rootkit技术之IoCallDriver介绍

最新推荐文章于 2020-03-31 17:21:52 发布
最新推荐文章于 2020-03-31 17:21:52 发布
阅读量3.2k 收藏
点赞数 2
分类专栏: 系统安全 文章标签: fp hook object null string 微软
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shifters/article/details/7036820
版权

IoCallDriver是一个非常重要的内核例程,利用它可以过滤所有的系统请求,在IoCallDriver中调用IofCallDriver例程,几乎所有的内核驱动都调用了IofCallDriver。IoCallDriver的原型如下:

NTSTATUS 
  IoCallDriver(
    IN PDEVICE_OBJECT  DeviceObject,
    IN OUT PIRP  Irp
    );

它的作用是向指定的设备对象发送一个IRP。

在微软发布的内核的源码的\WRK-V1.2\base\ntos\io\iomgr\iosubs.c(2244)找到了IofCallDriver的实现

NTSTATUS

FASTCALL

IofCallDriver(

    IN PDEVICE_OBJECT DeviceObject,

    IN OUT PIRP Irp

    )

{

    if (pIofCallDriver != NULL) {

 

        //

        // This routine will either jump immediately to IovCallDriver or

        // IoPerfCallDriver.

        //

        return pIofCallDriver(DeviceObject, Irp, _ReturnAddress());

    }

 

    return IopfCallDriver(DeviceObject, Irp);

}

几乎所有的系统调用都是如此,进入之后,就会出现一个jmp,跳到真实的调用处,这就形成了一个系统调用跳转表,只要修改这个地址,就能构成一个hook,当然现在安全软件能够很容易的检测到它。

来看实现hook的代码

// 首先定义一个函数指针类型

typdef NTSTATUS FASTCALL ( *PMY_IOFCALLDRIVER_FP) (IN PDEVICE_OBJECT, IN OUT PIRP);

// 以下函数用函数newIofCallDriver去代替现有的IofCallDriver

// 同时返回旧的IofCallDriver所跳转的实际地址,如果失败,则返回空

PMY_IOFCALLDRIVER_FP MyHookIofCallDriverXP (

       IN PMY_IOFCALLDRIVER_FP newIofCallDriver,

       IN BOOLEAN hookOrUnhook)

{

     UNICODE_STRING functionName;

     PBYTE address;

     Static PMY_IOFCALLDRIVER_FP oldIofCallDriverBody = NULL;

RtlInitUnicodeString ( &functionName, L”IofCallDriver”);

 

// 得到IofCallDriver的入口地址

Address = MmGetSysemRoutineAddress (&functionName);

If(hookOrUnhook)

{

   // 获得入口地址后,加2字节的地址就是旧的

   // IofCallDriver 的执行体的地址

   oldIofCallDriverBody = ( PMY_IOFCALLDRIVER_FP )( *(PLONG)(address + 2);

   InterlockedExchange((PLONG) (address +2), newIoCallDriver);

   return oldIofCallDriverBody;

}

Else

{

// 复原

if(oldIofCallDriverBody == NULL)

{

        InterlockedExchange ((PLONG)(address + 2),

        oldIofCallDriverBody);

        return oldIofCallDriverBody;

}

}

   

 

