hook_导出表eat

最新推荐文章于 2023-09-15 08:52:47 发布
最新推荐文章于 2023-09-15 08:52:47 发布
阅读量774 收藏
点赞数
分类专栏: 内核驱动全部集合 
#include <ntifs.h>
#include <ntimage.h>
typedef VOID(__stdcall *KEATTACHPROCESS)(IN PRKPROCESS Process);
KEATTACHPROCESS OldKeAttachProcess;
UCHAR *PsGetProcessImageFileName(IN PEPROCESS Process);
#define SystemModuleInformation 11
typedef unsigned char BYTE;
typedef unsigned short WORD;
typedef struct _SYSTEM_MODULE_INFORMATION  // 系统模块信息
{
	ULONG  Reserved[2];
	ULONG  Base;
	ULONG  Size;
	ULONG  Flags;
	USHORT Index;
	USHORT Unknown;
	USHORT LoadCount;
	USHORT ModuleNameOffset;
	CHAR   ImageName[256];
} SYSTEM_MODULE_INFORMATION, *PSYSTEM_MODULE_INFORMATION;
typedef struct _tagSysModuleList {          //模块链结构
	ULONG ulCount;
	SYSTEM_MODULE_INFORMATION smi[1];
} MODULES, *PMODULES;
NTSTATUS __stdcall ZwQuerySystemInformation(
	ULONG_PTR SystemInformationClass,
	PVOID SystemInformation,
	ULONG SystemInformationLength,
	PULONG ReturnLength
	);
VOID WPOFF()
{
	__asm
	{
		cli
			mov eax, cr0
			and eax, not 10000h
			mov cr0, eax
	}
}
VOID WPON()
{
	__asm
	{
		mov eax, cr0
			or eax, 10000h
			mov cr0, eax
			sti
	}
}
//作业:把驱动的卸载历程的代码补充,在卸载的时候,恢复EAThook

BOOLEAN GetKernelModuleInfo(ULONG *ulSysModuleBase, ULONG *ulSize)
{
	NTSTATUS status;
	ULONG NeededSize, i;
	PMODULES pModuleList;
	BOOLEAN bRet = FALSE;
	pModuleList = NULL;
	__try
	{
		status = ZwQuerySystemInformation(
			SystemModuleInformation,
			NULL,
			0,
			&NeededSize);
		if (status != STATUS_INFO_LENGTH_MISMATCH)
		{
			return bRet;
		}
		pModuleList = (PMODULES)ExAllocatePool(NonPagedPool, NeededSize);
		if (pModuleList)
		{
			status = ZwQuerySystemInformation(
				SystemModuleInformation,
				pModuleList,
				NeededSize,
				&NeededSize);

			if (NT_SUCCESS(status))
			{
				__try
				{
					//ntoskrnl.exe总是第一个加载
					*ulSysModuleBase = pModuleList->smi[0].Base;
					*ulSize = pModuleList->smi[0].Size;
					bRet = TRUE;

				}
				__except (EXCEPTION_EXECUTE_HANDLER){

				}
			}
			ExFreePool(pModuleList);
			pModuleList = NULL;
		}
	}
	__except (EXCEPTION_EXECUTE_HANDLER)
	{
		KdPrint(("%08x\r\n", GetExceptionCode()));
	}
	if (pModuleList)
		ExFreePool(pModuleList);

