Hook Npfs驱动对象Dispatch过滤创建和打开管道

最新推荐文章于 2022-11-27 14:41:38 发布
最新推荐文章于 2022-11-27 14:41:38 发布
阅读量490 收藏 1
点赞数 2
分类专栏: 内核开发 文章标签: Npfs Dispatch Hook NamedPipe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cssxn/article/details/106070577
版权

通过Hook Npfs对象的Dispatch的IRP回调函数,达到过滤命名管道的需求,这种方式测试了WinXPsp3-win10_1909 都非常稳定!
效果图:
在这里插入图片描述

代码:

#include <ntifs.h>
#include <ntstrsafe.h>
#include <ntddkbd.h>


// Propertys
// ==============================================================================
extern POBJECT_TYPE* IoDriverObjectType;

NTKERNELAPI UCHAR* NTAPI PsGetProcessImageFileName(PEPROCESS process);

NTSTATUS ObReferenceObjectByName(
	PUNICODE_STRING ObjectName,
	ULONG Attributes,
	PACCESS_STATE AccessState,
	ACCESS_MASK DesiredAccess,
	POBJECT_TYPE ObjectType,
	KPROCESSOR_MODE AccessMode,
	PVOID ParseContext,
	PVOID* Object
);

#define DELAY_ONE_MICROSECOND (-10)
#define DELAY_ONE_MILLISECOND (DELAY_ONE_MICROSECOND*1000)
#define DELAY_ONE_SECOND (DELAY_ONE_MILLISECOND*1000);


// The Target Driver Object Name 
#define TARGET_DRIVER_NAME L"\\FileSystem\\Npfs"
PDRIVER_OBJECT g_pNpfs = NULL;

BOOLEAN IsHooked = FALSE;

PDRIVER_DISPATCH g_OriginalCreate = NULL;
PDRIVER_DISPATCH g_OriginalCreateNamedPipe = NULL;

NTSTATUS MyCreate(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp)
{
	PIO_STACK_LOCATION pStack = IoGetCurrentIrpStackLocation(Irp);
	DbgPrint("Openning NamedPipe:%wZ\n", &pStack->FileObject->FileName);
	return g_OriginalCreate(DeviceObject,Irp);
}

NTSTATUS MyCreateNamedPipe(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp)
{
	PIO_STACK_LOCATION pStack = IoGetCurrentIrpStackLocation(Irp);
	DbgPrint("Creating NamedPipe:%wZ\n", &pStack->FileObject->FileName);

	return g_OriginalCreateNamedPipe(DeviceObject, Irp);
}

// 卸载函数
VOID DriverUnload(PDRIVER_OBJECT pDriverObject)
{
	if (g_pNpfs)
	{
		InterlockedExchangePointer(&g_pNpfs->MajorFunction[IRP_MJ_CREATE], g_OriginalCreate);
		InterlockedExchangePointer(&g_pNpfs->MajorFunction[IRP_MJ_CREATE_NAMED_PIPE], g_OriginalCreateNamedPipe);
		ObDereferenceObject(g_pNpfs);
		DbgPrint("Restore hook!\n");
	}
	KdPrint(("Driver unloaded!!!\n"));
}

//
NTSTATUS DriverEntry(_In_ PDRIVER_OBJECT pDriverObject, _In_ PUNICODE_STRING RegistryPath)
{

	NTSTATUS status;
	KdPrint(("Enter DriverEntry!!\n"));

	pDriverObject->DriverUnload = DriverUnload;

	UNICODE_STRING uniNtNameString = {0};
	RtlInitUnicodeString(&uniNtNameString, TARGET_DRIVER_NAME);
	status = ObReferenceObjectByName(&uniNtNameString, OBJ_CASE_INSENSITIVE, NULL, 0, *IoDriverObjectType, KernelMode, NULL, &g_pNpfs);
	if (!NT_SUCCESS(status))
	{
		KdPrint(("Couldn't get the NPFS driver object \n"));
		return STATUS_UNSUCCESSFUL;
	}
	else
	{
		// Start Hooking
		g_OriginalCreate = InterlockedExchangePointer(&g_pNpfs->MajorFunction[IRP_MJ_CREATE],MyCreate);
		g_OriginalCreateNamedPipe = InterlockedExchangePointer(&g_pNpfs->MajorFunction[IRP_MJ_CREATE_NAMED_PIPE],MyCreateNamedPipe);
		DbgPrint("Hook: HOOK driver object! Success\n");
	}

