驱动函数的hook

最新推荐文章于 2024-04-19 14:38:03 发布
最新推荐文章于 2024-04-19 14:38:03 发布
阅读量1.1k 收藏
点赞数
分类专栏: 驱动入门
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41071646/article/details/84034033
版权

其实 驱动hook也就仅限于32位 64位有保护 类似 pg什么的 现在听大佬们讲驱动hook都已经过时了(感觉对于我这种萌新还是有参考价值的)

讲hook前 需要了解其实windows驱动编程就可以说是windows内核编程 内核除了看似很简单的错误  毕竟轻的后果就是蓝屏  后续还会出现各种各样的错误(这就体现了虚拟机和快照的好处)

然后 windows为了内核的安全 就规定很多不可写的内存吗,其中有很多我们都可以规定是可写内存

原理也就是改 cr0这个寄存器 至于原理 这里就不讲了 可以自行百度 

然后 改的方法就是内嵌汇编 就是这个样子 

void PageProtectOff()//关闭页面保护
{
	__asm{
		cli
			mov  eax, cr0
			and  eax, not 10000h
			mov  cr0, eax
	}
}
void PageProtectOn()//打开页面保护
{
	__asm{
		mov  eax, cr0
			or   eax, 10000h
			mov  cr0, eax
			sti
	}
}

这就是 打开保护 和关闭保护  hook前 要关闭保护  然后在打开 按理说 这里还应该加个锁(可以参考学习windows编程的时候的临界区的作用)  然后 hook 大家都知道 就是改变地址 然后先关闭 然后在打开 就就ok了  只要找到我们需要的地址 然后转化成自己的  就行了 (好像和windows 应用层没有什么区别!)

