Hook与IoCallDriver与IofCallDriver

最新推荐文章于 2019-09-23 09:05:00 发布
最新推荐文章于 2019-09-23 09:05:00 发布
阅读量3.4k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fengkuangfj/article/details/8650016
版权
本文介绍了Hook在内核层如何通过IoCallDriver和IofCallDriver实现对系统请求的拦截,以及在不同传输类型下,驱动程序如何处理输入和输出缓冲区。在驱动层,根据传输类型如METHOD_BUFFERED、METHOD_IN_DIRECT等,确定缓冲区的位置以进行数据交互。
摘要由CSDN通过智能技术生成

用途之一:从内核层保护文件不被删除


IoCallDriver:一个内核例程,过滤所有的系统请求

NTSTATUS IoCallDriver(IN PDEVICE_OBJECT  DeviceObject,
    IN OUT PIRP  Irp
    );

IofCallDriver:在IoCallDriver中调用的一个例程,几乎所有的内核驱动都调用了IofCallDriver

NTSTATUS FASTCALL IofCallDriver(IN PDEVICE_OBJECT DeviceObject,
    IN OUT PIRP Irp)
{
	if(pIofCallDriver != NULL) 
	{
		// This routine will either jump immediately to IovCallDriver or
		// IoPerfCallDriver.
		return pIofCallDriver(DeviceObject, Irp, _ReturnAddress());
	}
	return IopfCallDriver(DeviceObject, Irp);
}

几乎所有的系统调用都是如此,进入之后,立刻出现一个jmp,跳到真实的调用处,这就形成了一个系统调用跳转表,只要修改这个地址,就能构成一个hook,现在安全软件能够很容易的检测到它。


