IRP Hook检测

最新推荐文章于 2021-03-02 11:26:22 发布
最新推荐文章于 2021-03-02 11:26:22 发布
阅读量1k 收藏
点赞数
分类专栏: 内核研究 文章标签: hook null object string
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Shevacoming/article/details/7556103
版权 
  1 BOOL IRPHookChk(IN PUNICODE_STRING pObjName) 
  2 { 
  3     PDRIVER_OBJECT pdrv = 0; 
  4     NTSTATUS status = ObReferenceObjectByName(pObjName,OBJ_CASE_INSENSITIVE,0,0,IoDriverObjectType,KernelMode,NULL,(PVOID *)&pdrv); 
  5     char szModulePath[256]; 
  6 
  7          ULONG dwRet; 
  8          PMODULES pmodule =(PMODULES)&pmodule; 
  9          ZwQuerySystemInformation(SystemModuleInformation,pmodule,0,&dwRet); 
 10          pmodule=(PMODULES)ExAllocatePoolWithTag(NonPagedPool,dwRet,'mod'); 
 11          ZwQuerySystemInformation(SystemModuleInformation,pmodule,dwRet,NULL); 
 12 
 13         for (int j=0;j<pmodule->dwNumberOfModules;j++) 
 14         { 
 15             if ((ULONG)pdrv->DriverStart >= (ULONG)pmodule->smi[j].Base  
 16         && (ULONG)pdrv->DriverStart< (ULONG)pmodule->smi[j].Base +  (ULONG)pmodule->smi[j].Size) 
 17             { 
 18                 strcpy(szModulePath,pmodule->smi[j].ImageName); 
 19                 break; 
 20 
 21             } 
 22         } 
 23 
 24 
 25      for (int i=0 ;i<IRP_MJ_MAXIMUM_FUNCTION;i++) 
 26      { 
 27          for (int j=0 ;j<pmodule->dwNumberOfModules;j++) 
 28          { 
 29              if ( (ULONG)pdrv->MajorFunction[i] > (ULONG)pmodule->smi[j].Base  
 30          &&  (ULONG)pdrv->MajorFunction[i] <   (ULONG)pmodule->smi[j].Base +  (ULONG)pmodule->smi[j].Size) 
 31              { 
 32                  if (j==0) 
 33                  { 
 34                      //在内核里,直接放行 
 35                      continue; 
 36                  } 
 37                 if (strcmp(szModulePath,pmodule->smi[j].ImageName)!=0) 
 38                 { 
 39                     DbgPrint("%wZ   %d  0x%x  %s  %s\n ",pObjName,i,pdrv->MajorFunction[i],szModulePath,pmodule->smi[j].ImageName); 
 40                 } 
 41             } 
 42         } 
 43     } 
 44 
 45 
 46     ObfDereferenceObject(pdrv); 
 47      ExFreePoolWithTag(pmodule,'mod'); 
 48 
 49     return TRUE; 
 50 } 
 51

Shevacoming
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
x86 IRP HOOK
XboxMicro
02-26 1346
内核中一个很好的隐藏位置是每个设备驱动程序中包含的函数表。在安装驱动程序时,它初始化一个函数指针表,这些指针包含了它的各种类型I/O请求报文(I/O Request Packet IRP)处理函数的地址。IRP处理多种类型的请求,例如读、写和查询。由于驱动程序处于控制流中非常低的层次,因此它们是理想的钩子位置。 以下是微软公司DDK定义的标准IRP类型列表: // Define the
irp hook来隐藏端口(过vista)
05-16
在本例中,IRP hook可能是用来在系统级别阻止其他进程看到或使用某个网络端口,从而防止被Vista及更高版本的操作系统检测到。 实现IRP hook的方法通常包括以下步骤: 1. **创建驱动程序**:首先,你需要编写一个...
IRP Hook
LYSM
03-02 862
谈到irp拦截,基本上有三种方式 在起点拦截 在半路拦截 在终点拦截 下面我们会详细分析这几种方式哪些是有效的,哪种是无效的。 要理解这几种拦截,我们需要看看irp地传送过程。 (注意并不是每种IRP都经过这些步骤,由于设备类型和IRP种类的不同某些步骤会改变或根本不存在。) 一、IRP创建。 由于IRP开始于某个实体调用I/O管理器函数创建它,可以使用下面任何一种函数创建IRP: IoBuildAsynchronousFsdRequest 创建异步IRP(不需要等待其完成)。该函数和下一个函数仅适
IRPhook
weixin_34384557的博客
10-21 384
原理:直接IoGetDeviceObjectPointer根据名称获取驱动对象,然后更改分发函数数组元素即可HOOK指定IRP分发函数。//irphook.h /////////////////////////////////////////////////////////////////////////////////////// typedef BOOLEAN BOOL; typedef ...
[寒江独钓] IRP HOOK 键盘过滤之替换原键盘分发函数
weixin_30691871的博客
05-23 135
标题:[IRPHOOK]键盘过滤驱动学习 作者:0xFFFFCCCC 时间:2012-05-20 链接:http://hi.baidu.com/pushad/item/0a78c3ba0812e6afeaba9399 MajorFunction.h #ifndef _MAJORFUNCTION_HEADERS_ #define _MAJORFUNCTIO...
