hook zwwritefile并得到写文件的路径

最新推荐文章于 2018-11-06 22:42:19 发布
最新推荐文章于 2018-11-06 22:42:19 发布
阅读量146 收藏
点赞数
文章标签: hook string null object extension buffer
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ccbchg/article/details/6632337
版权

在这上面忙活了几天,终于不蓝屏了

//HookNtWriteFile

HookZwWriteFile(
IN HANDLE FileHandle, 
IN HANDLE Event OPTIONAL, 
IN PIO_APC_ROUTINE ApcRoutine OPTIONAL, 
IN PVOID ApcContext OPTIONAL, 
OUT PIO_STATUS_BLOCK IoStatusBlock, 
IN PVOID Buffer, 
IN ULONG Length, 
IN PLARGE_INTEGER ByteOffset OPTIONAL, 
IN PULONG Key OPTIONAL 
)
{
if (TurnOnFileMon==1)//如果功能开启的话
{
PDEVICE_EXTENSION deviceExtension;//设备扩展
char ansiProcessName[PROCNAMELEN];
//UNICODE_STRING *volumeDosName;
WCHAR DelFullName[1024];
PCWSTR WriteFileName;
PFILE_OBJECT fileobj;
FILE_INFORMATION_CLASS FileInformationClass = FileNameInformation ;
if ( FileHandle != NULL)
{
NTSTATUS nts = STATUS_UNSUCCESSFUL;
//得到进程路径和进程名
UNICODE_STRING UniProcessPath,volumeDosName;
ANSI_STRING AnsiProcessPath,ansiProcessName1;
ANSI_STRING ansipath,apathpre;
UNICODE_STRING unipath,upathpre;
PCWSTR ProcessPath = GetCurrentProcessFileName();//进程路径
RtlInitUnicodeString(&UniProcessPath,ProcessPath);
RtlUnicodeStringToAnsiString(&AnsiProcessPath,&UniProcessPath,TRUE);
  
GetProcessName(ansiProcessName); //进程名
RtlInitAnsiString(&ansiProcessName1,ansiProcessName);

//KdPrint(("%s(%s)修改文件 \r\n",ansiProcessName,AnsiProcessPath.Buffer));
//  IO_STATUS_BLOCK iosb ={ 0,0 };
//  ANSI_STRING    ansiUndeleteFileName ;//
 // UNICODE_STRING usFileName ={ 0,0,0 }; //

if(NT_SUCCESS(ObReferenceObjectByHandle(FileHandle,GENERIC_READ,NULL,KernelMode,&fileobj,NULL)))
{
WriteFileName=fileobj->FileName.Buffer;
RtlInitUnicodeString(&unipath,WriteFileName);
RtlUnicodeStringToAnsiString(&ansipath,&unipath,TRUE);
if (wcscmp(WriteFileName,PreWriteFileName)!=0)
{
volumeDosName.Buffer = ExAllocatePool( PagedPool, 16);
volumeDosName.MaximumLength=8;
//RtlVolumeDeviceToDosName(fileobj-> DeviceObject, &volumeDosName); 
IoVolumeDeviceToDosName(fileobj->DeviceObject, &volumeDosName );
RtlInitUnicodeString(&upathpre,volumeDosName.Buffer);
RtlUnicodeStringToAnsiString(&apathpre,&upathpre,TRUE);
KdPrint(("%s(%s)修改文件  %s(%s) \r\n",ansiProcessName,AnsiProcessPath.Buffer,apathpre.Buffer,ansipath.Buffer));
ExFreePool(volumeDosName.Buffer);
}

//wcscpy(PreWriteFileName,WriteFileName);
//PreWriteFileName=WriteFileName;


ObDereferenceObject(fileobj);
RtlFreeAnsiString(&apathpre);
RtlFreeAnsiString(&ansipath);


}

//KdPrint(("%s(%s)修改文件 %s\r\n",ansiProcessName,AnsiProcessPath.Buffer,ansipath.Buffer));
/*
POBJECT_NAME_INFORMATION wFilePath;

if (NT_SUCCESS(ObReferenceObjectByHandle(FileHandle,0,NULL,KernelMode,&fileobj,NULL)))//获取文件对象
{            
if (IoQueryFileDosDeviceName(fileobj,&wFilePath)==STATUS_SUCCESS)  //获取文件对象所对应的文件Dos设备名称,即是全路径
{    
wcscpy(fullUniName.Buffer,wFilePath->Name.Buffer);
ExFreePool(wFilePath);  //IoQueryFileDosDeviceName获取的OBJECT_NAME_INFORMATION 需要手动释放    
}
ObDereferenceObject(fileobj);  //放弃对FileObject的引用
}
*/



RtlFreeAnsiString(&AnsiProcessPath);
  /*
  {

ANSI_STRING apath;
UNICODE_STRING upath;

