3月12日,hook NAtive API

最新推荐文章于 2018-09-21 10:58:05 发布
最新推荐文章于 2018-09-21 10:58:05 发布
阅读量4.5k 收藏
点赞数
分类专栏: 日记 文章标签: hook api descriptor service table object
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/uuty/article/details/318255
版权

undocument 上的那段hook nAtive Api的太多也太复杂了,自己先hook个简单的,想hook一个nAtive Api,记录下调用这个API的进程的id,并返给user-mode程序,再调用真正的APi ,现在实现了第一步,hook住了,并能给扯下来,而不蓝屏(就这么屁大点儿的事儿弄了一下午,蓝了n次),下一步就是怎样在ring 0下申请下一快空间,记录id,并在user-mode程序要求时返给它

#include <ntddk.h>
#pragma comment (lib,"ntdll.lib")
typedef NTSTATUS (NTAPI *NTPROC) ();
typedef NTPROC *PNTPROC;
#define NTPROC_ sizeof (NTPROC)

typedef struct _SYSTEM_SERVICE_TABLE
        {
/*000*/ PNTPROC ServiceTable;           // array of entry points
/*004*/ LONG*  CounterTable;           // array of usage counters
/*008*/ LONG   ServiceLimit;           // number of table entries
/*00C*/ UCHAR   ArgumentTable;          // array of byte counts
/*010*/ }
        SYSTEM_SERVICE_TABLE,
     * PSYSTEM_SERVICE_TABLE,
    **PPSYSTEM_SERVICE_TABLE;

#define SYSTEM_SERVICE_TABLE_ /
        sizeof (SYSTEM_SERVICE_TABLE)
//--------------------------------------------------------------------
typedef struct _SERVICE_DESCRIPTOR_TABLE
        {
/*000*/ SYSTEM_SERVICE_TABLE ntoskrnl;  // ntoskrnl.exe (native api)
/*010*/ SYSTEM_SERVICE_TABLE win32k;    // win32k.sys   (gdi/user)
/*020*/ SYSTEM_SERVICE_TABLE Table3;    // not used
/*030*/ SYSTEM_SERVICE_TABLE Table4;    // not used
/*040*/ }
        SERVICE_DESCRIPTOR_TABLE,
     * PSERVICE_DESCRIPTOR_TABLE,
    **PPSERVICE_DESCRIPTOR_TABLE;

#define SERVICE_DESCRIPTOR_TABLE_ /
        sizeof (SERVICE_DESCRIPTOR_TABLE)
//--------------------------------------------------------------------
extern PSERVICE_DESCRIPTOR_TABLE KeServiceDescriptorTable;

VOID utyDriverUnloAd(IN PDRIVER_OBJECT DriverObject);
NTSTATUS utyDriverIO(IN PDEVICE_OBJECT DeviceObject,IN PIRP Irp);
NTSTATUS utyDriverIOControl(IN PDEVICE_OBJECT,IN PIRP Irp);
NTPROC utyFunction(void);


PDEVICE_OBJECT utyDriverDeviceObject = NULL;
ULONG out_size;
LONG temp;
NTSTATUS DriverEntry (PDRIVER_OBJECT DriverObject,
       PUNICODE_STRING RegistryPAth)
{
 UNICODE_STRING ntDeviceNAme;
 UNICODE_STRING win32DeviceNAme;
 NTSTATUS stAtus;
 PNTPROC ServiceTAble;

