蹂躏D&F学习之重复NtCreateFile(一开始一进去要+几个回车的)

最新推荐文章于 2024-05-24 20:31:20 发布
最新推荐文章于 2024-05-24 20:31:20 发布
阅读量569 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/EXPENF/article/details/42745767
版权 

//rlTenD.cpp
#include <ntddk.h><span style="font-family: Arial, Helvetica, sans-serif;">//加在这里要比加载头文件中好</span>
#include "SSDTHOOK.h"//加在这里要比加载头文件中好
#include "rlTenD.h"


NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING str)
{
	//驱动 ->驱动卸载=卸载驱动
	pDriver->DriverUnload = UnloadDriver;
	//调试输出
	DbgPrint("Loading MyDriver...\r");


	ULONG uAddr = GetSSDTAddr(0x42);
	if (uAddr)
	{
		KdPrint(("NtCreateFile: 0x%08x\r", uAddr));
	}
	return STATUS_SUCCESS;
}

void UnloadDriver(PDRIVER_OBJECT pDriver)
{
	//调试输出
	DbgPrint("unLoading MyDriver...\r");

}
=================================================================================================== 

//rlTenD.h


void UnloadDriver(PDRIVER_OBJECT pDriver);
=================================================================================================== 

//SSDTHOOK.cpp
#include "SSDTHOOK.h"

ULONG GetSSDTAddr(ULONG uIndex)
{
	ULONG uAddr = *(PULONG)((ULONG)(*KeServiceDescriptorTable).ServiceTableBase + uIndex * sizeof(ULONG));
	return uAddr;
 }
=================================================================================================== 

//SSDTHOOK.cpp
#pragma once

#ifdef __cplusplus
exern "C"
#endif
#include <ntddk.h>
#include <string.h>
#ifdef __cplusplus
};
#endif

typedef struct _SDT_ENTRY
{
	PVOID *ServiceTableBase;
	PULONG ServiceCounterTableBase; //Used only in checked build
	ULONG NumberOfServices;
	PUCHAR ParamTableBase;
} SDT_ENTRY, *PSDT_ENTRY;


EXTERN_C SDT_ENTRY *KeServiceDescriptorTable;

ULONG GetSSDTAddr(ULONG uIndex);











