x86的缓冲区读写 还有hook

最新推荐文章于 2023-02-17 23:30:28 发布
最新推荐文章于 2023-02-17 23:30:28 发布
阅读量213 收藏
点赞数
分类专栏: 驱动入门
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41071646/article/details/84201636
版权

x86的hook 其实很简单  其实我们在od里就可以知道 E9+(跳转的地址-现在的地址-5)

然后 跳来跳去就可以 而  缓冲区读写有个很重要的概念就是

#define sub_code CTL_CODE(FILE_DEVICE_UNKNOWN,     0x801,     METHOD_BUFFERED,FILE_ANY_ACCESS)

(这是比喻一下 这个是我们的code 值 比如)

PIO_STACK_LOCATION stack = IoGetCurrentIrpStackLocation(pIrp);

ULONG ml = stack->MajorFunction;

switch (ml)
    {
    case IRP_MJ_DEVICE_CONTROL:
    {  

    KdPrint(("Enter myDriver_DeviceIOControl\n"));
    NTSTATUS status = STATUS_SUCCESS;

    //得到输入缓冲区大小
    ULONG cbin = stack->Parameters.DeviceIoControl.InputBufferLength;
    //得到输出缓冲区大小
    ULONG cbout = stack->Parameters.DeviceIoControl.OutputBufferLength;
    //得到IOCTL码
    ULONG code = stack->Parameters.DeviceIoControl.IoControlCode; //这个码就是区别缓冲区的信息的
    switch (code)
    {
    case add_code:

 

然后 应用层的话 应该是

 

    DeviceIoControl(hDevice, add_code , &port, 8, &bufret, 4, &dwWrite, NULL);//写上码  

这样就可以了 。。

如果想保护某个进程的话 需要对 NtOpenProcess  进行hook  打开的话 直接返回 NULL  然后  应用层 传入一个pid 值就可以了 

经过缓冲区pid  然后调用hook 函数就可以了 然后就可以保护 我们想要保护的进程了

 后面如果代码实现了  就把源码粘贴出来

 

