留言与私信
07-08 1023
前言这几天学了ApiHook, 原理大概知道, 忙的没时间想. 消化了几天后, 突然想明白了.ps : 在hook后的代码中使用CRT函数不靠谱, 使用API才好. * 使用CRT函数无法判断这个函数在目标程序中是否一定存在 如果用API, 可以通过LoadLibrary + GetProcAddress来判断winapi是否可以使用试验代码片段;;===================
文件过滤驱动实现目录重定向(一)
fanxiushu的专栏
02-08 6558
By Fanxiushu  2015 转载或引用请注明原始作者 谈论这个问题前,先看看一个情况: 比如你上班的公司,可能有多个文件服务器,这些文件服务器通过FTP或者远程共享目录方式提供目录共享。 而你可能会经常性的从一个文件服务器切换到另一个文件服务器上去找资料。 而且如果是FTP的话,还得准备一个FTP客户端。 这么折腾也许觉得有点麻烦,也许就会想:有没有办法让所有这些文件服务器
通过HOOK控制进程的创建
jiangxinyu的专栏
01-29 4685
一、 简介  最近,我了解到一个叫做Sanctuary的相当有趣的安全产品。它能够阻止任何程序的运行-这些程序没有显示在软件列表中-该表中的程序被允许在一个特定的机器上运行。结果,PC用户得到保护而免于各种插件间谍软件、蠕虫和特洛伊木马的侵袭-就算能够进入他/她的计算机,它们也没有机会执行,并因此没有机会对该机器造成任何损害。当然,我觉得这个特征相当有趣;并且,在稍作思考以后,我就有了一个自己
HOOK 文件保护,隐藏 禁止访问
Play up! 程序人生 ZQC
06-02 4281
三个主要的函数:NtQueryDirectoryFileNtCreateFileNtOpenFile, 其它函数定义未用,保留。   源码.h头文件PathProtect.h: #pragma once #include "APIHook.h" #include "FileInfoDef.h" //typedef用来声明自定义数据类型 typedef NTSTATUS (WINA
易语言api hook CreateFileA
511遇见
05-27 4009
当调用CreateFileA创建文件时,我们劫持它,hook成我们自己的东西,易语言里的写到文件就是API(CreateFileA ) hook 说明 1、未hook前会生成一个111.txt,内容是“1111111111” 写到文件 (取运行目录 () + “\111.txt”, 到字节集 (“1111111111”)) 2、hook后就会转向我们自定义的MyCreateFileA h.安装Hook (“kernel32”, “CreateFileA”, 到整数 (&MyCreate
_KEYBOARD_INPUT_DATA
test
05-17 3360
_KEYBOARD_INPUT_DATA
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值