inlinehook_ssdt的ntopenkey函数的任意位置

最新推荐文章于 2020-11-09 16:23:55 发布
最新推荐文章于 2020-11-09 16:23:55 发布
阅读量871 收藏 1
点赞数
分类专栏: 内核驱动全部集合 
#include"ntddk.h"
#pragma pack(1) //写这个内存以一字节对齐 如果不写是以4字节的对齐的  
typedef struct ServiceDescriptorEntry {//这个结构就是为了管理这个数组而来的 内核api所在的数组 才有这个结构的 这个是ssdt  
	unsigned int *ServiceTableBase;//就是ServiceTable ssdt数组  
	unsigned int *ServiceCounterTableBase; //仅适用于checked build版本 无用  
	unsigned int NumberOfServices;//(ServiceTableBase)数组中有多少个元素 有多少个项  
	unsigned char *ParamTableBase;//参数表基址 我们层传过来的api的参数 占用多少字节 多大  
} ServiceDescriptorTableEntry_t, *PServiceDescriptorTableEntry_t;
#pragma pack(1)  
_declspec(dllimport) ServiceDescriptorTableEntry_t KeServiceDescriptorTable;//(名字不要写错)  //导入ssdt表
ULONG lao_ntopkey;
UCHAR tezhengma2[5];
void yebaohuguanbi()//页保护关闭  
{
	__asm{//去掉内存保护  
		cli
			mov  eax, cr0
			and  eax, not 10000h
			mov  cr0, eax
	}
}
void yebaohukaiqi()//页保护开启  
{
	__asm{//恢复内存保护    
		mov  eax, cr0
			or   eax, 10000h
			mov  cr0, eax
			sti
	}
}
VOID xiezai1(PDRIVER_OBJECT qudongduixiang)
{
	yebaohuguanbi();//页保护关闭  
	RtlCopyMemory((PVOID)lao_ntopkey,tezhengma2,5);//把现在inline hook后 的代码还原 
	yebaohukaiqi();//页保护开启  
	KdPrint(("驱动卸载历程 已经执行\n"));
}
void guolvlicheng()
{
	KdPrint(("进入到我的过滤历程来了 当前进程%s\n",(char*)PsGetCurrentProcess()+0x16c));
}
_declspec(naked)
void lisaisaide_ntopenkey()//我的ntopenkey
{
	__asm
	{
		call guolvlicheng //直接call 这个函数 不用转换
		pop eax
		mov edi,edi
		push ebp 
		mov ebp,esp  //前面5个是我们填写特征码的 字节  要补上
		jmp eax               //测试下 看会蓝屏吗
	}
}
void inline_hook_ntopenkey()
{
	unsigned int wodehanshudizhi1 = (unsigned int)&lisaisaide_ntopenkey;
	UCHAR tezhengma1[5];
	ULONG pianyi1 = 0;//call wodehanshudizhi1 的特征码 就是e8后面跟的便宜
	tezhengma1[0] = 0xe8;
	pianyi1 = wodehanshudizhi1 - 5 - lao_ntopkey;//lao_ntopkey就是od反汇编 最前面的地址
	*(ULONG*)&tezhengma1[1] = pianyi1;//特征码计算完毕
	yebaohuguanbi();//页保护关闭   //拷贝内存的时候关开
	RtlCopyMemory(tezhengma2, (PVOID)lao_ntopkey, 5);
	RtlCopyMemory((PVOID)lao_ntopkey, tezhengma1, 5);//5个字节的特征码 拷贝到原始ssdt的ntopenkey函数的汇编代码 改写
	yebaohukaiqi();//页保护开启  
}

NTSTATUS DriverEntry(PDRIVER_OBJECT qudongduixiang, PUNICODE_STRING zhucebiao)
{
	lao_ntopkey = KeServiceDescriptorTable.ServiceTableBase[182];//系统老的nt_openkey
	inline_hook_ntopenkey();
	qudongduixiang->DriverUnload = xiezai1;
	return STATUS_SUCCESS;
}

「已注销」
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Hook函数任意地址 c++
10-22
该实例实现了Hook函数任意地址的功能,并可以获取CPU寄存器的内容。
驱动级InlineHook
11-23
驱动级的inlinehook,主要是hookntQuerySystemInfomation来实现进程的隐藏!!