	return bRet;
}
//我们的过滤函数的声明,要跟微软原始函数一样
VOID __stdcall NewKeAttachProcess(IN PRKPROCESS Process)
{
	//我们进行效验,看看传进来的进程对象,是否可以有效
	if (Process && MmIsAddressValid(Process))
	{
		//我们对当前的执行级别进行判断
		if (KeGetCurrentIrql() == PASSIVE_LEVEL){
			//打印出来,是谁在附加谁
			DbgPrint("%s attach to %s\r\n", PsGetProcessImageFileName(PsGetCurrentProcess()), PsGetProcessImageFileName(Process));
		}
	}
	 OldKeAttachProcess(Process);
	 return;
}
BOOLEAN EATTableHook(PVOID ulModuleBase, char *psz_func_name, ULONG_PTR ulong_new_func)
{
	//变量的声明
	PIMAGE_DOS_HEADER pDosHeader;
	PIMAGE_NT_HEADERS NtDllHeader;
	IMAGE_OPTIONAL_HEADER opthdr;
	ULONG_PTR* arrayOfFunctionAddresses;
	ULONG_PTR* arrayOfFunctionNames;
	WORD* arrayOfFunctionOrdinals;
	ULONG_PTR functionOrdinal;
	ULONG_PTR Base, x;
	IMAGE_EXPORT_DIRECTORY *pExportTable;
	char *functionName;
	//try可以捕获一些简单的异常,
	__try
	{
		//获得dos的文件头结构体
		pDosHeader = (PIMAGE_DOS_HEADER)ulModuleBase;
		if (pDosHeader->e_magic != IMAGE_DOS_SIGNATURE)
		{
			DbgPrint("IMAGE_DOS_SIGNATURE failed\r\n");
			return FALSE;
		}
		//获得NT 文件头的结构体
		NtDllHeader = (PIMAGE_NT_HEADERS)(ULONG_PTR)((ULONG_PTR)pDosHeader + pDosHeader->e_lfanew);
		if (NtDllHeader->Signature != IMAGE_NT_SIGNATURE)
		{
			DbgPrint("IMAGE_NT_SIGNATURE failed\r\n");
			return FALSE;
		}
		//获得可选镜像头部结构
		opthdr = NtDllHeader->OptionalHeader;
		//获得导出表地址
		pExportTable = (IMAGE_EXPORT_DIRECTORY*)((ULONG_PTR)ulModuleBase + opthdr.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress); //得到导出表
		//获得相对地址
		arrayOfFunctionAddresses = (ULONG_PTR*)((ULONG_PTR)ulModuleBase + pExportTable->AddressOfFunctions);  //地址表
		arrayOfFunctionNames = (ULONG_PTR*)((BYTE*)ulModuleBase + pExportTable->AddressOfNames);         //函数名表
		arrayOfFunctionOrdinals = (WORD*)((BYTE*)ulModuleBase + pExportTable->AddressOfNameOrdinals);
		//我们在这里获得导出表的起始地址
		Base = pExportTable->Base;
		//我们用一个结构,循环的打印,也就是列举
		for (x = 0; x < pExportTable->NumberOfFunctions; x++) //在整个导出表里扫描
		{
			//得到函数名 = 内核模块的起始地址 + 相对地址
			functionName = (char*)((BYTE*)ulModuleBase + arrayOfFunctionNames[x]);
			functionOrdinal = arrayOfFunctionOrdinals[x] + Base - 1;

