天书上的练习-inlinehook IoCallDriver函数

最新推荐文章于 2020-01-07 15:08:45 发布
最新推荐文章于 2020-01-07 15:08:45 发布
阅读量692 收藏 1
点赞数
分类专栏: 驱动/内核/HOOK/ROOKIT 文章标签: struct hook 汇编 object null string
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/instruder/article/details/5448136
版权

//把IofCallDriver开头指令拷贝下来,移到我们自己地中继函数中
//把IofCallDriver开头写入跳转指令跳转到我的中继函数
//中继函数中执行对我自己的IofCallDriver钩子函数的调用
//中继函数中执行原来的IofCallDriver函数中拷贝过来的几条指令
//跳转回到原来的IofCallDriver后开始的跳转点继续执行

//#include "xde.h"
#include "xde.c"
#include "ntddk.h"
#include <wdm.h>

//2


ULONG *g_new_address=NULL;
ULONG *g_new_address1=NULL;

VOID my_address();

 


//先调用一便
MyVistaIoCallDriverRelay()
{
 __asm{
  push old_codes
  pop g_new_address
  push old_codes1
  pop g_new_address1
  }
 
 DbgPrint(("ENTER MyVistaIoCallDriverRelay/n"));
 __asm
 {
old_codes:
  nop
  nop
  nop
  nop
  nop
  nop
  nop
  nop
  nop
  nop
  nop
  nop
  nop
  nop
  nop
  nop
  nop
  nop
  nop
old_codes1:
  nop
  nop
  nop
  nop
  nop
  nop
  nop
  nop
  nop
  nop
  nop
  nop
  nop
  nop
  nop
  nop
  nop
 }
 DbgPrint(("leave MyVistaIoCallDriverRelay/n"));
 //这里出错了一次
 return;
}

 

VOID hook()
{
//3
 KdPrint(("start hooking/n"));
ULONG old_cr0;

//将jmp指令假如到CODE中去
size_t leng;
ULONG code[12];
struct xde_instr myjmp={0};
myjmp.opcode=0xea;
myjmp.addrsize=4;
myjmp.datasize=2;
myjmp.addr_l[0]=(ULONG)my_address;//我们自己的函数地址
myjmp.data_s[0]=8;
leng=xde_asm((unsigned char *)code,&myjmp);
KdPrint(("leng is %d code is 0x%08X%",leng,code));
if (leng==NULL)
{
 KdPrint(("leng is NULL failed/n"));
 return;
}

KIRQL irql;
//解除权限
irql=KeRaiseIrqlToDpcLevel();
DbgBreakPoint();
__asm
{
 //cli
 
 mov eax,cr0
 mov old_cr0,eax
 and eax,not 10000h
 mov cr0,eax
 //这里出错了一次
 
}
KeLowerIrql(irql);
//4
//拷贝代码
// 首先是计算长度
size_t length,total_length=0;
struct xde_instr code_instr={0};
UNICODE_STRING functionName;
RtlInitUnicodeString(&functionName,L"IoCallDriver");
ULONG *start_address=(ULONG*)MmGetSystemRoutineAddress(&functionName);

ULONG *oldstart_address=(ULONG*)MmGetSystemRoutineAddress(&functionName);
//这里出错了一次

KdPrint(("*start_address is 0x%08X%,*oldstart_address is 0x%08X%/n"),*start_address,*oldstart_address);
//记录下原来的IoCallDriver地址
while (total_length<7)
{
 length=xde_disasm((unsigned char *)start_address,&code_instr);
 if (length==0)
 {
  return;
 }
 total_length+=length;
 start_address+=length;
}

//11---
size_t length1;
ULONG code1[12];
struct xde_instr myjmp1={0};
myjmp1.opcode=0xea;
myjmp1.addrsize=4;
myjmp1.datasize=2;
myjmp1.addr_l[0]=(ULONG)start_address;//
myjmp1.data_s[0]=8;
length1=xde_asm((unsigned char *)code1,&myjmp1);
KdPrint(("length1 is %d code1 is 0x%08X%/n",length1,code1));
if (length1==0)
{
 KdPrint(("length1 is NULL failed/n"));
 goto sss;
 
}


irql=KeRaiseIrqlToDpcLevel();

