恢复平衡0x8b,0xff,0x55,0x8b,0xec

最新推荐文章于 2021-07-08 16:48:31 发布
最新推荐文章于 2021-07-08 16:48:31 发布
阅读量2.2k 收藏
点赞数
分类专栏: win hook hook

简单inline hook ObReferenceObjectByHandle保护进程和屏蔽文件执行

2013年02月22日  ⁄ 综合 ⁄ 共 3602字 ⁄ 字号  小 中 大  ⁄ 评论关闭
id="cproIframe_u1788635_2" width="336" height="280" src="http://pos.baidu.com/acom?adn=3&at=231&aurl=&cad=1&ccd=24&cec=UTF-8&cfv=11&ch=0&col=zh-CN&conBW=0&conOP=1&cpa=1&dai=2&dis=0&ltr=https%3A%2F%2Fwww.google.com.hk%2F&ltu=http%3A%2F%2Fwww.xuebuyuan.com%2F1348619.html&lu_161=0&lunum=6&n=83099053_cpr&pcs=1920x908&pis=10000x10000&ps=486x1186&psr=1920x1080&pss=1920x506&qn=a5e47b91d2d3883c&rad=&rsi0=336&rsi1=280&rsi5=4&rss0=%23FFFFFF&rss1=%23FFFFFF&rss2=%230000ff&rss3=%23444444&rss4=%23008000&rss5=&rss6=%23e10900&rss7=&scale=&skin=tabcloud_skin_3&stid=5&td_id=1788635&titFF=%E5%AE%8B%E4%BD%93&titFS=12&titTA=left&tn=text_default_336_280&tpr=1445323768092&ts=1&version=2.0&xuanting=0&dtm=BAIDU_DUP2_SETJSONADSLOT&dc=2&di=u1788635&ti=%E7%AE%80%E5%8D%95inline%20hook%20ObReferenceObjectByHandle%E4%BF%9D%E6%8A%A4%E8%BF%9B%E7%A8%8B%E5%92%8C%E5%B1%8F%E8%94%BD%E6%96%87%E4%BB%B6%E6%89%A7%E8%A1%8C%20%7C%20%E5%AD%A6%E6%AD%A5%E5%9B%AD&tt=1445323768088.127.203.203" align="center,center" marginwidth="0" marginheight="0" scrolling="no" frameborder="0" allowtransparency="true" style="margin: 0px; padding: 0px; border-width: 0px; background-color: transparent;">
作 者:   Sysnap
时 间:  2008-05-30,19:16
 链 接:  http://bbs.pediy.com/showthread.php?t=65731

// ***************************************************************
//  Author:  Sysnap     
//  Link:    http://hi.baidu.com/sysnap
//  
// ***************************************************************

   
   好久没弄hook了.最近看到还是很多人弄,而且蓝屏,就把我以前的inline hook的code改下,于是有此文,呵呵,给跟我一样的菜鸟科普用的,高手飘过
   现在一般工具的进程保护可能是hook NtOpenProcess和NtTerminateProcess...其实关于进程的话题很多,印象中Sudami同学对这方面面比较懂.下面的代码可以保护进程
   WsysCheck--->>>failed
   IceSword---->>>failed
   Gmer-->>>failed
   RUK--->>>failed
   SnipeSword---->>>failde(不包括内存清0)
   其实这只是简单的进程保护,唯一的好处就是hook导出函数ObReferenceObjectByHandle,稳定...而结束之的方法也有很多,比如内存清0..PspTerminateProcess...PspExitThread等等...其中很多很强大的办法很多anti-rootkit的工具没使用,我想可能就是为了稳定吧.的确
   另外,你可以用这个code来屏蔽某些程序的运行...其实这个code的效果就是已经运行的保护其进程,没有运行的屏蔽其运行....代码写得很草/.对系统性能也有一定影响,自己根据需要再改下吧...
   代码就是inline hook ObReferenceObjectByHandle使其跳到T_ObReferenceObjectByHandle中
   __declspec(naked)  T_ObReferenceObjectByHandle(
    IN HANDLE  Handle,
    IN ACCESS_MASK  DesiredAccess,
    IN POBJECT_TYPE  ObjectType  OPTIONAL,
    IN KPROCESSOR_MODE  AccessMode,
    OUT PVOID  *Object,
    OUT POBJECT_HANDLE_INFORMATION  HandleInformation  OPTIONAL
    )
{