			//对比,是否是我们要hook的函数
			if (_stricmp(psz_func_name, functionName) == 0)
			{
				//我们要保存原始函数,
				//为什么要保存:因为在你的过滤函数里面,还要调用原始函数
				(PUCHAR)OldKeAttachProcess = (PUCHAR)ulModuleBase + arrayOfFunctionAddresses[functionOrdinal];
				//禁止写保存
				WPOFF();
				//根据我们的计算公司:  EAT表的[index] = 你的新函数 - 你要hook的模块的起始地址;
				//通过这个计算公司,我们就完成了我们的eat hook
				arrayOfFunctionAddresses[functionOrdinal] = (PCHAR)ulong_new_func - (PCHAR)ulModuleBase; //ntos的基址(起始地址)
				//恢复写保护
				WPON();
				DbgPrint("%s:0x%08X\r\n", functionName, OldKeAttachProcess);
			}
		}
	}
	__except (EXCEPTION_EXECUTE_HANDLER){
	}
	return FALSE;
}
BOOLEAN EATTableUnHook(PVOID ulModuleBase, char *psz_func_name, ULONG_PTR ulong_new_func)
{
	//变量的声明
	PIMAGE_DOS_HEADER pDosHeader;
	PIMAGE_NT_HEADERS NtDllHeader;
	IMAGE_OPTIONAL_HEADER opthdr;
	ULONG_PTR* arrayOfFunctionAddresses;
	ULONG_PTR* arrayOfFunctionNames;
	WORD* arrayOfFunctionOrdinals;
	ULONG_PTR functionOrdinal;
	ULONG_PTR Base, x;
	IMAGE_EXPORT_DIRECTORY *pExportTable;
	char *functionName;
	//try可以捕获一些简单的异常,
	__try
	{
		//获得dos的文件头结构体
		pDosHeader = (PIMAGE_DOS_HEADER)ulModuleBase;
		if (pDosHeader->e_magic != IMAGE_DOS_SIGNATURE)
		{
			DbgPrint("IMAGE_DOS_SIGNATURE failed\r\n");
			return FALSE;
		}
		//获得NT 文件头的结构体
		NtDllHeader = (PIMAGE_NT_HEADERS)(ULONG_PTR)((ULONG_PTR)pDosHeader + pDosHeader->e_lfanew);
		if (NtDllHeader->Signature != IMAGE_NT_SIGNATURE)
		{
			DbgPrint("IMAGE_NT_SIGNATURE failed\r\n");
			return FALSE;
		}
		//获得可选镜像头部结构
		opthdr = NtDllHeader->OptionalHeader;
		//获得导出表地址
		pExportTable = (IMAGE_EXPORT_DIRECTORY*)((ULONG_PTR)ulModuleBase + opthdr.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress); //得到导出表
		//获得相对地址
		arrayOfFunctionAddresses = (ULONG_PTR*)((ULONG_PTR)ulModuleBase + pExportTable->AddressOfFunctions);  //地址表
		arrayOfFunctionNames = (ULONG_PTR*)((BYTE*)ulModuleBase + pExportTable->AddressOfNames);         //函数名表
		arrayOfFunctionOrdinals = (WORD*)((BYTE*)ulModuleBase + pExportTable->AddressOfNameOrdinals);
		//我们在这里获得导出表的起始地址
		Base = pExportTable->Base;
		//我们用一个结构,循环的打印,也就是列举
		for (x = 0; x < pExportTable->NumberOfFunctions; x++) //在整个导出表里扫描
		{
			//得到函数名 = 内核模块的起始地址 + 相对地址
			functionName = (char*)((BYTE*)ulModuleBase + arrayOfFunctionNames[x]);
			functionOrdinal = arrayOfFunctionOrdinals[x] + Base - 1;

			//对比,是否是我们要hook的函数
			if (_stricmp(psz_func_name, functionName) == 0)
			{
				//我们要保存原始函数,
				//为什么要保存:因为在你的过滤函数里面,还要调用原始函数
				//(PUCHAR)OldKeAttachProcess = (PUCHAR)ulModuleBase + arrayOfFunctionAddresses[functionOrdinal];
				//禁止写保存
				WPOFF();
				//根据我们的计算公司:  EAT表的[index] = 你的新函数 - 你要hook的模块的起始地址;
				//通过这个计算公司,我们就完成了我们的eat hook
				arrayOfFunctionAddresses[functionOrdinal] = (PCHAR)OldKeAttachProcess - (PCHAR)ulModuleBase; //ntos的基址(起始地址)
				//恢复写保护
				WPON();
				//DbgPrint("%s:0x%08X\r\n", functionName, OldKeAttachProcess);
			}
		}
	}
	__except (EXCEPTION_EXECUTE_HANDLER){
	}
	return FALSE;
}
VOID DriverUnload(IN PDRIVER_OBJECT DriverObject)
{
	ULONG_PTR ulong_kernel_base;
	ULONG_PTR ulong_kernel_size;
	if (GetKernelModuleInfo(&ulong_kernel_base, &ulong_kernel_size))
	{
		//开始hook,第一个参数就是内核模块的起始地址,就是我们要eat hook的函数名,就是我们的新过滤函数
		EATTableUnHook((PVOID)ulong_kernel_base, "KeAttachProcess", (ULONG_PTR)NewKeAttachProcess);
	}