pipixia233333
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于Android x86平台 函数hook知识的一点记录
zhangxinfa的专栏
02-10 2487
对x86平台更熟悉一些,所以就一下x86的吧,至于arm平台,只是寄存器有些不同,其他的思路应该还是差不多的。 其实主要是对了解的知识做一下记录,方便以后翻出来看看   Linux系统的注入一般是使用ptrace函数,对指定进程使用ptrace,可以暂停进程,并可以/目标进程指定内存/寄存器,整个注入的流程其实很简单, 假设我们要替换运行进程P中的某个函数调用M_org,大致的思路如
精通Windows.API-函数、接口、编程实例.pdf
01-27
5.5.1 复制、填充、移动、清零内存块、防止缓冲区溢出 144 5.5.2 获得当前系统内存使用情况 146 5.5.3 判断内存指针的可用性 147 5.6 各种内存分配方式的关系与比较 148 5.6.1 标准C内存管理函数与Windows...
Windows下x86和x64平台的Inline Hook介绍
PeaZomboss的博客
02-17 1655
Windows下Inline Hook技术可以用来拦截一个指定的函数,并使其跳转到指定的地址执行相应的程序,从而实现某种想要的效果,本文介绍了x86和x64平台下Inline Hook的原理和基本使用方法,着重于x64下可行的方案,以及适用于多线程的方法。
Linux x86架构内核Hook实现
qq_42931917的博客
12-27 5192
Linux x86架构内核Hook实现 一、内核函数 text_poke()函数用于在内核动态替换opcode,从而达到Inline Hook的效果。 /** * text_poke - Update instructions on a live kernel * @addr: address to modify * @opcode: source of the copy * @len: length to copy * * Only atomic text poke/set should be
Windows的HooK技术实现(支持X86/X64版本)
江海细流的专栏
10-03 3382
hook技术应用广泛,如热补丁升级技术,API劫持,软件破解等,是一门很实用的逆向安全技术。本文就简明的讲解hook技术的基本原理,实现方法,同时送上demo实例。 HOOK技术的基本原理 HOOK的基本原理 Hook技术的原理的:就是修改程序的运行时PC指针,让程序跳到我们指定的代码中运行,运行完我们的程序,程序PC指针又回到原来程序的下一条指令。简而言之:就篡改程序的运行路径,来执行我们的程序。 二.Hook技术的实现 1)需求分析 ...
80x86汇编语言编程:利用显示缓冲区的方法,显示彩色文字
做而论道的博客
01-25 2515
要求将数据段的数字,显示在屏幕的指定位置上。显示《红底绿字》。题目链接:http://zhidao.baidu.com/question/541265076.html程序如下:ASSUME   CS:CODE, DS:DATA, SS:STACK;-----------------------------------DATA   SEGMENT    DW   123, 12666, 1, 8,
Python库 | frida-14.2.18-py3.8-linux-i686.egg
02-21
1. **安全审计**:在安全研究中,Frida常用于检测潜在的安全漏洞,例如检测缓冲区溢出、格式字符串漏洞等。 2. **自动化测试**:在软件测试中,Frida可以用来模拟用户输入,检查程序的响应和行为。 3. **逆向工程*...
精通WindowsAPI 函数 接口 编程实例
01-08
5.5.1 复制、填充、移动、清零内存块、防止缓冲区溢出 144 5.5.2 获得当前系统内存使用情况 146 5.5.3 判断内存指针的可用性 147 5.6 各种内存分配方式的关系与比较 148 5.6.1 标准C内存管理函数与Windows...
linux arm和x86 inline hook技术
fanlilei的专栏
11-18 3652
Suterusu Rootkit: Inline Kernel Function Hooking on x86 and ARM Posted on January 7, 2013 Table of Contents IntroductionFunction Hooking in Suterusu Function Hooking on x86 Write Protec
【A-Protect】x86 Hook 系统调用
依然那霖哥
09-15 734
  代码 DriverEntry 创建线程,部分执行代码如下: VOID IsKernelBooting(IN PVOID Context) { // ... _asm { pushad; mov ecx, 0x176; // msr EIP rdmsr; mov KiFastCallEntry, eax; popad...
【C++】D3D11 最新HOOK 源码支持X86_X64
05-21
【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64
HOOK 完美支持 x86、x64
05-24
完美支持x86、x64下的API HOOK,采用多中选项,x64模式下可以选择 5字节跳转,12字节跳转,和14字节跳转,调用更灵活。
HOOK API 完美支持 x86 x64
05-24
完美支持 x86、x64 HOOK,有多种选项,x64 下支持 5字节跳转,12字节跳转和14字节跳转,另有内核版本。
Window Hook 技术详解
cx1990820的专栏
08-20 8162
Hook简介 微软的MSDN中,对Hook的解释为: A hook is a point in the system message-handling mechanism where an application can install a subroutine to monitor the message traffic in the system and process certain
汇编语言中缓冲区的定义
热门推荐
u010470455的专栏
01-07 1万+
BUF DB 81  DB ?  DB 81 DUP(0) 在内存中申请一个缓冲区为83个字节,首地址给BUF,缓冲区的第一个字节内放的是81,表示申请的存放数据的缓冲区的字节数为81个,第二个字节“?”表示的是实际存放的字节个数(就是说,你放入2个字节的数据,“?”变成2,放10个字节的数据,变成10);DB表示的是分配一个或多个字节;输入的数据从第三个字节开始存放,存放至第82个字节,第
缓冲区方式操作
raiky的专栏
09-05 2548
驱动程序创建设备对象一共有三种方式,分别是缓冲区、直接方式和其他方式。这三种方式对应的设备对象的Flags子域分别是DO_BUFFERED_IO、DO_DIRECT_IO和0。为什么要设置缓冲区方式?操作一般由WriteFile或ReadFile函数引起,以WriteFile为例,该函数要求用户提供一段缓冲区,并且说明缓冲区大小,然后WriteFile将这段内存的数据传入到驱动程序中。由于这段缓冲区内存是用户模式的内存地址,因此如果驱动程序直接引用该段内存是十分危险的。因此,就产生了
RT-Thread 学习笔记(六)——串口
skawu
11-14 8753
RTThread 串口学习,未完待续!
CSAPP 缓冲区溢出试验
weixin_34109408的博客
06-11 1059
缓冲区溢出试验是CSAPP课后试验之一,目的是: 更好的理解什么是缓冲区溢出 如何攻击带有缓冲区溢出漏洞的程序 如何编出更加安全的代码 了解并理解编译器和操作系统为了让程序更加安全而提供的几种特性 我们可以使用代码注入(code-injection)和返回导向编程(return-oriented-programming)两种攻击手段分别攻击试验提供的ctarget和rtarget程序。 ct...
c++ hook 文件
最新发布
05-16
对于文件操作,我们可以通过Hook来实现一些有趣的功能,比如加密、解密、记录文件日志等。 首先,我们需要了解Windows操作系统中文件相关的API函数,比如CreateFile、ReadFile、WriteFile、CloseHandle...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值