HookInline Hook学习资料以及总结问题
it技术学习
04-03 1014
1、简介          INLINE HOOK原理:         Inline Hook通过硬编码的方式向内核API的内存空间(通常是开始的一段字节,且一般在第一个call之前,这么做是为了防止堆栈混乱)写入跳转语句,这样,该API只要被调用,程序就会跳转到我们的函数中来,我们在自己写的函数里需要完成3个任务:          1)重新调整当前堆栈。程序流程在刚刚跳转的时候
[驱动开发] 手写 r0 hookNtOpenProcess 为例)
LYSM
11-09 1440
inlineHook的原理: 为了方便好理解,一些变量名和函数名在这里使用中文命名,有些编译器不支持中文命名,在这里要注意(我的是VS2019) hook.h: #pragma once #include<ntifs.h> #include<ntddk.h> #pragma intrinsic(__readmsr) //SSDT的结构 typedef struct _SYSTEM_SERVICE_TABLE { PLONG ServiceTableBase; PVOI
HOOK ntopenprocess
qq_41071646的博客
01-06 1038
先来说一下我对SSDT的体会把   我感觉SSDT 就是一张表  这个表里面 有很多数组  然后 算是 内核层的 导入表只不过 他是整个操作系统的导入表  然后里面有很多数组  然后当我们 调用 api的时候  应用层的api 会经过封装 可能会多传出一些  参数 比如 那张表  表的 地址 那个数组  然后 进去调用就好了  听群里的大佬说   x86 的ssdt 好像是固定的   但是 ...
inline hook
zhuhuibeishadiao
04-10 1826
Inline hook的步骤 1。获得要inline hook函数在内存中的地址 2。实现T_MyFunc()与MyFunc函数,在该函数中将参数压栈并调用MyFunc函数处理。 3。HOOK。保存函数开头的指令到某个内存中,并在该内存末尾附加JMP指令到开头指令的后面的指令。并将开头的指令替换为JMP T_MyFunc地址。 4。在T_MyFunc执行完MyFunc之后,调用保存的指令
ssdt_hook.rar_ssdt_ssdt hook_ssdt_hook_struct.h
09-21
4. **ssdt_hook_struct.h**:这可能是一个头文件,包含了SSDT Hook所需的结构体定义,比如保存原始函数指针的结构体,或者用于管理挂钩服务的类定义。 在描述中提到,“SSDT HOOK引擎,调用HookService()之前应该先...
SSDT.rar_WINDOWS ssdt_hook_ssdt_ssdt hook_windows xp hook ss
09-21
标题中的"SSDT.rar_WINDOWS ssdt_hook_ssdt_ssdt hook_windows xp hook ss"指的是在Windows XP操作系统中关于System Service Dispatch Table (SSDT)的Hook技术。SSDT是Windows内核中一个关键的数据结构,它存储了...
SSDT.zip_hook_hook nt_hook ssdt_ssdt_ssdt hook
09-23
在本压缩包中,"SSDT.zip_hook_hook nt_hook ssdt_ssdt_ssdt hook" 提到了几个关键概念,包括SSDT Hooknt!zwReadVirtualMemory以及相关的hook技术。 1. SSDT Hook:这是一种技术,用于修改SSDT中的函数指针,以便...
SSDTHook_ssdt_SSDTHook_
10-01
标题“SSDTHook_ssdt_SSDTHook_”暗示了这个压缩包可能包含了一个关于SSDT Hooking的工具或者教程。这个工具或教程可能是为了帮助用户理解和实践如何在Windows内核层面上进行系统服务的挂钩。 描述“ssdt hooking ...
Inline Hook_inlinehook_x86_x64_64位HOOK_
09-28
Inline Hook是一种技术,主要用于在程序运行时修改函数的行为。它涉及到计算机编程中的底层技术,特别是逆向工程和软件调试领域。Inline Hook的核心是通过在原函数的代码中插入额外的指令来实现对函数调用的拦截,...
