Windows驱动学习(六)-- FSD钩子

最新推荐文章于 2019-09-15 10:23:33 发布
最新推荐文章于 2019-09-15 10:23:33 发布
阅读量2.5k 收藏 10
点赞数 1
分类专栏: Windows驱动 文章标签: Windows驱动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37552052/article/details/84316365
版权

教程参考自:https://www.bilibili.com/video/av26193169/?p=8
代码地址:https://github.com/G4rb3n/Windows-Driver/tree/master/MT-FSDHook

1. 概述

FSD钩子是一种较实用的过滤方法,对比于上一章的添加键盘过滤设备,这种方法更显得简单高效。

2. 驱动编写

2.1 驱动入口函数

入口函数简单明了,先获取键盘驱动的对象,然后将键盘驱动的读派遣函数替换我们自己的函数,这样当我们按下一个按键时,系统的键盘驱动就会调用我们的函数来处理按键信息,有种偷梁换柱的感觉。当然,在替换之前别忘了先保存原函数的指针。
1

2.2 Hook函数

我们的派遣函数很简单,仅作演示效果打印一句话,你要加啥过滤监听的操作的话在这里加。实现完自己的功能后要调用回原始的派遣函数,以实现键盘的正常功能。
2

2.3 卸载函数

最后是卸载函数,主要功能是把键盘驱动的派遣函数还原回来。
3

3. 驱动测试

只要我们按下一个键,就会弹出两个提示语句,证明我们的Hook函数的确被调用了,为什么是两个,相比大家也清楚,因为一个是键按下的操作,一个是键弹起的操作。
4

使用PCHunter也能看到我们挂的钩子。
5

G4rb3n
关注
专栏目录
一款手工杀毒/Anti-rootkit工具-ixer 0.11开源版
chinghoi's blog
06-15 3014
前言:       随着信息科技的迅速发展,Internet已经成为全球最重要的信息传播工具。当人们在享受网络为我们的工作、生活带来方便和效率的同时,但它们潜在地也带来了安全问题。据统计,凡是刚开始接触过互联网的人,大部分人都或多或少的被入侵、恶意攻击过,并且安全威胁事件逐年上升。可见黑客如此猖獗,应该采取什么手段来防止黑客入侵是大家普遍关心的问题。 长期以来,最为严重的安全威胁就是恶意程序。
xuetrue 查看 内核驱动钩子
08-28
黑客必备工具,内核驱动钩子;查看被挂钩的教程,隐藏进程
FSD HOOK与SSDT HOOK恢复简单思路
weixin_34292924的博客
09-03 287
FSD 解释: File System Driver文件系统驱动程序,分为本地FSD和远程FSD。 (1) 本地FSD:允许用户访问本地计算机上的数据 ——本地FSD负责向I/O管理器注册自己,当开始访问某个卷时,I/O管理器调用FSD来进行卷识别。 ——完成卷识别后,本地FSD创建一个设备对象以表示所装载的文件系统。 ——I/O管理器通过卷参数块(VPB)在存...
文件系统fsd hook (一)原理
weixin_30602505的博客
10-26 216
要知道FSDHook原理,首先我们必须了解什么是FSD,也就是FileSystem。我们电脑上的文件系统ntfs.sys,他有个设备\FileSystem\Ntfs,这个设备是用IoCreateDevice创建,跟我们写驱动的时候一样,那么我们可以通过这个设备,来对ntfs做一些操作,跟ntfs驱动进行一些通信。我们来看IDA分析: //这个就是我们以前的代码,创建一个通信设备 RtlI...
FSDHOOK恢复
125096
08-30 615
WCHAR DriverName[] = L"\\FileSystem\\ntfs"; WCHAR DriverPath[] = L"\\??\\C:\\WINDOWS\\system32\\drivers\\ntfs.sys"; RestoreFSDMajorRoutine(&DriverName, &DriverPath, IRP_MJ_CREATE); //函数名: Resto
NTFS FSD HOOK
Lycorisradiata
04-18 577
NTFS FSD HOOKNTSTATUS FSDHookControl( IN BOOLEAN IsHook ) { NTSTATUS status = STATUS_SUCCESS; UNICODE_STRING uNTFS = {0}; PDRIVER_OBJECT NTFS = NULL; RtlInitUnicodeString( &uNTFS, L"\\Fi
(手动杀毒工具)PowerTool-v3.2
01-16
49. Disk/Atapi驱动钩子的检测和恢复 50. 进程权限的枚举和摘除 51. 检测键盘侦听软件 52. 检测被监视的文件 2010-12-05 PowerTool V3.2 增加: 1. 新增过滤驱动的检测,不仅可以显示驱动名还能显示设备名 2. ...
Windows 系统信息查看工具 PCHunter 1.57 中文免费版.zip
06-02
3、SSDT、Shadow SSDT、FSD、KBD、TCPIP、Nsiproxy、Tdx、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看,并能检测和恢复ssdt hook和inline hook 4、CreateProcess、CreateThread、LoadImage、CmpCallback、...
系统安全检测辅助工具(PowerTool) v4.6.rar
07-09