	DbgPrint("卸载完成!\n");
}
NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath)
{
	//声明两个变量,一个是内核模块的地址,一个是大小 ULONG_PTR 是编译器自动识别,如果是32位驱动,就是ULONG,如果是64位驱动,就是ULONG_PTR
	ULONG_PTR ulong_kernel_base;
	ULONG_PTR ulong_kernel_size;
	//就是驱动的卸载历程
	DriverObject->DriverUnload = DriverUnload;
	//keattachprocess,是在ntoskrnl.exe 这个内核导出
	if (GetKernelModuleInfo(&ulong_kernel_base, &ulong_kernel_size))
	{
		//开始hook,第一个参数就是内核模块的起始地址,就是我们要eat hook的函数名,就是我们的新过滤函数
		EATTableHook((PVOID)ulong_kernel_base, "KeAttachProcess", (ULONG_PTR)NewKeAttachProcess);
	}
	return STATUS_SUCCESS;
}

 

「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
android so hook原理,Android SO 加载分析与导入Hook导出Hook
weixin_35715490的博客
05-27 625
0x00 参考文章关于so加载分析,就是从System.loadlibrary开始的,层层玻璃代码真相,在Android SO 加壳(加密)与脱壳思路,我们说ELF Header中的一些字段是无用的,Section Header也是无用的,这是为什么呢?答案是在so加载的过程中,没有使用的,有关Android so加载深入分析,请参考这篇pdf,http://download.csdn.net/d...
移动渗透-Frida hook安卓So层导出函数实战
cdyunaq的博客
02-28 1213
跟据抓包发现有oauth_signature,直接全局搜索oauth_signature 打开相关的oauth_signature函数,发现加载了tre模块,根据命名规则最终生成的应该是libmfw.so 找到相关文件 首先使用frida脚本hook查看函数Hook,aa即为oauth_signature frida脚本如下 因为版本问题,APP不能正常使用了,换另一个APP 全局搜索sign定位到如下代码 找到加载的so文件,全局搜索是导出函数 这里穿插下obj..
导出钩子之EAT HOOK解析
輚至消亡
07-06 2975
EAT HOOK与IAT HOOK原理是一样的,都是通过修改PE来达到HOOK的目的。只是EAT HOOK是从来源入手而IAT HOOK则是从自身入手。 讲一下大体思路。 1. 通过IMAGE_OPTIONAL_HEADER.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress找到导出的地址(注意这里是RVA要加上ImageBa...
IAT hook实现 (修改pe中的导入实现hook)
&Ψ的博客
07-21 1402
IDA hook的编写 1. 实现hook的原理 在pe文件中有导入,导入中用函数名字和地址,我们把这个地址改变做到hook的效果。一下所有代码是32位的只使用了c语言 之前分析过导入,本文不在分析只实现hook pe结构解析 实现所用到的Windows api //用于获取当前模块的基地址 GetModuleHandleA(NULL) HMODULE WINAPI GetModuleHandleA( _In_opt_ LPCSTR lpModuleName ); //用于修改内存属
4.3 IAT Hook 挂钩技术
最新发布
CSDN
09-15 1万+
IAT(Import Address Table)Hook是一种针对Windows操作系统的API Hooking 技术,用于修改应用程序对动态链接库(DLL)中导入函数的调用。IAT是一个数据结构,其中包含了应用程序在运行时使用的导入函数的地址。 IAT Hook的原理是通过修改IAT中的函数指针,将原本要调用的函数指向另一个自定义的函数。这样,在应用程序执行时,当调用被钩子的函数时,实际上会执行自定义的函数。通过IAT Hook,我们可以拦截和修改应用程序的函数调用,以实现一些自定义的行为,比如记录日
windows 导入/导出 hook
pureman_mega的博客
06-22 336
【代码】windows iat hook
【原创】导出钩子------EAT HOOK
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-18 4319
看了combojiang大侠的rootkit专题,发现少了一个导出钩子,既EAT;HOOK,刚好前几天自己搞了个IAT HOOK,然后就把其中的代码稍做修改,于是有这篇文章, 偶学的东西不久,很多东西还不知道,请多指教,呵呵 导出钩子比导入钩子感觉好用多,先说下原理吧,函数导入的函数的地址是再运行时候才确定的,比如我们的一个驱动程序导入了PsGetCurrentProcessId
