r0下FSD inline hook防删除

最新推荐文章于 2020-11-09 16:23:55 发布
最新推荐文章于 2020-11-09 16:23:55 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: windows底层核心編程 文章标签: hook object iis up delete struct
只拦截了Ntfs.sys上的,FastFat同Ntfs。
感觉更像是一个inline hook的例子 呵呵 :)
引用:
/*
                By 炉子[0GiNr]
                http://hi.baidu.com/breakinglove_
                http://0ginr.com
*/

typedef NTSTATUS (*pfnDrvDispath)(
                                  IN PDEVICE_OBJECT        DeviceObject,
                                  IN PIRP                    Irp
                                  );
#define ProxyJmpCodeLength 7 //sizeof(0xEA,0,0,0,0 0x08,0x00) = 7
/
typedef struct _HookData
{
    PVOID pOriginalData;
    ULONG JmpDataLength;
} HookData,*pHookData;
/
//code info:
//ObreferenceObjectByHandle        1
#define hkn_NtfsDispatch 1
#define NtfsDispatch 0xfa8f3618 //Ntfs!NtfsFsdSetInformation
/
HookData ProcProtectHkDt[10];
/
VOID DisableWriteProtect(PULONG pOldAttr);
VOID EnableWriteProtect(ULONG uOldAttr);
VOID FuncRestore(PVOID FuncAddr,PVOID pOriginalCode,ULONG RestoreLength);
BOOLEAN FuncModify(PVOID FuncAddr,PVOID FuncNewAddr,PVOID *JmpCodeAddr,ULONG *JmpCodeLength);
/

NTSTATUS
DrvDispath(
           IN PDEVICE_OBJECT        DeviceObject,
           IN PIRP                    Irp
           )
{
    NTSTATUS st=STATUS_SUCCESS;
    PIO_STACK_LOCATION pIrpStack;
    pIrpStack=IoGetCurrentIrpStackLocation(Irp);
    dprintf("[LzStDrv] DrvDispath called!");
    if (pIrpStack->Parameters.SetFile.FileInformationClass == FileDispositionInformation)
    {
        dprintf("[LzStDrv] delete file called!");
        return STATUS_ACCESS_DENIED;
    }
    st=((pfnDrvDispath)ProcProtectHkDt[hkn_NtfsDispatch].pOriginalData)(DeviceObject,Irp);
    return st;
}
BOOLEAN EnableFileProtect()
{
    PVOID pOgn;
    ULONG jdl;
    FuncModify((PVOID)NtfsDispatch,DrvDispath,&pOgn,&jdl);
    ProcProtectHkDt[1].pOriginalData=pOgn;
    ProcProtectHkDt[1].JmpDataLength=jdl;
    dprintf("[LzStDrv] NtfsDispatch hooked!");
    return TRUE;
}
BOOLEAN DisableFileProtect()
{
    FuncRestore((PVOID)NtfsDispatch,ProcProtectHkDt[1].pOriginalData,ProcProtectHkDt[1].JmpDataLength-ProxyJmpCodeLength);
    ExFreePool(ProcProtectHkDt[1].pOriginalData);
    dprintf("[LzStDrv] NtfsDispatch unhooked!");
    return TRUE;
}
VOID
FuncRestore(
            PVOID FuncAddr,
            PVOID pOriginalCode,
            ULONG RestoreLength
            )
{
    ULONG ulAttr;
    DisableWriteProtect(&ulAttr);
    memcpy(FuncAddr,pOriginalCode,RestoreLength);
    EnableWriteProtect(ulAttr);
}
BOOLEAN
FuncModify(
           PVOID FuncAddr,
           PVOID FuncNewAddr,
           PVOID *JmpCodeAddr,
           ULONG *JmpCodeLength
           )
{
    ULONG ulAttr;
    ULONG BackupLength=0;
    UCHAR *cPtr,*pOpcode;
    ULONG Length;
    PVOID pJmpCodeBuf;
    char jmp_code[ProxyJmpCodeLength]={'/xea','/0','/0','/0','/0','/x08','/0'};
    char hk_code[5]={'/xe9','/0','/0','/0','/0'};
    dprintf("[LzStDrv] FuncAddr=0x%X, FuncNewAddr=0x%X, JmpCodeAddr=0x%X, JmpCodeLength=0x%X./n",
        FuncAddr,FuncNewAddr,JmpCodeAddr,JmpCodeLength);
    ///
    dprintf("[LzStDrv] start calcing BackupLength/n");
    for (cPtr = (UCHAR *)FuncAddr; cPtr < (UCHAR *)FuncAddr + PAGE_SIZE; cPtr += Length)
    {
        Length = SizeOfCode(cPtr, &pOpcode);
        BackupLength+=Length;
        if (BackupLength>=5) break;
    }