最低0.47元/天 解锁文章
fengkuangfj
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Windows内核学习笔记(二)-- IoCallDriver函数与PoCallDriver函数
iT2afL0rd's Blog
07-19 8387
      今天看书的时候看到了这两个函数,开始还没在意,以为是同一个,功能应该一样。后来想想一样的干嘛还弄两个呢,于是就查了一下,发现这两个函数差别还蛮大的。首先来看这两个函数的原型:NTSTATUS IoCallDriver( IN PDEVICE_OBJECT DeviceObject, IN OUT PIRP Irp );NTSTATU
rootkit技术之IoCallDriver介绍
软件调试的变革
12-03 3219
IoCallDriver是一个非常重要的内核例程,利用它可以过滤所有的系统请求,在IoCallDriver中调用IofCallDriver例程,几乎所有的内核驱动都调用了IofCallDriverIoCallDriver的原型如下: NTSTATUS    IoCallDriver(     IN PDEVICE_OBJECT  DeviceObject,     IN OUT PIRP
驱动和应用层的三种通信方式
03-03
介绍了驱动和应用层的三种通信方式,工程一个应用层exe.一个驱动,exe中没有安装驱动的代码,驱动需要手动找工具安装下,然后再运行exe
应用程序与驱动程序6种通信方式
求索
02-08 6616
应用程序与驱动程序6种通信方式    ---来源于互联网,交流学习---         应用程序与驱动程序通信方式据我所知,细分可以分6种,ReadFile,WirteFile方式的缓冲区设备读写,直接方式读写,和其他方式读写。Io设备控制操作(即 DeviceControl)的缓冲内存模式IOCTL,直接内存方式的IOCTL,其他内存方式的IOCTL!当然还有一种就是创建文件,然后
Hook IofCallDriver 代码收集
weixin_30411997的博客
06-24 119
Inline Hook IofCallDriver 截获所有IRP 首先声明这个是菜鸟—我的学习日记,不是什么高深文章,高手们慎看. 前段时间搞了一些Inline HOOK API的demo,例如对NtQueryDirectoryFile Inline HOOK 进行文件的隐藏,(恰好NtQueryDirectoryFile 在SSDT有导出,也可以采用改SSDT来实现HOOK....
Hook 与 抓包
12-07
Hook 与 抓包 Hook 与 抓包是两种不同的技术概念,Hook 是一种编程技术,用于拦截和修改程序的行为,而抓包是指在网络通信过程中截获和分析数据包的技术。在本文中,我们将介绍如何使用 Hook 技术来抓包,并绕过 ...
HOOK-class.rar_钩子与API截获_Visual_C++_
08-12
HOOK技术的Ring0级进程保护组件设计与实现》这篇文档深入探讨了Windows操作系统中的HOOK技术和Ring0级进程保护组件的实现。在Windows系统中,HOOK是一种强大的技术,它允许开发者拦截并处理特定的系统事件或函数...
Hook-KiFastCallEntry.rar_钩子与API截获_Visual_C++_
08-11
Hook KiFastCallEntry监控系统调用这是一个监控特定进程系统调用的小程序,整理硬盘时找到的,发出来跟大家分享。原理很简单,通过hook KiFastCallEntry实现,很老的技术了。
驱动层ring0和应用层ring3软件通信.zip
01-27
驱动层ring0和应用层ring3软件通信.zip
论文研究-基于NDISHOOK与SPI的个人防火墙研究与设计.pdf
07-22
介绍了NDIS系统结构以及在Windows 2000/NT下NDIS-HOOK的原理,并给出了一个基于NDISHOOK技术的个人防火墙驱动程序——Packet.sys。利用该驱动程序与SPI技术相结合,可方便地实现基于Windows的个人防火墙。
驱动开发:驱动与应用的通信
CSDN
09-23 6004
驱动程序与应用程序的通信离不开派遣函数,派遣函数是Windows驱动编程中的重要概念,一般情况下驱动程序负责处理I/O特权请求,而大部分IO的处理请求是在派遣函数中处理的,当用户请求数据时,操作系统会提前处理好请求,并将其派遣到指定的内核函数中执行,接下来将详细说明派遣函数的使用并通过派遣函数读取Shadow SSDT中的内容。先来简单介绍一下。
关于IoCallDriver
weixin_34268310的博客
03-05 125
通常我们所知IoCallDriver是把irp传递给下一层设备,传递到底是什么意思呢?IoCallDriver中实际调用了IopfCallDriver,其代码如下:NTSTATUSFORCEINLINEIopfCallDriver(    IN PDEVICE_OBJECT DeviceObject,    IN OUT PIRP Irp    )/*++Routine Description: ...
inline hook IofCallDriver 调用ntfs时保护文件访问
125096
09-05 665
#include #include NTSTATUS DriverUnload(IN PDRIVER_OBJECT DriverObject); int IsNeedProtect(DEVICE_OBJECT *DeviceObject, PIRP Irp); ULONG GetFunctionAddr(IN PCWSTR FunctionName); VOID InlineHook();
天书上的练习-inlinehook IoCallDriver函数
爱杀之爪的矩阵
04-03 696
//把IofCallDriver开头指令拷贝下来,移到我们自己地中继函数中//把IofCallDriver开头写入跳转指令跳转到我的中继函数//中继函数中执行对我自己的IofCallDriver钩子函数的调用//中继函数中执行原来的IofCallDriver函数中拷贝过来的几条指令//跳转回到原来的IofCallDriver后开始的跳转点继续执行//#include "xde.h"#inclu
IoCallDriver()简析
pureman_mega的博客
03-27 1645
NTSTATUS IofCallDriver(IN PDEVICE_OBJECT DeviceObject, IN OUT PIRP Irp) { if(*pIofCallDriver)//je 0x1d { return pIofCallDriver(DeviceObject,Irp); } Irp->Cu
应用层与内核的几种通信方式
weixin_34129696的博客
05-18 569
应用程序与驱动程序据我所知,细分可以分6种,ReadFile,WirteFile方式的缓冲区设备读写,直接方式读写,和其他方式读写。Io设备控制操作(即DeviceControl)的缓冲内存模式IOCTL,直接内存方式的IOCTL,其他内存方式的IOCTL!当然还有一种就是创建文件,然后文件读写也应该算是一种通信吧,这里不讨论这个! 1,缓冲区方式设备读写: 在创建Device后,须要指定方式...
HOOK机制与数据库访问技术
HOOK和数据库访问技术 HOOK是Windows操作系统中的一种机制,用于在应用程序和操作系统之间传递消息。HOOK机制允许应用程序在操作系统的消息队列中截获消息,从而能够对消息进行处理和修改。HOOK机制广泛应用于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值