导出钩子------EAT HOOK
06-03 1733
作 者: Sysnap时 间: 2008-04-05,17:13链 接: http://bbs.pediy.com/showthread.php?t=62574看了combojiang大侠的rootkit专题,发现少了一个导出钩子,既EAT;HOOK,刚好前几天自己搞了个IAT HOOK,然后就把其中的代码稍做修改,于是有这篇文章, 偶学的东西不久,很多东西还不知道,请多指教,呵呵 导出钩子比
Android SO 加载分析与导入Hook导出Hook
jltxgcy的专栏
08-16 4135
0x00 参考文章    关于so加载分析,就是从System.loadlibrary开始的,层层玻璃代码真相,在Android SO 加壳(加密)与脱壳思路,我们说ELF Header中的一些字段是无用的,Section Header也是无用的,这是为什么呢?    答案是在so加载的过程中,没有使用的,有关Android so加载深入分析,请参考这篇pdf,http://download.cs
内存注入(IAT Hook 和Inline Hook)
06-02
本压缩包有我自己写的内存注入程序与测试程序,并附有相应的源码..会用MessageBox 去Hook 指定的函数
通过修改DLL文件的IAT(函数导入)来实现api hook的源码
03-28
一个通过修改DLL文件的IAT来实现的hook开发包源码
Android so注入(inject)和Hook技术学习(三)——Gothook导出hook
weixin_33695082的博客
07-15 203
前文介绍了导入hook,现在来说下导出hook导出hook的流程如下。1、获取动态库基值    1 void* get_module_base(pid_t pid, const char* module_name){ 2 FILE* fp; 3 long addr = 0; 4 char* pch; 5 char filename...
Android so注入(inject)和Hook技术学习(二)——Gothook之导入hook
inquisiter
12-01 700
全局符号(GOT)hook实际是通过解析SO文件,将待hook函数在got的地址替换为自己函数的入口地址,这样目标进程每次调用待hook函数时,实际上是执行了我们自己的函数。   GOT其实包含了导入导出导出指将当前动态库的一些函数符号保留,供外部调用,导入中的函数实际是在该动态库中调用外部的导出函数。   这里有几个关键点要说明一下:   (1) so文件的绝对路径和加载到内...
Android逆向之旅---Hook神器家族的Frida工具使用详解
zhangmiaoping23的专栏
02-23 3495
一、前言 在逆向过程中有一个Hook神器是必不可少的工具,之前已经介绍了Xposed和Substrate了,不了解的同学可以看这两篇文章:Android中Hook神器Xposed工具介绍和Android中Hook神器SubstrateCydia工具介绍这两篇文章非常重要一个是Hook Java层的时候最常用的Xposed和Hook Native层的SubstrateCydia,可以看我之前的文章比如写微信插件等都采用了Xposed工具,因为个人觉得Xposed用起来比较爽,写代码比较方便。而对于Su...
导出(EAT)规则特例
yellow的博客
02-26 598
GetLastError( )函数由kernel32.dll库文件导出,用ida打开找到该函数,发现没有汇编代码,只有一段字符串定义(和微软的导出规则不太一样哦),下图: 再转到ntdll.dll查找RtlGetLastWin32Error( )函数源代码,如下图: 代码解释:获取TEB地址,再获取TEB偏移0x34处的4字节数据返回 查看TEB结构,偏移0x34处LastErro...
逆向安全_HOOK
re1wn
03-10 1288
1.什么是ShellCode 不依赖环境,放到任何地方都可以执行的机器码 2.ShellCode的编写原则 <1>不能有全局变量 <2>不能使用常量字符串 <3>不能使用系统调用 <4>不能嵌套调用其他函数 ...
EAT Hook
weixin_34261739的博客
10-30 104
EAT Hook typedef int (__stdcall *pfnMessageBoxA)(HWND hWnd,LPCSTR lpText,LPCSTR lpCaption,...
Pytorch中nn.ModuleList 和 nn.Sequential
热门推荐
xiaojiajia007的博客
08-27 2万+
简而言之就是,nn.Sequential类似于Keras中的贯序模型,它是Module的子类,在构建数个网络层之后会自动调用forward()方法,从而有惯序网络模型生成。 而nn.ModuleList仅仅类似于pytho中的list类型,只是将一系列层装入列,并没有实现forward()方法,因此也不会有网络模型产生的副作用,但它有和纯python中的list不同,用nn.ModuleLis...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值