Windows下挂钩nsiproxy.sys模块获取网络连接信息

于 2023-02-07 17:15:58 发布
阅读量526 收藏
点赞数
文章标签: windows 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunjiaoya/article/details/128922339
版权

Windows 7及以后版本的网络模块较从前发生了很大变化,事实上在Windows 下netstat.exe调用Iphlpapi.dll导出的InternalGetTcpTable2函数实现对所有打开端口的列举. InternalGetTcpTable2随后调用由nsi.dll导出的NsiAllocateAndGetTable 函数,nsi.dll则调用NsiEnumerateObjectsAllParametersEx向nsiproxy.sys发送Irp最终转入内核.而nsiproxy.sys又只是对netio.sys的简单封装,它最终调用了netio.sys导出的内核服务例程.

DriverEntry.h

#pragma once
#include<ntifs.h>
#include<windef.h>


extern  POBJECT_TYPE* IoDeviceObjectType, * IoDriverObjectType;
PDRIVER_OBJECT pNsiDrvObj = 0;
PDRIVER_DISPATCH oldNsiDeviceIoControl = 0;


typedef  struct  _HP_CONTEXT
{
    PIO_COMPLETION_ROUTINE oldIocomplete;
    PVOID oldCtx;
    BOOLEAN bShouldInvolve;
    PKPROCESS pcb;
} HP_CONTEXT, * PHP_CONTEXT;

typedef  struct  _INTERNAL_TCP_TABLE_SUBENTRY
{
    char bytesfill0[2];
    USHORT Port;
    DWORD dwIP;
    char bytesfill[20];

} INTERNAL_TCP_TABLE_SUBENTRY, * PINTERNAL_TCP_TABLE_SUBENTRY;

typedef  struct  _INTERNAL_TCP_TABLE_ENTRY
{
    INTERNAL_TCP_TABLE_SUBENTRY localEntry;
    INTERNAL_TCP_TABLE_SUBENTRY remoteEntry;

} INTERNAL_TCP_TABLE_ENTRY, * PINTERNAL_TCP_TABLE_ENTRY;

typedef  struct  _NSI_STATUS_ENTRY
{
    char bytesfill[12];

} NSI_STATUS_ENTRY, * PNSI_STATUS_ENTRY;

//typedef  struct  _NSI_PARAM
//{
//    DWORD UnknownParam1;
//    DWORD UnknownParam2;
//    DWORD UnknownParam3;    //NPI_MODULEID指针
//    DWORD UnknownParam4;    //硬编码
//    DWORD UnknownParam5;    //硬编码
//    DWORD UnknownParam6;    //结构体1数组指针
//    PVOID lpMem;   //结构体1大小
//    DWORD UnknownParam8;
//    DWORD UnknownParam9;
//    DWORD UnknownParam10;   //结构体2数组指针
//    PNSI_STATUS_ENTRY lpStatus; //结构体2大小
//    DWORD UnknownParam12;   //结构体3数组指针
//    DWORD UnknownParam13;   //结构体3数组指针
//    DWORD UnknownParam14;
//    DWORD TcpConnCount;
//
//} NSI_PARAM, * PNSI_PARAM;

typedef struct _NSI_PARAM
{
    ULONG_PTR UnknownParam1;    //0
    ULONG_PTR UnknownParam2;    //0
    ULONG_PTR UnknownParam3;    //NPI_MODULEID指针
    ULONG_PTR UnknownParam4;    //硬编码
    ULONG_PTR UnknownParam5;    //硬编码
    PVOID lpMem;    //结构体1数组指针
    ULONG_PTR UnknownParam7;    //结构体1大小
    ULONG_PTR UnknownParam8;    //0
    ULONG_PTR UnknownParam9;    //0
    ULONG_PTR UnknownParam10;   //结构体2数组指针
    ULONG_PTR UnknownParam11;   //结构体2大小
    ULONG_PTR UnknownParam12;   //结构体3数组指针
    ULONG_PTR UnknownParam13;   //结构体3数组指针
    ULONG_PTR ConnCount;        //连接数
}NSI_PARAM, * PNSI_PARAM;