    dprintf("[LzStDrv] BackupLength=%d (Dec.)/n",BackupLength);
    ///
    DisableWriteProtect(&ulAttr);
    ///   
    dprintf("[LzStDrv] ExAllocatePooling pJmpCodeBuf/n");
    pJmpCodeBuf=ExAllocatePool(PagedPool,BackupLength+ProxyJmpCodeLength);
    if (!pJmpCodeBuf)
    {
        dprintf("[LzStDrv] ExAllocatePool pJmpCodeBuf faild!/n");
        return FALSE;
    }
    dprintf("[LzStDrv] ExAllocatePool pJmpCodeBuf O.K./n");   
    ///
    *JmpCodeAddr=pJmpCodeBuf;
    *JmpCodeLength=BackupLength+ProxyJmpCodeLength;
    ///
    dprintf("[LzStDrv] Backing up original code/n");   
    memcpy(pJmpCodeBuf,FuncAddr,BackupLength);
    dprintf("[LzStDrv] Back up original code O.K./n");
    ///
    dprintf("[LzStDrv] Adding up jmp code/n");   
    *((ULONG*)(jmp_code+1))=(ULONG)FuncAddr+BackupLength;
    memcpy((VOID *)((ULONG)pJmpCodeBuf+BackupLength),jmp_code,ProxyJmpCodeLength);
    dprintf("[LzStDrv] Add up jmp code O.K./n");   
    ///
    dprintf("[LzStDrv] Hooking API./n");   
    *((ULONG *)(hk_code+1))=(ULONG)FuncNewAddr-(ULONG)FuncAddr-5;//sizeof(jmp xxxxxxxx)=5
    memcpy((VOID *)FuncAddr, hk_code, 5);
    dprintf("[LzStDrv] Hook API O.K./n");
    ///
    EnableWriteProtect(ulAttr);
    return TRUE;
}
VOID DisableWriteProtect( PULONG pOldAttr)
{
    ULONG uAttr;
    _asm
    {
        push eax;
        mov  eax, cr0;
        mov  uAttr, eax;
        and  eax, 0FFFEFFFFh; // CR0 16 BIT = 0
        mov  cr0, eax;
        pop  eax;
        cli;
    };
    *pOldAttr = uAttr;
}
VOID EnableWriteProtect( ULONG uOldAttr )
{
    _asm
    {
        push eax;
        mov  eax, uOldAttr;
        mov  cr0, eax;
        pop  eax;
        sti;
    };
}
<script type="text/javascript">var tagarray = ['IIS','隐藏进程','DDoS','代码','源码','逆向工程','内核编程'];var tagencarray = ['IIS','%E9%9A%90%E8%97%8F%E8%BF%9B%E7%A8%8B','DDoS','%E4%BB%A3%E7%A0%81','%E6%BA%90%E7%A0%81','%E9%80%86%E5%90%91%E5%B7%A5%E7%A8%8B','%E5%86%85%E6%A0%B8%E7%BC%96%E7%A8%8B'];parsetag();</script>   
iiprogram
关注
专栏目录
Win64 驱动内核编程-23.Ring0 InLineHook 和UnHook
墨鱼菜鸡
12-18 271
Ring0InLineHook和UnHook 如果是要在R0hook,作者的建议是InLineHOOK,毕竟SSDTHOOK和SHADOWSSDTHOOK比较麻烦,不好修改。目前R3的InLineHOOK我比较喜欢的是MINIHOOKENGINE,但是今天要解决的是R0...
R0FSD inline Hook 删除
Rootkit ﹏
09-02 952
<br />/*<br />                By 炉子[0GiNr]<br />                http://hi.baidu.com/breakinglove_<br />                http://0ginr.com<br />*/<br />typedef NTSTATUS (*pfnDrvDispath)(<br />                                  IN PDEVICE_OBJECT        DeviceOb
fsd inline hook
05-15 1280
这是一段未完成的代码 本来我打算用它来隐藏文件的 可是具体写隐藏文件函数的位置上出现了问题 现在正在思考中 把它发出了主要的目的其实是求助啦 不过我在网上找了好久相关的代码 却没找到 于是发上来跟大家分享一下代码:#include "ntddk.h"typedef BOOLEAN BOOL;typedef unsigned long DWORD;typedef DWOR
FSDHOOK恢复
125096
08-30 623
WCHAR DriverName[] = L"\\FileSystem\\ntfs"; WCHAR DriverPath[] = L"\\??\\C:\\WINDOWS\\system32\\drivers\\ntfs.sys"; RestoreFSDMajorRoutine(&DriverName, &DriverPath, IRP_MJ_CREATE); //函数名: Resto
NTFS FSD HOOK
Lycorisradiata
04-18 585
NTFS FSD HOOKNTSTATUS FSDHookControl( IN BOOLEAN IsHook ) { NTSTATUS status = STATUS_SUCCESS; UNICODE_STRING uNTFS = {0}; PDRIVER_OBJECT NTFS = NULL; RtlInitUnicodeString( &uNTFS, L"\\Fi
Windows驱动学习(八)-- 通过InlineHook实现变速齿轮
安全杂货铺
01-04 3854
教程参考自:https://www.bilibili.com/video/av26193169/?p=9 代码地址:https://github.com/G4rb3n/Windows-Driver/tree/master/MT_InlineHook 1. 概述 之前的章节我们介绍了FSD Hook技术,这章我们来讲解一下更底层一点的Inline Hook技术。 2. 原理介绍 Inline Hoo...