shifters
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows内核学习笔记(二)-- IoCallDriver函数与PoCallDriver函数
iT2afL0rd's Blog
07-19 8336
      今天看书的时候看到了这两个函数,开始还没在意,以为是同一个,功能应该一样。后来想想一样的干嘛还弄两个呢,于是就查了一下,发现这两个函数差别还蛮大的。首先来看这两个函数的原型:NTSTATUS IoCallDriver( IN PDEVICE_OBJECT DeviceObject, IN OUT PIRP Irp );NTSTATU
Hook与IoCallDriver与IofCallDriver
fengkuangfj的专栏
03-08 3385
用途之一:从内核层保护文件不被删除 IoCallDriver:一个内核例程,过滤所有的系统请求 NTSTATUS IoCallDriver(IN PDEVICE_OBJECT DeviceObject, IN OUT PIRP Irp ); IofCallDriver:在IoCallDriver中调用的一个例程,几乎所有的内核驱动都调用了IofCallDr
关于IoCallDriver
Ghjhfssfgk的博客
03-31 432
通常我们所知IoCallDriver是把irp传递给下一层设备,传递到底是什么意思呢? IoCallDriver中实际调用了IopfCallDriver,其代码如下: NTSTATUS FORCEINLINE IopfCallDriver( IN PDEVICE_OBJECT DeviceObject, IN OUT PIRP Irp ) /*++ Routine Description: Thi...
IoCallDriver()简析
pureman_mega的博客
03-27 1622
NTSTATUS IofCallDriver(IN PDEVICE_OBJECT DeviceObject, IN OUT PIRP Irp) { if(*pIofCallDriver)//je 0x1d { return pIofCallDriver(DeviceObject,Irp); } Irp->Cu
入门笔记 - IoCallDriver
zacklin的专栏
04-16 2032
分层驱动概念略。设备挂载指的是将一个设备A挂载到一个设备栈中的顶层设备B上面,从而使得发向原来设备栈中顶层设备B的IRP,会先发到A中,在A里面可以过滤一些IRP数据,达到过滤的目的。[详细见驱动开发详解12章] 当应用程序发向原先的设备的IRP,会先发向过滤设备里,在过滤设备处理IRP时 1、可以调用IoCompleteRequest函数,直接结束IRP请求,这样就会使得IRP不能到达底层驱
Anti MBR-Rootkit技术研究
01-20
摘要:本文主要对磁盘主引导记录MBR和Windows操作系统的启动过程进行了阐述,对Rootkit和MBR-Rootkit技术特点进行了总结,对MBR-Rootkit结构和实例的行为特点进行了深入研究和剖析,针对WinXP操作系统的MBR-Rootkit...
内核级后门Rootkit技术
07-25
内核级后门Rootkit技术是信息安全领域中的一个重要话题,涉及到操作系统的核心安全和黑客攻击手段。Rootkit是一种恶意软件工具,其主要目的是隐藏在系统中,使得攻击者能够获得系统的最高权限,即root权限,因此得名...
Rootkit木马隐藏技术分析与检测技术综述
02-08
删除进程双向链表中的进程对象是Rootkit木马最常用的隐藏技术之一。这种技术通过删除进程对象从而使得进程隐藏,并且这种隐藏方式难以被检测出来。 Rootkit木马可以通过Hook API函数来实现进程隐藏,例如Hook ...
windows xp隐藏进程 源代码.rootkit技术
01-24
标题 "windows xp隐藏进程 源代码.rootkit技术" 提及了Windows XP操作系统下的一个关键技术——Rootkit,以及隐藏进程的源代码。Rootkit是一种恶意软件工具,它允许攻击者在受害者的系统上隐藏其存在,包括进程、...
IoCallDriver源码剖析
weixin_34256074的博客
07-20 98
IoCallDriver是一个宏: #define IoCallDriver(a,b) \ IofCallDriver(a,b) 显然用的是IofCallDriver(); IofCallDriver()代码如下: NTSTATUS FASTCALL IofCallDriver( IN PDEVICE_OBJECT DeviceObje...
windows磁盘io测试工具
01-17
找到这个资源,是因为在windows服务器上,发现同样的程序,在机器1上写日志极快,另一台上极慢(导致请求响应超时)。后来用该工具测试,发现io差距好几倍
在内核驱动中检测隐藏进程
01-13
在安全检测工具 中.一般都 比较重视 隐藏 进程的检测 。道理很简单 .正常 的进程 没有必 要去 隐藏 自己.毕竟隐藏进程花费的代价还是 很 高 的。为什 么这 么说呢 ? 系统 中安 装 了钩 子 .运 行效 率 自然不 会 很高 人 正 不怕 影子 歪 .所 以说没 有必要去 隐藏 自己。当然也有 一 些例 外的网游 .为 了保护 自己从 而隐藏进程 . 常见的有韩国nProtect公司的跑跑卡丁车 .就存 在隐藏进程GameMon.des的运行
【转帖】驱动编程学习笔记之IO处理
floweronwarmbed的专栏
11-03 1790
 典型的i/o处理过程=================操作系统将所有的i/o请求都抽象成针对一个虚拟文件的操作,从而掩盖了“一个i/o操作的目标可能不是一个文件结构的设备“这样的事实。这一抽象也使得应用程序对待设备的接口变得泛化。用户模式api   |i/o系统服务api(Ntxxx)   |i/o管理器(Ioxxx)   |内核模式设备驱动程序------驱动程序支持例程(Io,
IoCallDriver
yfh1985sdq的专栏
05-03 424
 // 将指定IRP发送给指定设备 NTSTATUS    IoCallDriver(     IN PDEVICE_OBJECT  DeviceObject, // 设备对象     IN OUT PIRP  Irp                                  // IRP对象     );
Windows Rootkit技术解析与检测策略
Windows Rootkit是一种高度隐蔽的技术,主要在Windows操作系统中使用,旨在隐藏恶意软件或后门程序,使得这些恶意软件能够避开常规的安全检测工具。Rootkit通常包括一系列工具和方法,使得攻击者能够在目标系统上...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值