NTSTATUS ObReferenceObjectByName(
    IN PUNICODE_STRING ObjectName,
    IN ULONG Attributes,
    IN PACCESS_STATE AccessState OPTIONAL,
    IN ACCESS_MASK DesiredAccess OPTIONAL,
    IN POBJECT_TYPE ObjectType,
    IN KPROCESSOR_MODE AccessMode,
    IN OUT PVOID ParseContext OPTIONAL,
    OUT PVOID* Object
);

DriverEntry.c

#include"DriverEntry.h"
#include<stdio.h>

#define HTONS(a) (((0xFF&a)<<8) + ((0xFF00&a)>>8))

#define  IOCTL_NSI_GETALLPARAM 0x12001B

#define POOLTAG 'buff'

static long htonl(long value)
{

    return (((value & 0xff000000) >> 24) | ((value & 0x00ff0000) >> 8) | ((value & 0x0000ff00) << 8) | ((value & 0x000000ff) << 24));

}

PCHAR GetIP(unsigned int ipAddr) {

    static char pIp[20];
    unsigned int nIpAddr = htonl(ipAddr);
    sprintf(pIp, "%d.%d.%d.%d",
        (nIpAddr >> 24) & 0xFF,
        (nIpAddr >> 16) & 0xFF,
        (nIpAddr >> 8) & 0xFF,
        (nIpAddr) & 0xFF);

    return pIp;
}

NTSTATUS MyCompletion(PDEVICE_OBJECT  DeviceObject,PIRP  Irp,PVOID  Context)
{
    //PIO_STACK_LOCATION irpspNext = IoGetCurrentIrpStackLocation(Irp);
    PIO_STACK_LOCATION irpspNext = IoGetNextIrpStackLocation(Irp);
    PHP_CONTEXT pCtx = Context;
    PNSI_PARAM nsiParam;
    BOOLEAN bShouldInvolve = FALSE;

    UNREFERENCED_PARAMETER(DeviceObject);

    if (NT_SUCCESS(Irp->IoStatus.Status))
    {
        nsiParam = Irp->UserBuffer;
        if (MmIsAddressValid(nsiParam->lpMem))
        {
            if ((nsiParam->UnknownParam7 == 0x38))
            {
                KAPC_STATE apcstate;
                //PNSI_STATUS_ENTRY pStatusEntry = (PNSI_STATUS_ENTRY)nsiParam->lpStatus;
                PINTERNAL_TCP_TABLE_ENTRY pTcpEntry = (PINTERNAL_TCP_TABLE_ENTRY)nsiParam->lpMem;
                ULONG_PTR nItemCnt = nsiParam->ConnCount;

                KeStackAttachProcess(pCtx->pcb, &apcstate);
                
                char localIp[20];
                char remoteIp[20];
                for (int i = 0; i < nItemCnt; i++)
                {
                    strncpy(localIp, GetIP(pTcpEntry[i].localEntry.dwIP), 20);
                    strncpy(remoteIp, GetIP(pTcpEntry[i].remoteEntry.dwIP), 20);
                    DbgPrint("localIp:%s\t\tPort:%d\t\tremoteIp:%s\t\tPort:%d", localIp, HTONS(pTcpEntry[i].localEntry.Port), remoteIp, HTONS(pTcpEntry[i].remoteEntry.Port));
                }

                KeUnstackDetachProcess(&apcstate);
            }
        }
    }

    irpspNext->Context = pCtx->oldCtx;
    irpspNext->CompletionRoutine = pCtx->oldIocomplete;
    bShouldInvolve = pCtx->bShouldInvolve;
    ExFreePoolWithTag(Context, POOLTAG);

    DbgPrint("return success\n");
    if (Irp->PendingReturned) {
        IoMarkIrpPending(Irp);
    }
    return STATUS_SUCCESS;

    //if (bShouldInvolve && irpspNext->CompletionRoutine != NULL)
    //{
    //    DbgPrint("return pld CompletionRoutine\n");
    //    return irpspNext->CompletionRoutine(DeviceObject, Irp, irpspNext->Context);
    //}
    //else
    //{
    //    DbgPrint("return success\n");
    //    if(Irp->PendingReturned) {
    //        IoMarkIrpPending(Irp);
    //    }
    //    return STATUS_SUCCESS;
    //}
}