EXPENF
关注
各种蹂躏——基础dp
Eternal_Despair
07-21 9029
(1) LIS:  很久之前就学过nlogn的LIS,不过早就忘了,今天一考,甚至没想到这就是LIS,然后各种蹂躏; 维护一个队列:v[]; v[i]表示长度为i的采摘顺序的最后一个采摘的西瓜的最小值,这样可以保证v数组是单调递减的。这样在每次查询中都可以根据单调性二分。就将复杂度将为nlogn。 (2) LCS: 又是很久之前学过的,不过当时就没怎么搞清楚,现在明白了,就是用一个矩阵求两个
文件过滤驱动实现目录重定向(一)
fanxiushu的专栏
02-08 6584
By Fanxiushu  2015 转载或引用请注明原始作者 谈论这个问题前,先看看一个情况: 比如你上班的公司,可能有多个文件服务器,这些文件服务器通过FTP或者远程共享目录方式提供目录共享。 而你可能会经常性的从一个文件服务器切换到另一个文件服务器上去找资料。 而且如果是FTP的话,还得准备一个FTP客户端。 这么折腾也许觉得有点麻烦,也许就会想:有没有办法让所有这些文件服务器
蹂躏D&F学习重复NtCreateFile之二
EXPENF的专栏
01-15 742
//rlTenD.cpp #include #include "SSDTHOOK.h" #include "rlTenD.h" ULONG g_uOldNtCreateFileAddr = 0; PFNNTCREATEFILE g_pfnNtCreateFile = NULL; NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRI
蹂躏D&F彻底之一
EXPENF的专栏
01-16 927
*********************************************************标准************************************************************ //rlTenD.cpp#include #include "rlTenD.h"NTSTATUS DriverEntry(PDRIVER_OBJECT pDr
ntcreatefile使用_红队战术:在C#中使用syscall之编写代码
weixin_39956110的博客
12-05 591
前言本文专注于实际编写代码,利用在上一篇文章中学到的内容,实现一个有效的syscall。除了编写代码外,也会介绍如何对“工具”代码进行管理,以及如何为之后与其他工具的集成做准备。在上一篇文章中,我们介绍了一些在C#中使用syscall需要了解的基本概念,其中触及了一些比较深入的主题,例如Windows内部结构及系统调用的概念。还讨论了.NET 框架的工作原理以及如何在C#中利用非托管代码...
钩取API应用实例【NtCreateFile
weixin_30369087的博客
10-03 446
#include "stdafx.h"#include <tchar.h>#include <io.h>#define STATUS_SUCCESS(0x00000000L) typedef LONG NTSTATUS;typedef struct _LSA_UNICODE_STRING {USHORT Length;USHORT MaximumLeng...
process_replacement:在 Windows 下将一个进程作为另一个进程运行
06-12
在Windows操作系统中,"process_replacement"是一种技术,它允许一个进程模拟或“伪装”为另一个进程进行操作。这种技术通常涉及到进程权限的提升、进程注入以及系统调用的拦截和替换,使得一个进程能够执行通常只有...
NtCreateFile底层原理
05-22
NtCreateFile是Windows操作系统中的一个系统调用,它的作用是创建或打开一个文件,或者创建一个目录。其底层原理涉及到以下几个方面: 1. 安全性检查:在执行NtCreateFile之前,操作系统会对要创建或打开的文件进行...
汇编实现NtCreateFile
05-22
汇编实现NtCreateFile需要使用Windows的系统调用,可以使用以下代码实现: ``` .MODEL FLAT, STDCALL OPTION CASMAP:NONE EXTERN NtCreateFile:PROC EXTERN RtlInitUnicodeString:PROC EXTERN ZwClose:PROC EXTERN...
NtCreateFile底层实现方式
05-22
NtCreateFile 是 Windows 操作系统中的一个系统调用,它的作用是创建或打开一个文件或设备对象。 在 Windows 操作系统中,系统调用的底层实现是通过软中断方式实现的。当进程调用 NtCreateFile 函数时,操作系统...
Windows Internals 学习笔记(一)
kdsj_0030的博客
10-27 393
第一章 基础概念 进程、线程与作业 三个概念中进程最大,进程由以下几个部分构成: 私有的虚拟内存空间。程序运行时pe文件会被按照一定规则加载到一个4G(x86)虚拟内存空间中,而当执行该程序时CPU会取出该虚拟内存中的一部分加载到实际的内存中。其他进程无法访问(除非其有访问权限或者本进程定义了一个共用的内存空间) 可执行的程序,即加载到虚拟内存中的代码与数据 已打开的句柄列表,其中每个句柄...
VBox 启动虚拟机失败 - NtCreateFile
Txwtech笛克特科
02-20 6745
VBox启动虚拟机失败-NtCreateFile(\Device\VBoxDrvStub) NtCreateFile(\Device\VBoxDrvStub) failed: 0xc000000034 STATUS_OBJECT_NAME_NOT_FOUND (0 retries)(rc=-101) Make sure the kernel module has been loade...
创建文件
CosmicCode
09-10 449
文件的创建: 对文件的创建或者打开都是通过内核函数ZwCreateFile实现的。和Windows API 类似,这个内核函数返回一个文件句柄,文件的所有操作都是依靠这个句柄进行操作的。在文件操作完毕之后,需要关闭这个句柄。 ObjectAttributes是一个OBJECT_ATTRIBUTE结构的地址,该结构包含要打开的文件名,InitializeObjectAttributes初始化。注
NtCreatFile函数的参数传递分析 - zl21 - 程序员网志 - Powered By PHPWind.Net
xu的blog
05-22 5768
导读: 写这篇分析的目的: m^mNa8$  最近在反汇编一个驱动程序时,看到CreateDispacth里面有这么一段操作: F{>Tg lX1f  ;eax=IoGetCurrentIrpLocationStack(Irp) %N~5S5q  mov   eax, [ecx+8]      
CreateFile(APP)到NtCreateFile(Kernel Mode)
cupidove的专栏
04-23 4064
1. Nt*与Zw*的区别 "一组与执行体的系统服务(executive's system services)平行的入口点.从内核模式的代码()中调用一个Zwxxx入口点将获得相应的系统服务,只是在使用Zw*()函数时,不会检查调用者的访问权限和参数的有效性,而且调用不会将先前模式(previous mode)切换到用户模式" "尽管任意一组函数都可以从内核模式调用,但如果用Zw*()
蹂躏D&F学习之一
EXPENF的专栏
01-15 704
X
Windows内核--NtCreateFile和ZwCreateFile(3.)
最新发布
编程语言技巧经验分享
05-24 432
NtCreateFile是实作创建文件,ZwCreateFile调用NT系统服务API完成。
CreateFile
zxf347085420的博客
02-15 470
这是一个多功能的函数,可打开或创建文件或者I/O设备,并返回可访问的句柄:控制台,通信资源,目录(只读打开),磁盘驱动器,文件,邮槽,管道。 HANDLE CreateFile(LPCTSTR lpFileName, //普通文件名或者设备文件名 DWORD dwDesi...
Createprocess 输入输出重定向到文件
lixiangminghate的专栏
01-07 4677
当要执行一些系统命令完成一些任务时,会调用Createprocess/system/_popen。后两者运行时会出现cmd对话框窗口,有碍观瞻。Createprocess也有同样问题,但是可以通过cmd /C Command来解决这个问题。但是,简单调用Createprocess来执行命令又失去了调用_popen/fgets/_pclose这种方式的交互性,因此,就想到有没有办法让Createpr
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值