ANSI_STRING apathpre;
UNICODE_STRING upathpre;
转换路径的结束




ObReferenceObjectByHandle(FileHandle,GENERIC_READ,*IoFileObjectType,KernelMode,(PVOID *)&fileobj,NULL);
WriteFileName=fileobj->FileName.Buffer;

// 此处转换 路径
RtlInitUnicodeString(&upath,WriteFileName);
RtlUnicodeStringToAnsiString(&apath,&upath,TRUE);


volumeDosName = ExAllocatePool( PagedPool, 512*2+2*sizeof(ULONG));
volumeDosName->MaximumLength = 512*2;
memset(volumeDosName,0,volumeDosName->MaximumLength); 

//IoVolumeDeviceToDosName(pFileObject->DeviceObject, &DosName);
if (wcscmp(WriteFileName,PreWriteFileName)!=0){
IoVolumeDeviceToDosName( ((PFILE_OBJECT)fileobj)->DeviceObject, volumeDosName );
if  (volumeDosName!=NULL)//应该是这里会蓝屏

{
// 此处转换 盘符
RtlInitUnicodeString(&upathpre,volumeDosName->Buffer);
RtlUnicodeStringToAnsiString(&apathpre,&upathpre,TRUE);


KdPrint(("%s(%s)修改文件:%s%s \r\n",aProcessName,aProcessPath.Buffer,apathpre.Buffer,apath.Buffer));

//填写设备扩展
deviceExtension=(PDEVICE_EXTENSION)g_pDriverObject->DeviceExtension;


strcpy(deviceExtension->ProcName,aProcessName);
strcpy(deviceExtension->ProcFullPath,aProcessPath.Buffer);
strcpy(deviceExtension->FilePre,apathpre.Buffer);
strcpy(deviceExtension->FilePath,apath.Buffer);

//通知应用层可以来取了
KeSetEvent(deviceExtension->FileEvent,0,FALSE);
KeClearEvent(deviceExtension->FileEvent);


PreWriteFileName=WriteFileName;
}
}
ExFreePool(volumeDosName);
ObDereferenceObject(fileobj);
  }*/
}
}