  _asm
{

   mov     edi,edi------>>>执行被修改的前5个字节
   push    ebp
   mov     ebp,esp
   
   push   [ebp+0x1c]------>>>参数压栈
   push   [ebp+0x18]
   push   [ebp+0x14]
   push   [ebp+0x10]
   push   [ebp+0xc]
   push   [ebp+8]
  
   call   MyObReferenceObjectByHandle  -------->>>>调用我们的功能函数 
   cmp   eax,1   
   jz     end
   
   mov   eax,ObReferenceObjectByHandle -------->>>>正常运行原来的函数  
   add   eax,5           
   jmp   eax   
end:
   mov   [ebp+8],-1------>>>>如果不想让这个函数正常运行..无效句柄就可以
   mov   eax,ObReferenceObjectByHandle     
   add   eax,5           
   jmp   eax   
   
}
  对原来函数是否要让其正常运行的判断由MyObReferenceObjectByHandle完成
   
  int  MyObReferenceObjectByHandle(
    IN HANDLE  Handle,
    IN ACCESS_MASK  DesiredAccess,
    IN POBJECT_TYPE  ObjectType  OPTIONAL,
    IN KPROCESSOR_MODE  AccessMode,
    OUT PVOID  *Object,
    OUT POBJECT_HANDLE_INFORMATION  HandleInformation  OPTIONAL
    )
{
 
  PEPROCESS Process;
  KIRQL  oldIrql;
  int JmpOffSet;
  unsigned char Code[5]={0x8b,0xff,0x55,0x8b,0xec};//用来恢复现场
  unsigned char JmpCode[5] = { 0xe9, 0x00, 0x00, 0x00, 0x00 };

  
  if(*PsProcessType==ObjectType)//判断句柄所属对象类型是不是*PsProcessType
 {

     oldIrql = KeRaiseIrqlToDpcLevel();
  __asm
  {
    CLI             
    MOV   eax, CR0     
    AND eax, NOT 10000H 
    MOV   CR0, eax
  }
  

  RtlCopyMemory ( ObReferenceObjectByHandle, Code, 5 );//恢复inline hook以便正确调用ObReferenceObjectByHandle
///  
  
  
  ObReferenceObjectByHandle(Handle,DesiredAccess,ObjectType,AccessMode,&Process,NULL);
  if (_stricmp((char*)((char*)Process+0x174), ProtectName) == 0 )//判断是不是我们要保护的进程
    {
      JmpOffSet= (char*)T_ObReferenceObjectByHandle - (char*)ObReferenceObjectByHandle - 5;
      RtlCopyMemory ( JmpCode+1, &JmpOffSet, 4 );
      RtlCopyMemory ( ObReferenceObjectByHandle, JmpCode, 5 );
        
      
   __asm
   {
     MOV   eax, CR0
     OR   eax, 10000H
     MOV   CR0, eax
     STI
   }
      
   KeLowerIrql(oldIrql);
   return 1;

    }
///  
  
  //否则再次HOOK这个函数
  JmpOffSet= (char*)T_ObReferenceObjectByHandle - (char*)ObReferenceObjectByHandle - 5;
  RtlCopyMemory ( JmpCode+1, &JmpOffSet, 4 );
  RtlCopyMemory ( ObReferenceObjectByHandle, JmpCode, 5 );
  
  __asm
  {
    MOV   eax, CR0
    OR   eax, 10000H
    MOV   CR0, eax
    STI
  }
  
  KeLowerIrql(oldIrql);