__try{

 __asm
 {
   mov esi,oldstart_address
   mov edi,g_new_address
   mov ecx,total_length
   cld
   rep movsb
   //写入jmp
   mov edi,oldstart_address
   lea esi,code
   //这里出错了一次
   //code=0xF8B5DB84
   //[code]=44be20ea
   //
   mov ecx,leng
   cld
   rep movsb
   //old_codes1:在这写入jmp回iocalldriver
   mov edi,start_address
   lea esi,code1
   mov ecx,length1
   cld
   rep movsb
   
}

}

__except(1)
{
 KdPrint(("OCCUR excepting/n"));

}
//5


sss:
//还原权限
__asm
{
 mov eax,old_cr0
  mov cr0,eax
 // sti
}
KeLowerIrql(irql);
}

VOID my_address()
{
 //EDX保存第二参数
 PIO_STACK_LOCATION  irpstack;
 PIRP irp;
 __asm{
  cmp edx,0
  jz s1;
  mov irp,edx
 }
 irpstack=IoGetCurrentIrpStackLocation(irp);
 KdPrint(("current IRP is %c",irpstack->MajorFunction));
 goto s2;
s1:
 DbgPrint(("IRp is null/n"));
s2:
 
 MyVistaIoCallDriverRelay();
}

 

VOID OnUnload(IN PDRIVER_OBJECT DriverObject)
{
 DbgPrint(("OnUnload/n"));
}

extern "C" NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,PUNICODE_STRING RegistryPath)
{
 DriverObject->DriverUnload=OnUnload;
 MyVistaIoCallDriverRelay();
 hook();
 return STATUS_SUCCESS;
}

 

 