 RtlInitUnicodeString(&ntDeviceNAme,L"//Device//utyDriver");
 if (!NT_SUCCESS(stAtus = IoCreateDevice(DriverObject,0,&ntDeviceNAme,
           FILE_DEVICE_UNKNOWN,0,FALSE,
           &utyDriverDeviceObject)))
   return STATUS_NO_SUCH_DEVICE;
 utyDriverDeviceObject->Flags |= DO_BUFFERED_IO;
 RtlInitUnicodeString(&win32DeviceNAme,L"//DosDevices//utyDriver");
 
 if (!NT_SUCCESS(stAtus = IoCreateSymbolicLink(&win32DeviceNAme,&ntDeviceNAme)))
  return STATUS_NO_SUCH_DEVICE;
 DriverObject->MajorFunction[IRP_MJ_CREATE  ] = utyDriverIO;
 DriverObject->MajorFunction[IRP_MJ_CLOSE  ] = utyDriverIO;
 DriverObject->MajorFunction[IRP_MJ_READ   ] = utyDriverIO;
 DriverObject->MajorFunction[IRP_MJ_WRITE  ] = utyDriverIO;
 DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL]= utyDriverIOControl;
 DriverObject->DriverUnload        = utyDriverUnloAd;


 InterlockedExchange((PLONG)&temp,*((LONG*)KeServiceDescriptorTable->ntoskrnl.ServiceTable+ 151));
 InterlockedExchange((PLONG)KeServiceDescriptorTable->ntoskrnl.ServiceTable+ 151,(LONG)utyFunction);


 return STATUS_SUCCESS;
}
//-------------------------------------------------------------------------------------
VOID utyDriverUnloAd(IN PDRIVER_OBJECT DriverObject)
{
 UNICODE_STRING win32DeviceNAme;

 InterlockedExchange((PLONG)KeServiceDescriptorTable->ntoskrnl.ServiceTable+ 151,(LONG)temp);

 RtlInitUnicodeString(&win32DeviceNAme,L"//DosDevices//utyDriver");
 IoDeleteSymbolicLink(&win32DeviceNAme);

 IoDeleteDevice(utyDriverDeviceObject);
}
//-------------------------------------------------------------------------------------
NTSTATUS utyDriverIO(IN PDEVICE_OBJECT DeviceObject,IN PIRP Irp)
{
 Irp->IoStatus.Status = STATUS_SUCCESS;
 IoCompleteRequest(Irp,IO_NO_INCREMENT);
 return Irp->IoStatus.Status;
}
//-------------------------------------------------------------------------------------
NTSTATUS utyDriverIOControl(IN PDEVICE_OBJECT DeviceObject,IN PIRP Irp)
{
 PIO_STACK_LOCATION stAck;
 UCHAR *in_buffer,*out_buffer;
 ULONG code,ret;


 stAck = IoGetCurrentIrpStackLocation(Irp);
 //out_size = stAck->Parameters.DeviceIoControl.OutputBufferLengeh;
 code = stAck->Parameters.DeviceIoControl.IoControlCode;

 in_buffer = out_buffer = Irp->AssociatedIrp.SystemBuffer;

 ret = STATUS_SUCCESS;

 /*switch(code)
 {
 }*/
 return ret;
}
//-------------------------------------------------------------------------------------
NTPROC utyFunction(void)
{
 return STATUS_SUCCESS;
}
//-------------------------------------------------------------------------------------

基本照抄hxdef100的,其实在第一步中,只需要DriverEntry和DriverUnloAd就行了,

开始一大堆是用来定义SERVICE_DESCRIPTOR_TABLE的,奇怪的是居然DWORD通不过编译,用LONG代替,

被hook的函数我选择的是NtReAdFile,比较容易看出效果,当替换的时候,似乎必须用 InterlockedExchange

特别需要注意的是指针的用法,比如InterlockedExchange((PLONG)&temp,*((LONG*)KeServiceDescriptorTable->ntoskrnl.ServiceTable+ 151));
,(LONG*)KeServiceDescriptorTable->ntoskrnl.ServiceTable 是指针,加151是移动了151*4个地址,既增加了151个指针的长度,,((LONG*)KeServiceDescriptorTable->ntoskrnl.ServiceTable+ 151)仍然是个指针,需要这个指针所指向的函数的入口地址,就要用*,,*((LONG*)KeServiceDescriptorTable->ntoskrnl.ServiceTable+ 151),这一步也是让我最郁闷的,hook前先保留NtReAdFile的地址,,不hook了再把保存的地址还回去,没搞懂指针,结果回的地址总是不对,,通过sice看汇编会比看c程序清楚很多