NTSTATUS HPUnload(IN PDRIVER_OBJECT DriverObject)
{
    LARGE_INTEGER waittime;

    waittime.QuadPart = -50 * 1000 * 1000;
    InterlockedExchangePointer((PVOID)(&(pNsiDrvObj->MajorFunction[IRP_MJ_DEVICE_CONTROL])), (PVOID)oldNsiDeviceIoControl);

    KeDelayExecutionThread(KernelMode, 0, &waittime);

    UNICODE_STRING DeleteSymName;
    PDEVICE_OBJECT deviceObject = DriverObject->DeviceObject;
    RtlInitUnicodeString(&DeleteSymName, L"\\DosDevices\\HookNsi");

    //删除符号对象
    IoDeleteSymbolicLink(&DeleteSymName);

    if (deviceObject != NULL) {
        IoDeleteDevice(deviceObject);
    }
    ObDereferenceObject(pNsiDrvObj);

    return STATUS_SUCCESS;
}

NTSTATUS MyDeviceControl(PDEVICE_OBJECT  DeviceObject,PIRP  Irp)
{
    ULONG         uIoControlCode;
    PIO_STACK_LOCATION irpStack;
    NTSTATUS          status;

    irpStack = IoGetCurrentIrpStackLocation(Irp);
    uIoControlCode = irpStack->Parameters.DeviceIoControl.IoControlCode;
   
    if (IOCTL_NSI_GETALLPARAM == uIoControlCode)
    {

        if (irpStack->Parameters.DeviceIoControl.InputBufferLength == sizeof(NSI_PARAM))
        {
            PHP_CONTEXT ctx = (HP_CONTEXT*)ExAllocatePoolWithTag(NonPagedPool, sizeof(HP_CONTEXT),POOLTAG);
            if (ctx == NULL) {
                DbgPrint("Failed to ExAllocatePoolfor ctx!");
                status = STATUS_INSUFFICIENT_RESOURCES;
                return status;
            }
            else {
                RtlZeroMemory(ctx, sizeof(HP_CONTEXT));
            }
            ctx->oldIocomplete = irpStack->CompletionRoutine;
            ctx->oldCtx = irpStack->Context;
            irpStack->CompletionRoutine = MyCompletion;
            irpStack->Context = ctx;
            ctx->pcb = IoGetCurrentProcess();

            if ((irpStack->Control & SL_INVOKE_ON_SUCCESS) == SL_INVOKE_ON_SUCCESS) {
                ctx->bShouldInvolve = TRUE;
            }    
            else {
                ctx->bShouldInvolve = FALSE;
            }
            irpStack->Control |= SL_INVOKE_ON_SUCCESS;
        }

    }

    status = oldNsiDeviceIoControl(DeviceObject, Irp);

    return status;

}


NTSTATUS DriverEntry(PDRIVER_OBJECT  DriverObject,PUNICODE_STRING RegistryPath)
{


    NTSTATUS status=STATUS_SUCCESS;
    UNICODE_STRING uniNsiDrvName;
    UNICODE_STRING DeviceName;
    UNICODE_STRING SymbolicLinkName;
    DEVICE_OBJECT* pDeviceObj = NULL;
    NTSTATUS nStatus = STATUS_SUCCESS;

    UNICODE_STRING DeleteSymName;
    RtlInitUnicodeString(&DeleteSymName, L"\\DosDevices\\HookNsi");
    //删除符号对象
    IoDeleteSymbolicLink(&DeleteSymName);

    UNREFERENCED_PARAMETER(RegistryPath);
    RtlInitUnicodeString(&DeviceName, L"\\Device\\IOCTLHookNsi");
    RtlInitUnicodeString(&SymbolicLinkName, L"\\DosDevices\\HookNsi");

    nStatus = IoCreateDevice(DriverObject,
        0,
        &DeviceName,
        FILE_DEVICE_UNKNOWN,
        FILE_DEVICE_SECURE_OPEN,
        TRUE,
        &pDeviceObj);
    if (!NT_SUCCESS(nStatus)) {
        DbgPrint("IoCreateDevice failed!");
        return nStatus;
    }

    nStatus = IoCreateSymbolicLink(&SymbolicLinkName, &DeviceName);
    if (!NT_SUCCESS(nStatus)) {
        DbgPrint("IoCreateSymbolicLink failed!");
        IoDeleteDevice(pDeviceObj);
        return nStatus;
    }