pipixia233333
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Rootkit---HOOK内核驱动
q759451733的博客
04-16 1289
当插入一个内核驱动时,一般会使用工具insmod,该工具实际上调用了系统调用init_module,在该系统调用函数中,首先调用 load_module,把用户空间传入的整个内核模块文件创建成一个内核模块,返回一个struct module结构体。内核中便以这个结构体代表这个内核模块。 init_module系统调用定义,可以看到主要是调用了load_module。 在load_module中,主要prepare_coming_module,准备将内核模块进行加载。 prepare_coming_mo
驱动开发:内核层InlineHook挂钩函数
CSDN
10-31 9453
在上一章中,LyShark教大家如何通过LDE64引擎实现计算反汇编指令长度,本章将在此基础之上实现内联函数挂钩,内核中的InlineHook函数挂钩其实与应用层一致,都是使用劫持执行流并跳转到我们自己的函数上来做处理,唯一的不同的是内核Hook只针对内核API函数,但由于其身处在最底层所以一旦被挂钩其整个应用层都将会受到影响,这就直接决定了在内核层挂钩的效果是应用层无法比拟的,对于安全从业者来说学会使用内核挂钩也是很重要。挂钩的原理可以总结为,通过得到原函数地址,然后保存该函数的前15。
『网络安全科普』Windows安全之HOOK技术机制_windows hook技术
最新发布
ewii12567的博客
04-19 1168
如你所知,Windows系统是建立在事件驱动的机制上的,而每一个事件就是一个消息,每个运行中的程序,也就是所谓的进程,都维护着一个或多个消息队列(消息队列的个数取决于进程内包含的线程的个数)。网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!HWND hwnd;//接受消息的窗口句柄//消息常量标识符(消息号)//32位消息特定附加信息//32位消息特定附加信息DWORD time;//消息创建时的时间POINT pt;//消息创建时的光标位置}MSG;
驱动的几种Hook方法
weixin_34345753的博客
06-29 2129
1. inline hook 黑客都喜欢用这个方法,很容易被杀毒软件查出来。 2. 在Device Stack中插入filter driver,也很容易被人看出来,并且你不能保证别人插在你之后。 3. 修改Dispatch函数的入口地址,例如bus hound就是这么干的。 转载于:https://www.cnblogs.com/fanzi2009/archive/2011/11/30/226...
5.9 Windows驱动开发:内核InlineHook挂钩技术
CSDN
12-07 7186
内核挂钩的原理是一种劫持系统函数调用的技术,用于在运行时对系统函数进行修改或者监控。其基本思想是先获取要被劫持的函数的地址,然后将该函数的前15个字节的指令保存下来,接着将自己的代理函数地址写入到原始函数上,这样当API被调用时,就会默认转向到自己的代理函数上执行,从而实现函数的劫持。
Windows内核驱动Hook入门
随心动,随风行
07-16 7576
文章目录Hook框架选择基于微软规范的框架微软规范以外的框架简单介绍一下InfinityHook获取内核中的函数地址内核中导出的函数内核未导出的函数获取 SSDT ShadowSSDT 地址获取系统服务号手动获取获取并判断系统版本代码自动获取获取GUI相关的函数地址,还需附加GUI进程获取进程 PEPROCESS获取函数地址替换被Hook函数函数实现获取函数原型如果被Hook函数是一个高频函数,如何准确定位到是自己的程序调用分析不同情况下的返回值类型,调用的 R3 API 如何进行处理这些返回值分
64位驱动SSDTHOOK教程
10-02
64位驱动SSDTHOOK教程是针对Windows 64位操作系统下进行系统级服务表(System Service Dispatch Table, SSDT)挂钩技术的学习资料。在Windows系统中,SSDT是操作系统核心与用户模式应用程序之间的一个关键接口,它...
驱动程序级钩子apihook截获函数调用的程序.zip
03-28
驱动程序写的截获api函数调用的程序.zip
SSDT Hook驱动代码
01-08
标题"SSDT Hook驱动代码"指的是一段用于实现SSDT Hook功能的驱动程序代码,特别适合初级的Windows驱动程序员学习。这通常涉及到驱动开发的基础知识,如IRP(I/O请求包)处理、设备对象管理、线程上下文等,并且会...
驱动内核模式下的apihook钩子例子,编写驱动程序.zip
03-28
`hook.cpp`的代码可能包括初始化驱动、安装钩子和与驱动通信的函数。`hook.exe`是编译后的可执行文件,用于实际执行这些操作。 `spydriver.sys`是编译后的驱动程序文件,它将被Windows加载到内核中执行。这个驱动是...
VC++驱动HOOK系统调用
11-27
例如,使用 ZwSetInformationThread 函数Hook可以改变线程的行为,或者通过 ZwCreateFile Hook 来监控文件操作。 在实际操作中,创建驱动Hook通常涉及以下步骤: 1. 编写驱动程序:使用VC++的Driver Development ...
驱动hookapi
04-19
可以hook 任意函数 ,采用内联hook
hook驱动方式注入内核源代码
01-19