XueTr专用版 Hook 过保
10-30
3.SSDT、Shadow SSDT、FSD、Keyboard、TCPIP、Classpnp、Atapi、Acpi、SCSI、Mouse、IDT、GDT信息查看,并能检测和恢复ssdt hookinline hook 4.CreateProcess、CreateThread、LoadImage、CmpCallback、...
pchunter64位 v1.6已签名 支持win11 强大的内核工具,强效手动杀毒,强力删除文件,强力结束进程
08-15
3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看,并能检测和恢复ssdt hookinline hook 4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、...
PC Hunter是Windows系统信息查看软件,一种常用性质软件
最新发布
10-08
3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Nsiproxy、Tdx、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看,并能检测和恢复ssdt hookinline hook 4.CreateProcess、CreateThread、LoadImage、CmpCallback、...
nt6.x下的icesword
02-04
3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看,并能检测和恢复ssdt hookinline hook 4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、...
文件暴力删除工具
11-19
暴力删除文件或文件夹 暴力删除文件或文件夹
对付kernel / fsd inline hook/ssdt hook
03-21 1013
<!-- if (!document.phpAds_used) document.phpAds_used = ,; phpAds_random = new String (Math.random()); phpAds_random = phpAds_random.substring(2,11); document.write ("<" + "script
FSD's Inline Hook & EAT modify check Completed
10-16 1247
   瞎折腾个半天,太菜, 之前也没怎么搞过检测程序,于是匆匆逆了下几个无壳的ARK,结合R3和R0,加上自己的一些总结,胡弄了个DEMO. 目前仅仅是遍历检测ntoskrnl.exe EAT(没加SSDT), 对于fastfat.sys/ntfs.sys/disk.sys等模块还没有检测,不过弄起来也很快, 支持对未导出函数 、Push+ret 等的HOOK检测,不过很脆弱,后期继续加强检
FSD HOOK与SSDT HOOK恢复简单思路
weixin_34292924的博客
09-03 296
FSD 解释: File System Driver文件系统驱动程序,分为本地FSD和远程FSD。 (1) 本地FSD:允许用户访问本地计算机上的数据 ——本地FSD负责向I/O管理器注册自己,当开始访问某个卷时,I/O管理器调用FSD来进行卷识别。 ——完成卷识别后,本地FSD创建一个设备对象以表示所装载的文件系统。 ——I/O管理器通过卷参数块(VPB)在存...
R0Inline Hook模板
yxuenong的专栏
12-14 835
InlineHook 已导出函数 VOID   HookObReferenceObjectByHandle() {       KIRQL Irql;     KdPrint(("[ObReferenceObjectByHandle] :0x%x",ObReferenceObjectByHandle));  //地址验证     //保存函数前五个字节内容     Rtl
Windows驱动学习(六)-- FSD钩子
安全杂货铺
11-21 2522
教程参考自:https://www.bilibili.com/video/av26193169/?p=8 代码地址:https://github.com/G4rb3n/Windows-Driver/tree/master/MT_FSDHook 1. 概述 FSD钩子是一种较实用的过滤方法,对比于上一章的添加键盘过滤设备,这种方法更显得简单高效。 2. 驱动编写 2.1 驱动入口函数 入口函数简单明...
文件系统fsd hook (一)原理
weixin_30602505的博客
10-26 225
要知道FSDHook原理,首先我们必须了解什么是FSD,也就是FileSystem。我们电脑上的文件系统ntfs.sys,他有个设备\FileSystem\Ntfs,这个设备是用IoCreateDevice创建,跟我们写驱动的时候一样,那么我们可以通过这个设备,来对ntfs做一些操作,跟ntfs驱动进行一些通信。我们来看IDA分析: //这个就是我们以前的代码,创建一个通信设备 RtlI...
[驱动开发] 手写 r0 hook(NtOpenProcess 为例)
LYSM
11-09 1517
inlineHook的原理: 为了方便好理解,一些变量名和函数名在这里使用中文命名,有些编译器不支持中文命名,在这里要注意(我的是VS2019) hook.h: #pragma once #include<ntifs.h> #include<ntddk.h> #pragma intrinsic(__readmsr) //SSDT的结构 typedef struct _SYSTEM_SERVICE_TABLE { PLONG ServiceTableBase; PVOI
note : when FSD HOOK + IRP_MJ_CREATE, judge pFileObject->Flags
谢绝(无视)留言与私信
09-19 1324
FSD HOOK后,  为了提高效率, 判断 FILE_OBJECT.Flags, 用于比对 IRP_MJ_CREATE 操作的黑名单. BOOLEAN FileObjectFlagIsFileOpen(ULONG_PTR ulFlags) { /// #define FO_SYNCHRONOUS_IO 0x00000002 /// 每秒钟一次的文件操
ubuntu虚拟机下如何安装ext2fsd
07-25
ext2fsd是一个Windows下的驱动程序,用于访问和管理Linux ext2/ext3/ext4文件系统。因此,在Ubuntu虚拟机中并不需要安装ext2fsd。 在Ubuntu虚拟机中,默认支持ext2/ext3/ext4文件系统,您可以直接通过文件管理器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值