 }
 
 return 0;
}

linuxheik
关注
专栏目录
C# Modbus通信从入门到精通(4)——Modbus RTU(0x02功能码与C#代码实现)
qq_34059233的博客
07-15 2034
本文详细介绍了ModbusRTU协议中0x02读输入线圈功能码的原理、发送报文、返回报文,由高级工程师多年经验总结而成,绝对干货!
C# Modbus通信从入门到精通(8)——Modbus RTU(0x06功能码与C#代码实现)
最新发布
qq_34059233的博客
07-16 2462
本文详细介绍了ModbusRTU协议中0x06写单个寄存器功能码的原理、发送报文、返回报文、C#代码实现,由高级工程师多年经验总结而成,绝对干货!
inline hook ObReferenceObjectByHandle 程序代码
05-25
windows 驱动层,inline hook 简单的示例程序。其实是看了“详谈内核三步走Inline Hook实现“,网上的一篇文章做的一个示例程序,只做了第一个, hook ObReferenceObjectByHandle.里面还有一个说明文件。我想这可以作为inline hook 的入门,找找感觉。
简单inline hook ObReferenceObjectByHandle保护进程和屏蔽文件执行
06-04 1531
作 者: Sysnap时 间: 2008-05-30,19:16链 接: http://bbs.pediy.com/showthread.php?t=65731// ***************************************************************//  Author:  Sysnap     //  Link:    http://hi.baidu.c
InlineHookObReferenceObjectByHandle(0环)
weixin_33738578的博客
10-21 131
ObReferenceObjectByHandle是通过句柄(Handle)来访问对象。 #include "ntddk.h" #include <windef.h> extern POBJECT_TYPE *PsProcessType; VOID InlineHookObReferenceObjectByHandle(); VOID UnHook(); //根据提供的 Handl...
详谈内核三步走Inline Hook实现
ivan240的专栏
11-30 1163
 http://www.cppblog.com/sleepwom/archive/2009/10/17/98819.html?opt=admin 详谈内核三步走Inline Hook实现(一)Inline hook原理Inline hook通俗的说就是对函数执行流程进行修改,达到控制函数过滤操作的目的。理论上我们可以在函数任何地方把原来指令替换成我们的跳转指令,也确实有些人在inline的
ObReferenceObjectByName函数,通过驱动程序得到设备对象
anna的专栏
10-23 1505
一、由于ObReferenceObjectByName没有文档化,故在使用前先做声明: #ifdef __cplusplus extern "C" { #endif #include NTKERNELAPI NTSTATUS ObReferenceObjectByName(     IN PUNICODE_STRING ObjectName,     IN ULONG
static const uint8_t _CRCLo[] = { 0x00, 0xC0, 0xC1, 0x01, 0xC3, 0x03, 0x02, 0xC2, 0xC6, 0x06, 0x07, 0xC7, 0x05, 0xC5, 0xC4, 0x04, 0xCC, 0x0C, 0x0D, 0xCD, 0x0F, 0xCF, 0xCE, 0x0E, 0x0A, 0xCA, 0xCB, 0x0B, 0xC9, 0x09, 0x08, 0xC8, 0xD8, 0x18, 0x19, 0xD9, 0x1B, 0xDB, 0xDA, 0x1A, 0x1E, 0xDE, 0xDF, 0x1F, 0xDD, 0x1D, 0x1C, 0xDC, 0x14, 0xD4, 0xD5, 0x15, 0xD7, 0x17, 0x16, 0xD6, 0xD2, 0x12, 0x13, 0xD3, 0x11, 0xD1, 0xD0, 0x10, 0xF0, 0x30, 0x31, 0xF1, 0x33, 0xF3, 0xF2, 0x32, 0x36, 0xF6, 0xF7, 0x37, 0xF5, 0x35, 0x34, 0xF4, 0x3C, 0xFC, 0xFD, 0x3D, 0xFF, 0x3F, 0x3E, 0xFE, 0xFA, 0x3A, 0x3B, 0xFB, 0x39, 0xF9, 0xF8, 0x38, 0x28, 0xE8, 0xE9, 0x29, 0xEB, 0x2B, 0x2A, 0xEA, 0xEE, 0x2E, 0x2F, 0xEF, 0x2D, 0xED, 0xEC, 0x2C, 0xE4, 0x24, 0x25, 0xE5, 0x27, 0xE7, 0xE6, 0x26, 0x22, 0xE2, 0xE3, 0x23, 0xE1, 0x21, 0x20, 0xE0, 0xA0, 0x60, 0x61, 0xA1, 0x63, 0xA3, 0xA2, 0x62, 0x66, 0xA6, 0xA7, 0x67, 0xA5, 0x65, 0x64, 0xA4, 0x6C, 0xAC, 0xAD, 0x6D, 0xAF, 0x6F, 0x6E, 