IRP Hook 键盘Logger
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-06 902
作 者: cogito 前天拜读combojiang 的rootkit hook 系列之[五] IRP Hook全家福(原帖:http://bbs.pediy.com/showthread.php?t=60022)之后,决定用文中的第三种方法实现一个KeyLogger。但是combojiang前辈并没有放上Demo,而且我在网上貌似也没找着完整的IRP Hook 键盘Logger实例,于是就
在Windows 2003中HOOK ZwCreateProcessEx.rar_CreateProcess_hook
09-19
实现内核模式HOOK的一种常见方法是使用IRP(I/O请求包)或系统服务调度表(SSDT)。在Windows 2003中,你可以通过替换SSDT中的`ZwCreateProcessEx`函数地址来实现HOOK。一旦替换成功,每次调用`ZwCreateProcessEx`时...
SSDT Hook驱动代码
01-08
SSDT Hook是一种技术,常被用于系统调试、安全检测以及恶意软件中,通过修改SSDT表中的地址,使得调用特定系统服务时会跳转到自定义的函数,从而实现对系统行为的监控或篡改。 标题"SSDT Hook驱动代码"指的是一段...
仿游戏检测被恢复的SSDT Hook
08-24
标题中的“仿游戏检测被恢复的SSDT Hook”是指一种技术手段,用于模拟游戏的系统服务描述表(System Service Dispatch Table, SSDT)钩子检测,并应对这些钩子被恢复的情况。在游戏反作弊领域,开发者会使用SSDT ...
Hook ssdt.rar_HookSSDT_hook_ssdt_进程保护_驱动保护
最新发布
09-25
实现Hook SSDT需要深入理解Windows内核编程,包括IRP处理、KeServiceDescriptorTable等概念。开发过程中,需要遵循严格的驱动开发规范,以确保驱动的稳定性和兼容性。同时,为了防止自身被反Hook,通常会结合其他...
C++使用hookapi操作源代码windows环境
12-28
C++使用hookapi操作windows环境,包含常用的示例:网络、注册表、文件、对话框、进程等HOOK API各种示例源代码
跟踪,检测IRP的优秀工具IRPTrace
08-07
跟踪,检测IRP的优秀工具IRPTrace
IRP跟踪工具irpTrace补丁
05-08
IRP 跟踪工具 irpTrace 补丁 好
[IRP HOOK] 键盘过滤驱动学习
weixin_30537451的博客
05-23 188
标题:[IRPHOOK]键盘过滤驱动学习作者:0xFFFFCCCC时间:2012-05-20链接:http://hi.baidu.com/pushad/item/0d335810261c38483a176ee8 IRPHOOK这个篇幅整整学习了大半个多月,中间穿插了驾照考试第二科目,然后5.1回家十多天; 真的发现,学东西是速成的,断断续续拖拖拉拉的...
Sysenter/Kifastcallentry hook 检测与恢复
weixin_30443747的博客
04-18 302
关于Sysenter、Kifastcallentry、中断之类的内核入口hook技术早就烂大街了,可是对hook检测与恢复代码却是寥寥无几,一切抛开代码将原理的行为都是耍流氓。 下面以Sysenter hook技术为例子,重点分析下这类钩子的检测与恢复技术。 Sysenter简述 :   Windows2000以前用int 2e作为中断指令进入内核发起系统调用。从Windows2...
通过对系统分派表的直接还原,防御内核本地API钩子(翻译)
taianmonkey的专栏
04-18 2411
通过对系统分派表的直接还原,防御内核本地API钩子介绍win32内核rootkit通过挂钩本地内核的API去修改系统的行为。这项技术通常是通过修改内核中的系统服务分派表(System Service Dispatch Table)来实现的。这样的修改确保了通过rootkit安装的一个钩子函数先于本地原始的API被调用。钩子函数通常调用本地原始的API并在返回给用户空间程序之前修改其输出。这
rootkit hook 之[五] -- IRP Hook全家福
kansa1988的专栏
03-14 293
<br />年过得真快,马上过完了。我们今天一起来汇总看看IRP HOOK的方法。又是长篇大论,别着急,慢慢看。谈到irp拦截,基本上有三种方式,一种是在起 点拦截,一种是在半路拦截,一种是在终点拦截。 下面我们会详细分析这几种方式哪些是有效的,哪种是无效的。 要理解这几种拦截,我们需要看看irp地传 送过程。我们看下图的标准模型。请看大屏幕。  <br />8.JPG下载此附件需要消耗2Kx,下载中会自动扣除。<br /> 注意这个标准模型中,并不是每种IRP都经过这些步骤,由于设备类型和IRP
基于CallStack的反Rootkit HOOK检测
02-22 1314
Anti-Rootkit目前扫描Hook的方法主要有以下几种:   1.对抗inline -hook ,IAT/EAT Hook   Anti-Rootkit使用读取磁盘上系统文件并将之进行map\重定位后,同内存中的代码进行对比的方法来检测inline hook(或EAT/IAT HOOK,后同),类似的工具例如Rootkit Unhooker, gmer, Icesword等等。
IRP hooking and Device Chains
syspro的专栏
03-15 1458
原文作者:hoglund原文标题:IRP hooking and Device Chains电子邮件:hoglund@hbgary.com 作者国籍:美国原文链接:http://www.rootkit.com/newsread.php?newsid=846翻译:syspro声明:1、本人翻译水平有限,有不当之请大家理解。如部分看不懂可以和原文对照。             2、欢迎转载,但请不
卡巴斯基HOOK引擎分析
11-07
本文将主要讨论用户空间进程、内联HOOK、IAT和EAT、虚拟地址描述符、隐藏注册表项、IDT、SSDT、MINI-FILTER、IRP、TDI HOOKING、CALLBACKS等内容,并根据分析结果作出结论。 首先,我们将介绍卡巴斯基在用户空间的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值