return RealZwWriteFile(
  FileHandle, 
  Event OPTIONAL, 
  ApcRoutine OPTIONAL, 
  ApcContext OPTIONAL, 
  IoStatusBlock, 
  Buffer, 
  Length, 
  ByteOffset OPTIONAL, 
  Key OPTIONAL 
  );
}
ccbchg
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Hook Api,hook ReadFile,hook WriteFile,hook LoadLibrary
09-02
hook api,hook CreateFile,hook CloseHandle,hook ReadFile,hook WriteFile,hook LoadLibrary
易语言使用APIhook进行拦截文件
09-02
易语言使用APIhook进行拦截文件,拦截文件,使用apihook
采用个hook技术对writefile函数进行拦截(2)
weixin_33739646的博客
03-10 404
http://www.cnblogs.com/zhxfl/archive/2011/11/03/2233846.html 这个是笔者之前过的WriteFile HOOK代码 必须补充对这几个函数的HOOK,才能对WriteFile的所有操作做“比较彻底的拦截”,笔者知道应用层的拦截很容易出现遗漏的,只有编驱动做文件过滤才会有比较好的效果,不过在实...
采用个hook技术对writefile函数进行拦截
weixin_34254823的博客
11-03 463
DLL部分: View Code #include <windows.h>#include <ImageHlp.h>#include <TlHelp32.h>#pragma comment(lib,"ImageHlp")#pragma data_seg("Shared")HHOOK hhk = NULL;#pragma data_seg()#pragm...
取得ZwWriteFileZw函数在SSDT中的索引号
qq350625238的专栏
12-04 849
在windbg,int3中断下输入: kd> u nt!ZwWriteFile windbug打印出一下ZwWriteFile反汇编信息 nt!ZwWriteFile: 80500300 b812010000      mov     eax,112h 80500305 8d542404        lea     edx,[esp+4] 80500309 9c
HOOK 文件保护,隐藏 禁止访问
Play up! 程序人生 ZQC
06-02 4265
三个主要的函数:NtQueryDirectoryFileNtCreateFileNtOpenFile, 其它函数定义未用,保留。   源码.h头文件PathProtect.h: #pragma once #include "APIHook.h" #include "FileInfoDef.h" //typedef用来声明自定义数据类型 typedef NTSTATUS (WINA
APIHook钩子文件监控 监控指定目录下文件的读和修改.zip
03-28
- **HookTest.cpp**: 作为测试用例,这个文件可能包含了调用APIHook功能并检查其正确性的示例代码。 - **StdAfx.cpp**: 通常用于预编译头文件,包含常用库和全局定义,以减少编译时间。 3. **项目配置文件**: -...
易语言APIHOOK CreatefileA实现文件、读入文件-易语言
06-12
通过Hook这个函数,我们可以拦截到任何试图访问文件的尝试,并在其中插入自定义逻辑,如记录日志、验证权限或者修改数据流。 首先,我们需要了解易语言的APIHOOK类。这个类提供了一种方便的方式来创建和管理Hook点...
易语言-APIHOOK CreatefileA源码(文件、读入文件
06-25
"易语言-APIHOOK CreatefileA源码(文件、读入文件)"这个主题就是关于如何在易语言中实现对`CreateFileA` API函数的Hook操作,以控制文件的读行为。 `CreateFileA`是Windows API中的一个函数,用于打开或...
易语言 拦截文件 APIhook
05-06
易语言 拦截文件 APIhook 拦截打开文件 拦截文件读入 拦截取文件长度 拦截文件位置
Nt 函数NtQueryValueFile, NtReadFile, NtWriteFile.
11-26
NtQueryValueFile, NtReadFile, NtWriteFile.
采取个hook技巧对writefile函数进行阻碍(2)
wxl1986622的专栏
05-21 2556
内容充分的生命就是长久的生命,我们要以此为而不是以时候来衡量生命。http://www.cnblogs.com/zhxfl/archive/2011/11/03/2233846.html 这个是笔者之前过的WriteFile HOOK代码 凡建树功业者,又立品为始基。从来有学问而能提当大事业者,无不先从品德上立定脚跟。 必须补充对这几个函数的HOOK,才干对WriteFile的所有操
关于ZwWriteFile
test
05-17 2313
<br />在MSDN中查到了这么一句话<br />If the call to ZwCreateFile set only the DesiredAccess flag FILE_APPEND_DATA, ByteOffset is ignored. Data in the given Buffer, for Length bytes, is written starting at the current end of file.<br />只要把ZwCreateFile中的DesiredAccess设置
分析360安全卫士HOOK
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
10-24 2012
分析了一下360安全卫士的HOOK(一)  分析了一下360的HOOK,通过直接hook KiFastCallEntry实现对所有系统调用的过滤。  我分析的版本如下:  HookPort.sys版本: 1, 0, 0, 1005  HookPort.sys的TimeStamp: 4A8D4AB8  简单说明:360把所有被hook的系统服务的过滤函数放在了一个表里,索引即对应的系统服务
文件隐藏技术(二)
anhkgg的专栏
05-21 2286
SSDT HOOK实现文件保护 nokyo.blogbus.com   很久没点什么了,最近在忙着做一些零碎的程序,过一段儿时间一定放新东西。   现在手头上的其中一件事情就是帮同学做一个文件保护的毕业设计,考虑再三还是使用SSDT HOOK,因为这个最简单,而且比较稳定,也容易理解。   提到文件保护,无非就是文件隐藏、文件打开、读、删除保护等。   一、文件隐藏   文件
调试方式勾取API WriteFile函数实现大小转化(逆向工程核心原理 记事本WriteFile api勾取)
九层台
11-06 669
调试方式:场景是调试本地程序,用调试方式可以对被调用进程的完全访问。 基本原理:在记事本调用WriteFile之前设置断点(0xcc也就是int 3)引发调试异常(EXCEPTION_BACKPOIT事件)修改掉应该传入的参数(要保存数据的内容和大小)再恢复程序原本的状态。 main函数 #include&amp;amp;amp;quot;windows.h&amp;amp;amp;quot; #include&amp;amp;amp;quot;stdio.h&amp;amp
c++ hook 文件
最新发布
05-16
C语言中的Hook通常是指通过拦截或替换系统API函数来修改程序的行为。对于文件操作,我们可以通过Hook来实现一些有趣的功能,比如加密、解密、记录文件日志等。 首先,我们需要了解Windows操作系统中文件相关的API函数,比如CreateFile、ReadFileWriteFile、CloseHandle等等。这些函数是用户程序与操作系统之间的接口,我们可以通过Hook技术来拦截这些函数,修改它们的参数或返回值,从而实现我们需要的功能。 比如,如果我们想要对某个文件进行加密,就可以Hook WriteFile函数,在入之前先将数据加密,然后再入到文件中。同理,如果想要解密文件,就可以Hook ReadFile函数,在读取之后对数据进行解密。 另外,我们还可以Hook CreateFile函数,截获用户请求打开一个文件的操作,判断该文件是否需要加密或日志记录等操作,然后再返回文件句柄给用户程序。 需要注意的是,Hook操作需要谨慎处理,避免影响系统的正常运行,也需考虑到安全性等方面的问题,保障文件的完整性和保密性。 总之,通过Hook技术,我们可以修改文件API函数的行为,实现我们想要的功能,这也是C语言在系统编程中强大的应用之一。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值