	return status;
}
FFE4
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
恢复tcpip.sys的dispatch hook
07-01 2702
#define BASEADDRLEN 10PBYTE MyGetNtosBaseAddress() {    PSYSTEM_MODULE_INFORMATION  pSysModule;      ULONG        uReturn;    ULONG        uCount;    PCHAR        pBuffer = NULL;    PC
react dispatch_React系列二十一 Hook(二)高级使用
weixin_39622123的博客
11-22 3724
一. Hook高级使用 1.1. useReducer很多人看到useReducer的第一反应应该是redux的某个替代品,其实并不是。useReducer仅仅是useState的一种替代方案:在某些场景下,如果state的处理逻辑比较复杂,我们可以通过useReducer来对其进行拆分;或者这次修改的state需要依赖之前的state时,也可以使用;单独创建一个reducer/coun...
NTFS FSD HOOK
Lycorisradiata
04-18 568
NTFS FSD HOOKNTSTATUS FSDHookControl( IN BOOLEAN IsHook ) { NTSTATUS status = STATUS_SUCCESS; UNICODE_STRING uNTFS = {0}; PDRIVER_OBJECT NTFS = NULL; RtlInitUnicodeString( &uNTFS, L"\\Fi
NTFS 驱动程序
12-27
希捷硬盘NTFS 驱动程序允许您在所支持的希捷硬盘上安装作为读取和写入的 NTFS 分区(NTFS 在 MacOS 上通常仅为只读),这样硬盘可以用于在运行 MacOS 的电脑和运行 Windows 的电脑之间拖放文件。
HOOK ntfs 禁止格式化
stecdeng的专栏
05-29 1221
if(bHooked == FALSE) { RtlInitUnicodeString (&HookDriverName, L"\\FileSystem\\Ntfs"); //获得\Driver\VolSnap驱动对象 status = ObReferenceObjectByName ( &HookDriverName, OBJ_CASE_INSENSITIVE, 0, 0, *
Java开发之内部类对象创建hook机制分析
08-28
Java开发之内部类对象创建hook机制分析 本文主要介绍了Java开发之内部类对象创建hook机制,结合实例形式分析了...通过上述知识点,读者可以更好地理解Java内部类对象创建hook机制的相关概念和应用场景。
SSDT.rar_hook 驱动_ssdt_ssdt hook
09-22
SSDT.rar_hook 驱动是针对系统服务描述表(System Service Dispatch Table, SSDT)进行操作的一个技术,主要用于在Windows操作系统中实现钩子(hook)功能。SSDT是操作系统核心与用户模式应用程序之间交互的重要桥梁...
SSDT Hook_内核_x86_ssdthook_驱动_
10-03
"Debug"目录通常存放调试版本的可执行文件和相关资源,而"SSTD Hook"可能是项目的主要源代码文件夹,包含驱动程序的实现。"x64"目录虽然不在描述中提及,但通常用于存放64位版本的相关内容,可能是为了对比不同架构...
Hook 显卡用户态驱动Hook DirectX3d
最新发布
05-16
Hook 显卡用户态驱动Hook DirectX3d
usb.rar_mtp hook_内核USB驱动
09-23
"MTP hook"可能指的是在USB驱动中添加的特定代码,用于在设备连接时识别MTP设备并应用特定的处理流程。这可能涉及到注册MTP设备类,以便当一个支持MTP的设备连接到系统时,能正确地被识别并初始化。MTP钩子通常会...
inline hook IofCallDriver 调用ntfs时保护文件访问
125096
09-05 658
#include #include NTSTATUS DriverUnload(IN PDRIVER_OBJECT DriverObject); int IsNeedProtect(DEVICE_OBJECT *DeviceObject, PIRP Irp); ULONG GetFunctionAddr(IN PCWSTR FunctionName); VOID InlineHook();
FSD HOOK与SSDT HOOK恢复简单思路
weixin_34292924的博客
09-03 270
FSD 解释: File System Driver文件系统驱动程序,分为本地FSD和远程FSD。 (1) 本地FSD:允许用户访问本地计算机上的数据 ——本地FSD负责向I/O管理器注册自己,当开始访问某个卷时,I/O管理器调用FSD来进行卷识别。 ——完成卷识别后,本地FSD创建一个设备对象以表示所装载的文件系统。 ——I/O管理器通过卷参数块(VPB)在存...
FSDHOOK恢复
125096
08-30 606
WCHAR DriverName[] = L"\\FileSystem\\ntfs"; WCHAR DriverPath[] = L"\\??\\C:\\WINDOWS\\system32\\drivers\\ntfs.sys"; RestoreFSDMajorRoutine(&DriverName, &DriverPath, IRP_MJ_CREATE); //函数名: Resto
r0下FSD inline hook防删除
03-26 1609
只拦截了Ntfs.sys上的,FastFat同Ntfs。感觉更像是一个inline hook的例子 呵呵 :)引用:/*                By 炉子[0GiNr]                http://hi.baidu.com/breakinglove_                http://0ginr.com*/typedef NTSTATUS (*pfnD
池风水利用工具
如鹿渴慕泉水的专栏
11-27 514
池风水利用工具
NTFS文件系统详解
热门推荐
enjoy5512的博客
03-20 3万+
注:本文参考博客地址 NTFS (New Technology File System),是 WindowsNT 环境的文件系统。新技术文件系统是Windows NT家族(如,Windows 2000、Windows XP、Windows Vista、Windows 7和 windows 8.1)等的限制级专用的文件系统(操作系统所在的盘符的文件系统必须格式化为NTFS的文件系统,4096簇环境下
Hook Dispatch 实时监控[zz]
LionD8' Blog 个人作品 www.360kdj.com 360KDJ股票实验室
09-08 5100
作者:pker/*++Module Name:    FSHook.cAbstract:    I  wanted  to  build a filter driver when I first  thought about doing such    kind of things.  But then I found that its not realistic cause it have
fsd hook里获取文件全路径
03-24 1093
NTSTATUS MyFsdCreate(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp){PDRIVER_DISPATCH        RealDispatch;NTSTATUS                    ntStatus;NTSTATUS                    status;PFILE_OBJECT             
c++的hook驱动那个更实用
03-29
Hook是一种技术,用于在软件运行时拦截和修改程序执行流程,可以用于修改软件行为、实现软件安全防护、调试等方面。Hook通常是在用户模式下实现的,可以对操作系统或其他软件进行hook驱动是操作系统内核模块,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值