    //初始化派遣函数

    DriverObject->DriverUnload = HPUnload;

    RtlInitUnicodeString(&uniNsiDrvName, L"\\Driver\\nsiproxy");

    status = ObReferenceObjectByName(
        &uniNsiDrvName, 
        OBJ_CASE_INSENSITIVE, 
        NULL, 
        FILE_ALL_ACCESS, 
        *IoDriverObjectType, 
        KernelMode, 
        NULL, 
        &pNsiDrvObj);
    if (!NT_SUCCESS(status))
    {
        DbgPrint("ObReferenceObjectByName failed,err:%d", status);
        return STATUS_SUCCESS;
    }
    else
    {
        oldNsiDeviceIoControl = pNsiDrvObj->MajorFunction[IRP_MJ_DEVICE_CONTROL];
        InterlockedExchangePointer((PVOID) (&(pNsiDrvObj->MajorFunction[IRP_MJ_DEVICE_CONTROL])), (PVOID)MyDeviceControl);
    }

   
    return STATUS_SUCCESS;
}
远方的白桦树
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Rookit系列一 【隐藏网络端口】【支持Win7 x32/x64 ~ Win10 x32/x64】
qq_41252520的博客
08-04 890
Rookit是个老生常谈的话题了,它包括隐藏进程、隐藏模块、隐藏端口等隐藏技术和其他对抗杀软的技术。作为一名二进制安全研究员你可以不去写这些代码,但你不能不懂,也因为最近隔壁组的同事在做这方面的检测向我请教了一些问题,索性我就利用空余时间研究了一下网络端口的隐藏。网上随便去搜搜隐藏端口的资料,发现能用的几乎没有。这才是我研究的动力和分享的意义。\textcolor{green}{这才是我研究的动力和分享的意义。这才是我研究的动力和分享的意义。于是就自己研究了一通,发现也没什么特别的。
内核层枚举网络端口 Windows 10、x64、R0
最新发布
sunjiaoya的博客
02-02 523
内核层枚举网络端口
Windows Vista 下挂钩NSI模块隐藏端口
P.Kwok
11-19 3399
作者:cardmagic原文链接:http://www.rootkit.com/newsread.php?newsid=735Windows Vista 的网络模块较从前发生了很大变化,从而导致很多旧的端口隐藏工具无法使用.本文将介绍一种简单的在Vista下隐藏端口的方法,希望对大家有所帮助.事实上在Vista下netstat.exe调用Iphlpapi.dll导出的Interna
进程与端口映射
weixin_34248258的博客
02-20 153
文章目录:                   1. Demo 效果展示: 2. 进程和端口乱扯淡: 3. 查询进程和端口的 API 的介绍: 4. 根据进程 ID 获得该进程所打开的 TCP 和 UDP 端口: 5. 根据端口号来获得打开该端口号的进程: 6. 小结:                           1. Demo 效果展示:             ...
PortHidDemo_Vista
08-01 1377
///////////////////////////////////////////////////////////////////////////////////////// Filename: PortHidDemo_Vista.c// // Author: CardMagic(Edward)// Email: sunmy1@sina.com// MSN:  onlyonejazz at h
我是HDRoot!
weixin_33978016的博客
03-08 352
virustracker · 2015/10/20 12:14原文:securelist.com/analysis/pu…securelist.com/analysis/pu…之前,我们在追踪Winnti小组的活动期间,偶然遇到了一个非常有趣的样本。这个样本使用了VMProtect强壳,是一个Win64可执行程序,使用了一个来自中国广州YuanLuo科技的未知签名。并且,这个可执行文件的属性与微软...
完整版挂钩程序.rar
04-02
【标题】:“完整版挂钩程序.rar”通常指的是一个包含了完整的挂钩程序源代码或者可执行文件的压缩包。在计算机编程领域,"挂钩程序"(Hook Program)是一种技术,用于拦截和处理系统或应用程序中的特定事件,通常是...
风险导向审计下计算机审计模块的设计研究.doc
11-21
风险导向审计下计算机审计模块的设计研究 风险导向审计是现代审计发展的最新趋势,对注册会计师审计理念、审计程序及审计责任产生深远影响。计算机辅助审计成为一种必然趋势,旨在提高审计效率、降低审计风险。因此...
Windows进程信息注入与API挂钩技术研究.pdf
11-05
Windows进程信息注入与API挂钩技术研究.pdf