2013-12-08 PowerTool 86位 V4.5 增加 -支持Windows8.1 -增加了WFP网络过滤的检测和删除 -增加了查看NDIS小端口驱动 -增加了查看NDIS小端口 改善 -修改了Windows2003无法查看进程的BUG -修改了枚举计划任务的BUG -...
PC Hunter(强大的手工杀毒辅助工具)-32位
08-02
PC Hunter是一款功能强大的Windows系统信息查看软件,同时也是一款强大的手工杀毒软件,用它不但可以查看各类系统信息,也可以揪出电脑中的潜伏的病毒木马。 本工具目前初步实现如下功能: 1.进程、线程、进程模块...
驱动键盘钩子
weixin_30443731的博客
12-15 391
现在网上很多盗QQ的木马,发现都不管用得,顺便做了这只QQ木马,这里发布一部分核心的代码内核代码,用于记录QQ密码,此代码编译后可以在win2000到win7下正常运行,百分百能获取正确的QQ和密码,用户太下面的代码,只能获取QQ和密码,不带邮件发送功能,和系统隐藏功能,主要是怕有些人哪去干坏事,所以我不发布完整版的代码,以下驱动代码需要编译为NTI0.SYS文件放到C:\\Windo...
对付kernel / fsd inline hook/ssdt hook
03-21 1008
<!-- if (!document.phpAds_used) document.phpAds_used = ,; phpAds_random = new String (Math.random()); phpAds_random = phpAds_random.substring(2,11); document.write ("<" + "script
FSD键盘钩子框架参考爱写驱动的女装大佬
Cosmopolitan的博客
09-15 407
环境:vs2013+wdk8.1 #include <ntddk.h> extern POBJECT_TYPE *IoDriverObjectType; PDRIVER_OBJECT kbdriver = NULL; typedef NTSTATUS(*pBeforeRead)(PDEVICE_OBJECT pDevice, PIRP pIrp); pBeforeRead Befo...
windows核心编程系列》十八谈谈windows钩子
系统运维
12-01 897
windows应用程序是基于消息驱动的。各种应用程序对各种消息作出响应从而实现各种功能。 windows钩子windows消息处理机制的一个监视点,通过安装钩子可以达到监视指定窗口某种类型的消息的功能。所谓的指定窗口并不局限于当前进程的窗口,也可以是其他进程的窗口。当监视的某一消息到达指定的窗口时,在指定的窗口处理消息之前,钩子函数将截获此消息,钩子函数既可以加工处理该消息,也可以不作任何...
R0 下 FSD inline Hook 防删除
Rootkit ﹏
09-02 943
<br />/*<br />                By 炉子[0GiNr]<br />                http://hi.baidu.com/breakinglove_<br />                http://0ginr.com<br />*/<br />typedef NTSTATUS (*pfnDrvDispath)(<br />                                  IN PDEVICE_OBJECT        DeviceOb
fsd
Continue strive
07-10 380
fds<!--v/:* {behavior:url(#default#VML);}o/:* {behavior:url(#default#VML);}w/:* {behavior:url(#default#VML);}.shape {behavior:url(#default#VML);}--> Normal 0 7.8 磅 0
fsd hook里获取文件全路径
03-24 1195
NTSTATUS MyFsdCreate(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp){PDRIVER_DISPATCH        RealDispatch;NTSTATUS                    ntStatus;NTSTATUS                    status;PFILE_OBJECT             
挂钩FSD实现文件隐藏
zacklin的专栏
05-18 1743
【文章标题】: 挂钩FSD实现文件隐藏 【文章作者】: index09 【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教! -------------------------------------------------------------------------------- 【详细过程】 最近看Fastfat驱动想到的方法。查了一下又是被别人玩过了,还是简单说一下吧
过滤钩子驱动程序
ENDLESS
03-20 2324
这也是转的,把最近看的关于数据包拦截技术的好地文章都转出来。 作者:未知 来源:月光软件站 加入时间:2005-2-28 月光软件站
FSD-10二维激光雷达操作指南
"FSD-10二维激光雷达的操作手册,由深圳市砝石激光雷达有限公司出品,提供关于如何使用和理解FSD-10激光雷达的详细信息,包括其功能、应用、操作步骤以及通讯协议。" FSD-10是一款由深圳市砝石激光雷达有限公司研发...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值