SSDT Hook的妙用-对抗ring0 inline hook
jingzhongrong
04-02 1286
********************************************************标题:【原创】SSDHook的妙用-对抗ring0 inline hook  **作者:堕落天才                                        **日期:2007年3月10号                                   **声明
NT内核下的inline hook
04-29 1157
inline hook原理大概如下:     修改被HOOK函数A的头5个字节,使其跳转到我们自定义的函数B,函数B的类型与函数A要相同。因为我们是使用JMP直接跳转到函数B, 而不是使用正常的CALL指令。在函数B内,我们可以检查函数参数,然后可以直接返回。也可以再调用函数A的一个副本。这个副本在HOOK动作发生的同时,就保存下来了。     代码非常简单,工程打包供大家学习。高手飘过/* * 
使用hotfix技术来HOOK任意位置代码的手艺
Netfilter
03-26 3191
假设一个内核函数,test,如下: void test() { condition = update_something(); if (condition == 1) { M1(); } else { return; } } 现在需要统计在test中进入M1函数的次数,怎么办? 很简单,使用kpatch技术即可,或者,使用kprobe技术,亦可。但这些成熟的技术没有可玩性,它们属...
Inline Hook NtQueryDirectoryFile
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
08-01 756
首先声明这个是菜鸟—我的学习日记,不是什么高深文章,高手们慎看. 都总是发一些已经过时的文章真不好意思,几个月以来沉迷于游戏也是时候反省了,我真的几个月没写博客了,怎么办~怎么办~我要补充自己的博客,但真想不到写什么了,唯有将自己以前写的一些Demo写上来. 当初我其实是不会这样做的,看了一篇关于"怎么inline hook NtDeviceIoControlFile隐藏端口"的文章后有启发,
新手学ssdt_hook_ntopenprocess
05-09 554
#include "ntddk.h" #pragma pack(1) typedef struct ServiceDescriptorEntry { unsigned int *ServiceTableBase; unsigned int *ServiceCounterTableBase; unsigned int NumberOfServices; unsi...
ssdkhookntopenprocess_保护用户层的应用程序不被ce打开_完美版
01-31 897
#include"ntddk.h" NTSTATUS PsLookupProcessByProcessId( _In_ HANDLE ProcessId, _Out_ PEPROCESS *Process ); #pragma pack(1) //写这个内存以一字节对齐 如果不写是以4字节的对齐的 typedef struct ServiceDescriptorEntry {//这个
SSDT inlineHook
dre4merp
05-16 374
上一篇我们介绍了最简单的SSDT,这篇来写一下inlineHook。 所谓的inlineHook就是在内存中修改所需要挂钩函数的前几个字节,让其跳转到我们的fake函数,执行完毕后再跳回去执行原函数,这样的话我们就没有修改SST表里面的内容,而是对函数本身修改。 流程摘自:看雪aniquest 1. 获取服务函数地址: (1)通过全局变量KeServiceDescriptorTable获得SSDT表的起始地址; (2)映射ntdll.dll到ring0空间,获得要Hook函数的服务索引号; (
HOOK集合----SSDT Inline Hook(X86 win7)
qq_42021840的博客
04-24 300
介绍: SSDT InlineHook是在SSDT Hook 基础上来进一步Hook的,SSDTHook 是直接将SSDT表中的 Nt*函数替换成Fake函数,而SSDT Inline Hook是将原函数代码的前五个字节改变为 E9 _ _ _ _ ,后面跟的是Offset,也就是我们Fake函数的偏移地址,这样当Ring3层函数,比如OpenProcess在Ring3 层被调用...
inline hook时设计的函数
最新发布
04-29
inline hook 是一种在程序运行时修改函数实现的技术,需要设计一个函数来替换原有函数的实现。这个函数一般称为 hook 函数或者代理函数。 在设计 hook 函数时,需要考虑以下几个方面: 1. 函数签名:hook 函数的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值