0xAE, 0xAA, 0x6A, 0x6B, 0xAB, 0x69, 0xA9, 0xA8, 0x68, 0x78, 0xB8, 0xB9, 0x79, 0xBB, 0x7B, 0x7A, 0xBA, 0xBE, 0x7E, 0x7F, 0xBF, 0x7D, 0xBD, 0xBC, 0x7C, 0xB4, 0x74, 0x75, 0xB5, 0x77, 0xB7, 0xB6, 0x76, 0x72, 0xB2, 0xB3, 0x73, 0xB1, 0x71, 0x70, 0xB0, 0x50, 0x90, 0x91, 0x51, 0x93, 0x53, 0x52, 0x92, 0x96, 0x56, 0x57, 0x97, 0x55, 0x95, 0x94, 0x54, 0x9C, 0x5C, 0x5D, 0x9D, 0x5F, 0x9F, 0x9E, 0x5E, 0x5A, 0x9A, 0x9B, 0x5B, 0x99, 0x59, 0x58, 0x98, 0x88, 0x48, 0x49, 0x89, 0x4B, 0x8B, 0x8A, 0x4A, 0x4E, 0x8E, 0x8F, 0x4F, 0x8D, 0x4D, 0x4C, 0x8C, 0x44, 0x84, 0x85, 0x45, 0x87, 0x47, 0x46, 0x86, 0x82, 0x42, 0x43, 0x83, 0x41, 0x81, 0x80, 0x40 };
06-09
这段代码定义了一个名为_CRCLo的静态常量数组,包含256个元素,每个元素都是一个8位无符号整数(uint8_t)。该数组是用于计算CRC校验码的LUT(lookup table),其中每个元素代表了一个8位数据的CRC校验码的低位。...
GB2312汉字区(B0-F7)取模16x16数据_逐行式宋体10号
10-10
0xEC,0x3D,0x2A,0x25,0xE9,0x3D,0x08,0x02,0x24,0x22,0x24,0x22,0xE2,0x3F,0x01,0x20,/*癌,9,B0A9 */ 0x10,0x04,0xFF,0x7F,0x10,0x04,0xC2,0x1F,0x44,0x10,0xC4,0x1F,0x40,0x10,0xC7,0x1F, 0x84,0x00,0xC4,0x3F,0x...
int main() { unsigned int v19; const unsigned char sbox0[256] ={0x63,0x7c,0x77,0x7b,0xf2,0x6b,0x6f,0xc5,0x30,0x01,0x67,0x2b,0xfe,0xd7,0xab,0x76,0xca,0x82,0xc9,0x7d,0xfa,0x59,0x47,0xf0,0xad,0xd4,0xa2,0xaf,0x9c,0xa4,0x72,0xc0,0xb7,0xfd,0x93,0x26,0x36,0x3f,0xf7,0xcc,0x34,0xa5,0xe5,0xf1,0x71,0xd8,0x31,0x15,0x04,0xc7,0x23,0xc3,0x18,0x96,0x05,0x9a,0x07,0x12,0x80,0xe2,0xeb,0x27,0xb2,0x75,0x09,0x83,0x2c,0x1a,0x1b,0x6e,0x5a,0xa0,0x52,0x3b,0xd6,0xb3,0x29,0xe3,0x2f,0x84,0x53,0xd1,0x00,0xed,0x20,0xfc,0xb1,0x5b,0x6a,0xcb,0xbe,0x39,0x4a,0x4c,0x58,0xcf,0xd0,0xef,0xaa,0xfb,0x43,0x4d,0x33,0x85,0x45,0xf9,0x02,0x7f,0x50,0x3c,0x9f,0xa8,0x51,0xa3,0x40,0x8f,0x92,0x9d,0x38,0xf5,0xbc,0xb6,0xda,0x21,0x10,0xff,0xf3,0xd2,0xcd,0x0c,0x13,0xec,0x5f,0x97,0x44,0x17,0xc4,0xa7,0x7e,0x3d,0x64,0x5d,0x19,0x73,0x60,0x81,0x4f,0xdc,0x22,0x2a,0x90,0x88,0x46,0xee,0xb8,0x14,0xde,0x5e,0x0b,0xdb,0xe0,0x32,0x3a,0x0a,0x49,0x06,0x24,0x5c,0xc2,0xd3,0xac,0x62,0x91,0x95,0xe4,0x79,0xe7,0xc8,0x37,0x6d,0x8d,0xd5,0x4e,0xa9,0x6c,0x56,0xf4,0xea,0x65,0x7a,0xae,0x08,0xba,0x78,0x25,0x2e,0x1c,0xa6,0xb4,0xc6,0xe8,0xdd,0x74,0x1f,0x4b,0xbd,0x8b,0x8a,0x70,0x3e,0xb5,0x66,0x48,0x03,0xf6,0x0e,0x61,0x35,0x57,0xb9,0x86,0xc1,0x1d,0x9e,0xe1,0xf8,0x98,0x11,0x69,0xd9,0x8e,0x94,0x9b,0x1e,0x87,0xe9,0xce,0x55,0x28,0xdf,0x8c,0xa1,0x89,0x0d,0xbf,0xe6,0x42,0x68,0x41,0x99,0x2d,0x0f,0xb0,0x54,0xbb,0x16}; const char* a3="UK*@3oKpFlVVnadsTfdA"; int v7=16; memcpy(&v19, a3, v7); for (int j = 0; j != 16; ++j ) *((_BYTE *)&v19 + j) = sbox0[*((unsigned *)&v19 + j)]; return 0; }输出v19值
