HookZwCreateFile

最新推荐文章于 2022-06-22 09:47:00 发布
最新推荐文章于 2022-06-22 09:47:00 发布
阅读量1.4k 收藏 2
点赞数
分类专栏: 内核驱动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/G1Apassz/article/details/8952812
版权

内核驱动编程,想在驱动级上Hook ZwCreateFile(),然后做点其他事情....

在入口DriverEntry先hook了这个函数

HOOK_SYSCALL(ZwCreateFile, MyZwCreateFile, OriZwCreateFile);

HOOK_SYSCALL函数可以获得Zw*函数的地址,然后取得索引,自动的交换SSDT中索引所对应的函数地址和我们hook函数的地址。

然后:

NTSTATUS
MyZwCreateFile( 
       OUT PHANDLE FileHandle,
       IN ACCESS_MASK DesiredAccess, 
       IN POBJECT_ATTRIBUTES ObjectAttributes, 
       OUT PIO_STATUS_BLOCK IoStatusBlock, 
       IN PLARGE_INTEGER AllocationSize OPTIONAL,
       IN ULONG FileAttributes,
       IN ULONG ShareAccess, 
       IN ULONG CreateDisposition, 
       IN ULONG CreateOptions, 
       IN PVOID EaBuffer OPTIONAL, 
       IN ULONG EaLength )
{
	UNICODE_STRING openFileName;
	RtlInitUnicodeString(&openFileName, ObjectAttributes->ObjectName->Buffer);
	// 宽字符比较
	if(wcsstr(ObjectAttributes->ObjectName->Buffer, L"@L")){
	// do something i want
	return STATUS_SEVERITY_ERROR;
	}

}
其实,我想说的是这个 
wcsstr(ObjectAttributes->ObjectName->Buffer, L"@L")

wcsstr在一个宽字符串string中搜索另一个宽字符串
ObjectAttributes->ObjectName->Buffer 是操作的文件名 
// OBJECT_ATTRIBUTES 
typedef struct _OBJECT_ATTRIBUTES { 
ULONG Length;//长度 18h 
HANDLE RootDirectory;// 00000000 
PUNICODE_STRING ObjectName;//指向对象名的指针 
ULONG Attributes;//对象属性00000040h 
PVOID SecurityDescriptor;  // Points to type SECURITY_DESCRIPTOR,0 
PVOID SecurityQualityOfService; // Points to type SECURITY_QUALITY_OF_SERVICE,0 
} OBJECT_ATTRIBUTES;


