在编写驱动进行HOOK的时候,我们经常会需要从某参数获取相关信息,最常见的就是从进程、文件、注册表句柄中获取相关路径以进行相关保护。其中关于从进程句柄获取信息的方法我已经在
《SSDT HOOK实现进程保护》
一文中给出了方法,今天我们就给出文件和注册表句柄的处理方法。
下面首先看通过HOOK ZwSetInformationFile保护文件防删除的方法,这个函数的第一个参数FileHandle给定了文件路径,但是我们该怎么获取这个路径呢?核心函数在于ObReferenceObjectByHandle,下面是示例代码:
PFILE_OBJECT pFileObject;
UNICODE_STRING DosName;
UNICODE_STRING uniFileName;
ANSI_STRING aniFileName;
ObReferenceObjectByHandle(FileHandle, 0 , 0 , KernelMode, & pFileObject, NULL );
IoVolumeDeviceToDosName(pFileObject -> DeviceObject, & DosName);
KdPrint(( "[nokyo] %s%s" , DosName.Buffer, pFileObject -> FileName.Buffer));
ExFreePool(DosName.Buffer);
ObDereferenceObject(pFileObject);
上述代码是我从自己的程序中抽出来的,没有亲自测试可靠性,还望各位读者在使用前能先测试一下,ring0的程序可不是闹着玩的。
下面我们再来看HOOK ZwDeleteValueKey防止删除注册表键的方法:
PVOID pKey;
PUNICODE_STRING pUniName;
UNICODE_STRING ustrReg;
ObReferenceObjectByHandle(KeyHandle, 0 , 0 , KernelMode, & pKey, NULL );
pUniName = ExAllocatePool(NonPagedPool, 1024 );
ObQueryNameString(pKey, pUniName, 1024 , & nRet);
RtlInitUnicodeString( & ustrReg, L" \\ REGISTRY \\ MACHINE \\ SOFTWARE \\ Microsoft \\ Windows \\ CurrentVersion \\ Run" );
if (RtlCompareUnicodeString(pUniName, & ustrReg, TRUE) == 0 )
{
ExFreePool(pUniName);
ObDereferenceObject(pKey);
return STATUS_ACCESS_DENIED;
}
其中ObQueryNameString的声明如下所示:
NTSYSAPI
NTSTATUS
NTAPI
ObQueryNameString(
IN PVOID Object,
OUT PVOID ObjectNameInfo,
IN ULONG Length,
OUT PULONG ReturnLength
);
好了,核心代码基本上都放出来了,剩下的就是你自己动手测试了。注意使用ZwQueryInformationFile和ZwQueryKey也可以获得相关信息,但不是完整路径。
下面首先看通过HOOK ZwSetInformationFile保护文件防删除的方法,这个函数的第一个参数FileHandle给定了文件路径,但是我们该怎么获取这个路径呢?核心函数在于ObReferenceObjectByHandle,下面是示例代码:
PFILE_OBJECT pFileObject;
UNICODE_STRING DosName;
UNICODE_STRING uniFileName;
ANSI_STRING aniFileName;
ObReferenceObjectByHandle(FileHandle, 0 , 0 , KernelMode, & pFileObject, NULL );
IoVolumeDeviceToDosName(pFileObject -> DeviceObject, & DosName);
KdPrint(( "[nokyo] %s%s" , DosName.Buffer, pFileObject -> FileName.Buffer));
ExFreePool(DosName.Buffer);
ObDereferenceObject(pFileObject);
上述代码是我从自己的程序中抽出来的,没有亲自测试可靠性,还望各位读者在使用前能先测试一下,ring0的程序可不是闹着玩的。
下面我们再来看HOOK ZwDeleteValueKey防止删除注册表键的方法:
PVOID pKey;
PUNICODE_STRING pUniName;
UNICODE_STRING ustrReg;
ObReferenceObjectByHandle(KeyHandle, 0 , 0 , KernelMode, & pKey, NULL );
pUniName = ExAllocatePool(NonPagedPool, 1024 );
ObQueryNameString(pKey, pUniName, 1024 , & nRet);
RtlInitUnicodeString( & ustrReg, L" \\ REGISTRY \\ MACHINE \\ SOFTWARE \\ Microsoft \\ Windows \\ CurrentVersion \\ Run" );
if (RtlCompareUnicodeString(pUniName, & ustrReg, TRUE) == 0 )
{
ExFreePool(pUniName);
ObDereferenceObject(pKey);
return STATUS_ACCESS_DENIED;
}
其中ObQueryNameString的声明如下所示:
NTSYSAPI
NTSTATUS
NTAPI
ObQueryNameString(
IN PVOID Object,
OUT PVOID ObjectNameInfo,
IN ULONG Length,
OUT PULONG ReturnLength
);
好了,核心代码基本上都放出来了,剩下的就是你自己动手测试了。注意使用ZwQueryInformationFile和ZwQueryKey也可以获得相关信息,但不是完整路径。