06-08
根据代码可以看出,将字符串"a3"的前16个字符拷贝到一个unsigned int类型的变量v19中,并对v19进行一系列的sbox0变换。但是由于sbox0变换是按照字节进行的,因此需要先将v19的字节序进行转换。最终输出v19的值即可。...
ObReferenceObjectByPointer
pureman_mega的博客
01-06 673
ObReferenceObjectByPointerWithTag()例程介绍参考ddk文档。这个函数和ObReferenceObjectByHandleWithTag()最后要完成的任务是一样的—“ReferenceObejct”,只不过方法不一样。通过指针引用对象相对通过句柄来说,逻辑要简单得多,可以将二者结合起来看,上一个写的不清楚的地方在这里可能有答案。 lkd> dt nt!_object
ObReferenceObjectByHandle() 函数简略分析
93Storm
01-01 6246
原文链接 1. 逆向出来的 ObReferenceObjectByHandle() 函数实现 这个函数的实现请参考这个文章:ObReferenceObjectByHandle() 函数,这里不再重复贴出。 这个函数的原型是: NTSTATUS ObReferenceObjectByHandle( IN HANDLE Handle, IN ACCESS_MASK Desi
ObReferenceObjectByName函数使用解析
Windows内核学习笔记
07-08 970
一、由于ObReferenceObjectByName没有文档化,故在使用前先做声明: #ifdef __cplusplus extern "C" { #endif #include <NTDDK.h> NTKERNELAPI NTSTATUS ObReferenceObjectByName( IN PUNICODE_STRING ObjectName, IN ULONG Attributes, IN PACCESS_STAT
ObjectType HOOK干涉注册表操作
03-22 919
来看ObOpenObjectByName,它会调用ObpLookupObjectByName来打开一个对象对象头(object_header)有一个object type结构object type结构里有一个TypeInfo,结构是OBJECT_TYPE_INITIALIZER typedef struct _OBJECT_TYPE_INITIALIZER {USHORT Length;BOOLE
Object Hook 简单介绍
liujiayu2的专栏
07-18 1468
其实这东西很多大牛多玩腻了的东西,看下论坛上比较少这类的,就来献献丑,科普一下 大牛们直接 可以飘过,这东西主要是自我复习一下OBJECT的一些知识,技术这东西久了不弄容易忘记,所以 拿出来跟和我一样菜的菜鸟们分享一下。如果有不对的地方欢迎大家指正,这样对于自己也进步得 快点,多多交流,互相学习,水平才能提高得快。    第一我们先看下OBJECT的组成 主要是3部分 如下图
[Win驱动7]ObReferenceObjectByName获取设备对象指针(PDEVICE_OBJECT)
輚至消亡
10-18 1472
1. ObReferenceObjectByName是通过设备对象名获取设备对象指针, 其会造成设备对象的引用计数增加所以还需要调用ObDereferenceObject来降低引用计数 2. IoGetDeviceObjectPointer可以通过设备对象名获取设备对象指针和与其相关的文件对象指针,同样需要对其调用ObDereferenceObject来降低引用 第一种方式是通过这个未公开的内核函数ObReferenceObjectByName来获取设备对象指针,该原型是这样的: NTKERNELA
hook对应的汇编码0x8B, 0xFF,0x55,0x8B, 0xEC, // mov ebp,esp
linuxheik的专栏
10-20 2240
void lockUnhandledExceptionFilter() { HMODULE kernel32 = LoadLibraryA("kernel32.dll"); Assert(kernel32); if (FARPROC gpaSetUnhandledExceptionFilter = GetProcAddress(kernel32, "SetUnhandle
由ObReferenceObject推导windows对象管理器
sqqsongqiqi的专栏
01-09 785
#define ObReferenceObject(Object) ObfReferenceObject(Object) LONG_PTR FASTCALL ObfReferenceObject ( __in PVOID Object ) /*++ Routine Description: This function increments the referen
蛋疼的ObReferenceObjectByName调试
The New Old Things
10-11 6425
今天花了近一天的时间都在调试ObReferenceObjectByName这个内核函数,结果却无比狗血。故写篇文章记录一下这一天蛋疼的调试记录。 其实说是调试,其实是一直编译连接不通过。今天在研究楚狂人(其实是360的大牛wowocock写的代码,楚狂人进行了简化处理)的键盘过
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值