parallel0
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
易语言APIHOOK CreatefileA实现写到文件、读入文件-易语言
06-12
看到一个 开源的HOOK CreatefileA的帖子 里面说 “ 直接APIhook会 出错 只有汇编hook了 ” ,那我写个APIhook的方法。用到了精易模块的APIhook类。
通过APIHOOK钩子CreateFileMapping实现进程间密钥的传递.zip
04-10
APIHOOK通过CreateFileMapping实现进程间密钥的传递 注exe不可关闭,关闭了内在中的密钥就不存在了
通过DRX实现HOOK
weixin_33717298的博客
05-10 350
某些RK,***会经常HOOK一些关键函数从而达到隐藏等目的,而相应的ARK检测软件也会通常会先恢复这些关键函数的HOOK(譬如利用硬盘文件恢复),然后再调用来检测RK,这样就可以检测出某些隐藏.下面就介绍利用调试器实现某些内核函数的HOOK. Intel386以后的系列CPU增加了8个32位的调试寄存器,从Dr0到Dr7,方便调试使用.如果设置了相应的调试信息,...
HOOK来修改API函数的功能(2)-创建文件
weixin_34124651的博客
06-20 272
上次写了如何使用HOOK的方法修改API函数的功能,来对注册表进行保护。对于对注册表操作的函数还有ZwDeleteKey、ZwDeleteValueKey、ZwOpenKey等等,对这些函数的HOOK和我上面写的方法是一样的。今天我来写一下如何对文件操作的API函数来HOOK。在我们编程中经常使用CreateFile函数来创建文件。其实对于系统来说,当我们使用右键点击并选择“新建”中的创建文件的时...
(转载)在Windows 2003中HOOK ZwCreateProcessEx
Kendiv's Box
03-29 3003
创建时间:2005-03-09文章属性:原创文章提交:suei8423 (suei8423_at_163.com)作者:ZwelL工作需要,想控制进程的创建,于是HOOKZwCreateProcess,后来发现xp和2003中创建进程的都用NtCreateProcessEx(参见[1])。但是ZwCreateProcessEx未被ntoskrnl.exe导出,用softice的ntcall命令也
易语言api hook CreateFileA
511遇见
05-27 3955
当调用CreateFileA创建文件时,我们劫持它,hook成我们自己的东西,易语言里的写到文件就是API(CreateFileA ) hook 说明 1、未hook前会生成一个111.txt,内容是“1111111111” 写到文件 (取运行目录 () + “\111.txt”, 到字节集 (“1111111111”)) 2、hook后就会转向我们自定义的MyCreateFileA h.安装Hook (“kernel32”, “CreateFileA”, 到整数 (&MyCreate
深入理解 ZwCreateFile
HXC_HUANG的博客
04-11 1550
前言:任何编码的东西必须充分的了解规则!我试探性的搜索了下关于这个native api的相关的问题,很郁闷的发现,这些问题90%都是没有真正理解了这个函数导致的!有的人连函数干嘛的都不知道就着急的写驱动,真是不可一世!所谓兼收并蓄为的是厚积薄发,其间如履薄冰。说的很贴切!对此我一直支持achills师傅的思想!搞明白了最基本的和必须的东西,一切后续的东西迎刃而解!这个文章我没有过多的写什么东西,因为
vc++调用hook API钩子截获CreateFile和CloseHandle来加密WORD文件+实现文件防拷贝_chorus和hook区别
12-26
利用API Hook截获CreateFile和CloseHandle达到加解密DOC文件和防拷贝的目的 visual c++调用hook API钩子截获CreateFile和CloseHandle来加密WORD文件+实现文件防拷贝
真正实现网络下载,文件不落地.解决XmlHttp对象、winnet.dll、URLDownloadToFile生成的ie缓存(Hook_CreateFileW阻止缓存生成)
追逐光芒,追随内心
06-22 1214
解决XmlHttp对象、winnet.dll生成的ie缓存
EasyHook Creating a remote file monitor
weixin_30616969的博客
08-17 392
In this tutorial we will create a remote file monitor using EasyHook. We will cover how to: 使用EasyHook创建一个全局文件监控程序,包括 Inject a managed assembly into an existing target process based on the...
如何在Hook ZwCreateFile中继续创建文件
weixin_30597269的博客
04-14 169
这样的说法很奇怪,我可是花了2天时间才找到解决的办法。哎 大牛们都睡觉去了,Google里面很难找到解决方案先描述问题:在内核态通过SSDT HOOKZwCreateFile,比如Hook后的函数名为Hook_ZwCreateFile 那么我现在在该函数里面想创建其他文件会就会失败,会出现STATUS_ACCESS_VIOLATION或者STATUS_INVALID_PARAMETER的错误,当...
驱动开发之 ZwCreateFile函数
Lydia的博客
06-13 8834
函数原型: NTSTATUS ZwCreateFile( _Out_ PHANDLE FileHandle, _In_ ACCESS_MASK DesiredAccess, _In_ POBJECT_ATTRIBUTES ObjectAttributes, _Out_ PIO_STATUS_BLOCK IoStatusBlock, _In_
IoCreateFile也可以用ZwCreateFile,及二者区别
一介码农,热爱金融。
10-18 1479
在内核中我们进行文件操作,可以使用IoCreateFile也可以用ZwCreateFile。 但究竟这两者有什么差别呢?下面是这两个函数的格式如下: NTSTATUS IoCreateFile( OUT PHANDLE FileHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes, OU
HOOK 改变API函数行为
caoye041lxg1的专栏
03-10 523
////////////////////////////////////////////////////////////////////////////ioctl.h --该文件只存放IOCTL代码,可复用于win32工程#ifndef IOCTL_H_#define IOCTL_H_ #define IOCTL_SETVALUEKEY /CTL_CODE(FILE_DEVICE_UNKN
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值