C语言写的ROOT记录器,编译通过了.#include "stdafx.h" #include "ScanCode.h" #include "DriverEntry.h" #include <stdarg.h> const WCHAR *DEVICE_NAME = L"\\Device\\MonkeyKingDeviceName"; const WCHAR *SYMOBL_NAME = L"\\??\\MonkeyKingSymbolicName"; const char *NT_DEVICE_NAME = "\\Device\\KeyboardClass0"; const char *LOG_FILE_NAME = "\\DosDevices\\c:\\MonkeyKing.txt"; int numPendingIrps = 0; /*---------------------------------------------------------------------------------------------------------------------------------------------*/ /************************************************************************ * 函数名称:DriverEntry * 功能描述:初始化驱动程序,定位和申请硬件资源,创建内核对象 * 参数列表: pDriverObject:从I/O管理器中传进来的驱动对象 pRegistryPath:驱动程序在注册表的中的路径 * 返回 值:返回初始化驱动状态 *************************************************************************/ STDAPI_(NTSTATUS) DriverEntry( IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRING pRegistryPath ) { NTSTATUS retValue = STATUS_SUCCESS; TRACEMSG("初始化例程..."); pDriverObject->DriverUnload = OnUnload; for (INT32 i = 0; i < IRP_MJ_MAXIMUM_FUNCTION; i++){ pDriverObject->MajorFunction[i] = DispatchHandler; } pDriverObject->MajorFunction[IRP_MJ_READ] = DispatchRead; TRACEMSG("初始化例程...完成"); //创建设备。 TRACEMSG("创建设备..."); PDEVICE_OBJECT pKeyboardDevice = NULL; if (!NT_SUCCESS(retValue = CreateDevice(pDriverObject, &pKeyboardDevice))) { TRACEMSG("创建设备...失败"); return retValue; } TRACEMSG("创建设备...完成。键盘设备对象指针为:0x%x", pKeyboardDevice); //挂接设备。 TRACEMSG("挂接设备..."); if (!NT_SUCCESS(retValue = HookKeyboard(pKeyboardDevice))) { TRACEMSG("挂接设备...失败"); return retValue; } TRACEMSG("挂接设备...完成"); TRACEMSG("初始化线程..."); if (!NT_SUCCESS(retValue = InitThreadLogger(pDriverObject))) { TRACEMSG("初始化线程...失败"); return retValue; } TRACEMSG("初始化线程...完成");
驱动Hook拦截系统内核调用
11-19
驱动Hook拦截系统内核调用,源码 驱动Hook拦截系统内核调用,源码
WIN64位驱动 InLine_HOOK框架
12-28
Win64 和 Win32 都可用的内核 InLineHook 框架,网上找的感觉都很麻烦, 这个感觉比较清晰明了, 但也有不足之处 就是修改函数头部时 不够完美;但是日常使用感觉足够了.
7.HOOK NtTerminateProcess驱动保护进程
Mikasys的博客
11-04 1464
1、项目说明 将系统服务表中某个函数改成自己的函数,使任务管理器右键无法关闭自己,只有点击自己的关闭按钮才可以正常关闭。 2、获取目标进程的进程名 kd> dt _Eprocess ntdll!_EPROCESS +0x000 Pcb : _KPROCESS +0x06c ProcessLock : _EX_PUSH_LOCK +0x070 CreateTime : _LARGE_INTEGER +0x078 ExitTime
逆向基础-Windows驱动开发【SSDT HOOK
AppWhite_Star的博客
08-01 1718
驱动开发,SSDT HOOK
发一个支持任意地点hook的类(包含驱动hook和应用层hook)
u013594602的专栏
02-07 1761
这是以前练习写驱动类的一个产物,  有点早了,很简单. 写这个类也是方便自己绕过某些驱动的保护钩子.  当然这个也只支持x86, 没有做x64的拓展. 因为只是方便自己不需要每次都copy一大堆代码; 如果需要x64的拓展的,可以参考detours 或者是 EasyHook.   比较好的是EasyHook提供了驱动hook; 貌似关于驱动写类论坛上比较少, 对于驱动,大家更倾向于直接
内核级驱动对抗Hook ZwSetInformationFile反删除技术
Floating Guy
04-13 2692
网络安全中的文件删除与保护一直都是大家谈论的焦点问题,针对如何保护磁盘上属于自己的专有文件,已经存在一些现成技术,比如信息隐藏技术。笔者详细的谈论过有关基于有序规则的信息隐藏与加密技术,利用一些常见图片、视频等作为载体将文件嵌入其中,达到掩人耳目的目的。这种方式如果在图像的鲁棒性、文件规则的健壮性、加密算法的有效性上能够很好的满足,是可以很好的实现文件的保护的。下面论述的是文件在没有隐藏的情况下,
数字驱动分析笔记之HookPort1
08-03
2. **HookPort代码示例与工作原理**: HookPort是一个模块,负责创建Hook模板(但不包含Fake函数),类似于控制中心管理多个子驱动(SelfProtectionX)。由于数量限制,最多支持16个。Hook模板采用单向链表结构存储...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值