//这其中用到了XDE的反汇编和汇编函数的代码,使用的话直接添加就行了

instruder
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IO 重定向的Hook和对抗
zhonglunshun的专栏
04-24 339
对于设备指纹来说,系统文件是用来标识设备比较稳定的特征码,特别是对于改设备机型,一般来说,一些关键文件信息可用来标识一台设备。典型的如mac地址文件,序列号文件,还有一些用来标识某个特定机型的,比如小米在framework下就有一些文件的文件大小,md5等信息可拿来和标准机型库比对,已识别设备是否被模拟。攻击方自然也知道这个道理,因此也会修改这些文件,对于非源码定制系统来说,这些文件只能通过hook来修改。在比较早的时期,直接通过hook java代码的类的open方法达到效果,
文件IO-HOOK_inlinehook_
10-03
inlineHook 的模板,可以更加快速调用,如果不能正常解压,请将后缀修改为zip
HookIoCallDriver与IofCallDriver
fengkuangfj的专栏
03-08 3385
用途之一:从内核层保护文件不被删除 IoCallDriver:一个内核例程,过滤所有的系统请求 NTSTATUS IoCallDriver(IN PDEVICE_OBJECT DeviceObject, IN OUT PIRP Irp ); IofCallDriver:在IoCallDriver中调用的一个例程,几乎所有的内核驱动都调用了IofCallDr
Hook IofCallDriver 代码收集
weixin_30411997的博客
06-24 111
Inline Hook IofCallDriver 截获所有IRP 首先声明这个是菜鸟—我的学习日记,不是什么高深文章,高手们慎看. 前段时间搞了一些Inline HOOK API的demo,例如对NtQueryDirectoryFile Inline HOOK 进行文件的隐藏,(恰好NtQueryDirectoryFile 在SSDT有导出,也可以采用改SSDT来实现HOOK....
8种HOOK技术
liuhaidon1992的博客
01-07 5384
1.IAT_HOOK IAT是程序中存储导入函数地址的数据结构,如果HOOK了导入函数地址。就可以在函数调用的时候,将函数流程HOOK到我们指定的流程。但是我个人觉得这种方式最好要结合DLL注入的方式,如果单纯的使用HOOK,那么就需要将需要执行的操作的shellcode写入目标进程,如果操作复杂,可能需要的shellcode量特别大,所以我们需要借助DLL注入,这样就将我们需要执行的代码写入...
rootkit技术之IoCallDriver介绍
软件调试的变革
12-03 3213
IoCallDriver是一个非常重要的内核例程,利用它可以过滤所有的系统请求,在IoCallDriver中调用IofCallDriver例程,几乎所有的内核驱动都调用了IofCallDriverIoCallDriver的原型如下: NTSTATUS    IoCallDriver(     IN PDEVICE_OBJECT  DeviceObject,     IN OUT PIRP
使用内核三步实现InlineHook的详细分析
07-06
理论上我们可以在函数任何地方把原来指令替换成我们的跳转指令,也确实有些人在inlineHook的时候做得很深,来躲避inlineHook的检测。前提是必须对函数的流程和指令非常熟悉。且这种深层次的inlineHook不具有通用性。...
64-bits-inline-hook:内联挂钩PsLookupProcessByProcessId
04-29
内联挂钩(Inline Hook)是计算机编程中一种高级技术,主要应用于逆向工程、调试以及系统监控等领域。在64位环境下,内联挂钩的实现相比32位环境更为复杂,因为64位架构通常有更严格的指令集和内存对齐要求。本文将...
Inline Hook_inlinehook_x86_x64_64位HOOK_
09-28
Inline Hook是一种技术,主要用于在程序运行时修改函数的行为。它涉及到计算机编程中的底层技术,特别是逆向工程和软件调试领域。Inline Hook的核心是通过在原函数的代码中插入额外的指令来实现对函数调用的拦截,...
代码实例分析android中inline hook
08-28
在实现注入函数时,我们需要编写一个 hook_inline_make 函数,该函数将被注入到目标函数中。该函数将执行用户指定的代码,然后执行被替换掉的原指令。例如,在本实例代码中,我们使用 hook_inline_make 函数来将 my_...
C++实现inline hook的原理及应用实例
09-04
主要介绍了C++实现inline hook的原理及应用,需要的朋友可以参考下
IoCallDriver routine
死胖子的博客
02-07 2452
IoCallDriver routine IoCallDriver 例程发送一个IRP给指定设备对象关联的驱动程序。 Syntax   NTSTATUS IoCallDriver( _In_ PDEVICE_OBJECT DeviceObject, _Inout_ PIRP Irp );   Parameters DeviceObject [
Win64 驱动内核编程-23.Ring0 InLineHook 和UnHook
天使也掉毛
03-26 5111
Ring0InLineHook和UnHook 如果是要在R0里hook,作者的建议是InLineHOOK,毕竟SSDTHOOK和SHADOWSSDTHOOK比较麻烦,不好修改。目前R3的InLineHOOK我比较喜欢的是MINIHOOKENGINE,但是今天要解决的是R0的InLineHOOK问题。 下面说下InLineHOOK的思路: 一、实现...
inline hook IofCallDriver 调用ntfs时保护文件访问
125096
09-05 659
#include #include NTSTATUS DriverUnload(IN PDRIVER_OBJECT DriverObject); int IsNeedProtect(DEVICE_OBJECT *DeviceObject, PIRP Irp); ULONG GetFunctionAddr(IN PCWSTR FunctionName); VOID InlineHook();
基于Filter-Hook Driver(使用ipfirewall.h)的IP过滤驱动
求索
03-13 2781
Author:  fleshwoundEmail:   fleshwound@126.comHomepage:http://www.smatrix.org IP过滤驱动可以广泛的应用于网络安全产品的研发,NDIS和TDI的驱动资料很多,有比较成熟的代码可以参考,但是使用IPFIREWALL.h开发的IP过滤驱动的资料非常少,这次自己做一个软件的时候参考VCKBASE上的一篇文章《开发Windows
外挂编写完全攻略
热门推荐
Mycro的专栏
12-06 3万+
外挂编写完全攻略一、先说一下写一个外挂需要什么条件 1、熟练的C语言知识 目前的外挂大部分都是用BC或者是vc写的,拥有熟练的C语言知识是写外挂的基本条件 2、具有很强的汇编基础 一般游戏都不可能有原代码的,必须*反汇编或者跟踪的办法来探索其中的机理 ,所以有强的汇编基础也是必不可少的条件3、熟练掌握跟踪和调试的工具 有了上面2个条件后,掌握一些工具也是很有必要的 跟踪的工具,softice当然是
怎么使用lsm hook部分函数,监控inline hook
最新发布
04-29
在使用LSM Hook监控inline hook时,需要实现LSM Hook的security_ops结构体中的hook安全钩子函数,其中包括以下几个函数: 1. inode_permission:在文件系统中打开文件时被调用,用于检查文件访问权限。 2. file_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值