论文研究-Windows下基于挂钩技术的数据标注 .pdf
08-16
Windows下基于挂钩技术的数据标注,王丽艳,张志斌,清晰标注网络数据对研究和实际工程都有很重要的意义,现阶段的研究主要是采用人工模拟和DPI分析。人工模拟引入人为因素,受到实验
PCHunter支持内核驱动模块的内存拷贝
04-28
1.进程、线程、进程模块、进程窗口、进程内存信息查看,杀进程、杀线程、卸载模块等功能   2.内核驱动模块查看,支持内核驱动模块的内存拷贝   3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Nsiproxy、Tdx、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看,并能检测和恢复ssdt hook和inline hook   4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等近20多种Notify Routine信息查看,并支持对这些Notify Routine的删除   5.端口信息查看,目前不支持2000系统   6.查看消息钩子   7.内核模块的iat、eat、inline hook、patches检测和恢复   8.磁盘、卷、键盘、网络层等过滤驱动检测,并支持删除   9.注册表编辑   10.进程iat、eat、inline hook、patches检测和恢复   11.文件系统查看,支持基本的文件操作   12.查看(编辑)IE插件、SPI、启动项、服务、Hosts文件、映像劫持、文件关联、系统防火墙规则、IME   13.ObjectType Hook检测和恢复   14.DPC定时器检测和删除   15.MBR Rootkit检测和修复   16.内核对象劫持检测
易语言WIN7网络连接查看器
07-21
易语言WIN7网络连接查看器源码,WIN7网络连接查看器,子程序1,PID取进程名,LoadLibraryA,GetProcAddress,InternalGetTcpTable2,GetProcessHeap
netStat逆向分析
weixin_30296405的博客
03-26 171
  netStat和Fport的功能差不多,据说xp上比fport少某些功能,但是我的xp可能比较特殊,fport的功能netStat上的都有,一头雾水地抓起WIn7的netStat就开始分析。      目标是五个功能 本地地址 [ip + 端口] 外部地址 [ip + 端口] 状态 PID 所有权信息   还是先通过IDA和OD,找到程序关键的函数 DoConnecti...
windows网络连接表 根据连接远程的ip端口判断本地程序
xmas
06-29 518
#include #include #include #include #include #include #pragma comment(lib, "ws2_32.lib") #pragma comment(lib, "iphlpapi.lib") #ifdef NTDDI_VERSION #if(NTDDI_VERSION>=0x0600) typedef en
user port and process
nethm的专栏
12-18 524
<br />//Netstat -anb<br />#pragma once<br />#pragma once<br />#include <Windows.h><br />#include <Psapi.h><br />#include <Iprtrmib.h><br />#include  <iostream><br />#pragma comment(lib,"Iphlpapi.Lib")<br />#pragma comment(lib,"Psapi.lib")<br />#pragma comm
nsis接收命令行参数,实现动态安装
卫可冬的博客
07-05 7837
; Script generated by the HM NIS Edit Script Wizard. var str4500 var str4501 var str4700 var strProductName !include "logiclib.nsh" !include "FileFunc.nsh" Name "DC系列" OutFile "Setup.exe" SilentI
NSI Module Hook : Hiding Port Under Windows Vista
08-13 1866
cardmagic writes: Windows Vista has changed alot on network module, many old port hiding materials are no longer usable.In this post, I will share with you a simple code to hide port under Vista,hope
使用Windbg查看系统SSDT表与ShadowSSDT表
baggiowangyu的专栏
12-08 6816
x86操作系统 1. 查看当前系统是否已经载入win2k.sys的相关符号信息: kd> lm start end module name 80586000 8058f000 kdcom (deferred) 80e03000 81391000 nt (pdb symbols) d:\symb
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值