uuty
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Native api hook参考资料文档
LoopherBear的博客
11-19 658
Native api hook技术分为两种类型的Hook,GOT-hook和inline-hook,以下是一些参考资料,主要针对armeabi-v7a,arm64-v8a系列CPU。 GOT-HOOK参考文档: 开源框架xhook xhook的原理是GOT-HOOK的一种称为PLT(Procedure Linkage Table)过程连接表Hook。 Github地址:https://g...
HOOK Native API
qq_31314583的博客
06-29 278
平时难免需要在应用层hook一些东西,而且ntdll这种核心dll也在劫难逃。 DetoursNT VC-LTL 不配置 DETOURSNT_NO_CRT C++ 异常 否 基本运行时检测 默认 运行库 MT 附加依赖项 libucrtd.lib 启用VC-LTL 设置
【翻译】系统范围内挂钩Native API控制进程创建(SSDT HOOK)
Leo的专栏
12-15 1439
作者:Anton Bassov原文地址:[url]http://www.codeproject.com/KB/system/soviet_protector.aspx[/url]该文同时发表于看雪论坛:http://bbs.pediy.com/showthread.php?t=126574简介最近我偶然看到一款叫作Sanctuary的安全产品的介绍,这个产品非常有趣.它可以阻止任何程序的的运行,只要在特定机器的"允许运行软件列表"中没有这个软件.因此,PC用户就可以对抗间谍插件,蠕虫和木马--即使一些恶意软
Hook windows native API 的示例源代码
01-25
Hook windows native API
转:native api的学习笔记
创造神话,实现梦想!
12-21 1301
最近在学习native api,做个笔记,以后可能用得上 首先要明白NATIVE api是什么? 我比较喜欢这样理解: native API 可以译做“原生API
apihook.rar_APIHOOK_api hook_hook api
09-14
标题"apihook.rar_APIHOOK_api hook_hook api"提及的可能是一个包含API Hook相关示例或库的压缩包文件。"www.pudn.com.txt"可能是一个文档,提供了关于API Hook的更多背景信息或使用指南。而"apihook"可能是源代码...
HOOKAPI.rar_api hook_hook api_hookapi
最新发布
09-24
3. **安装Hook**:在目标进程中安装钩子,确保在需要监控的API调用发生之前,钩子已经生效。这通常涉及到进程间通信(IPC)和内存操作。 4. **处理Hook回调**:当API被调用时,钩子函数会被触发。根据需求,钩子...
apihook钩子 api函数拦截.zip
03-28
API Hook是一种技术,它允许程序员拦截和修改操作系统或其他软件组件中的特定函数调用。这种技术在系统监控、调试、安全分析以及恶意软件中都得到广泛应用。API Hook通过将原本的函数地址替换为自定义的处理代码,...
Native API 和一般 API 的 IAT Hook
09-03
标题中的“Native API 和一般 API 的 IAT Hook”是指在编程中使用钩子技术来拦截和修改系统调用或库函数的行为。IAT(Import Address Table)是Windows操作系统中的一个概念,它存储了程序在运行时如何访问导入的...
C# 优雅的 APIHOOK 支持X86+X64源码
09-21
using System; using System.Runtime.InteropServices; namespace NativeHook.Test { public delegate Int32 MessageBoxW(IntPtr hWnd, [MarshalAs(UnmanagedType.LPWStr)] string lpText, [MarshalAs(UnmanagedType.LPWStr)] string lpCaption, UInt32 uType); public class MessageBoxHook : NtAPIHook { [DllHook("user32", EntryPoint = "MessageBoxW")] public Int32 MessageBox(IntPtr owner, string text, string caption, UInt32 options) { //拦截信息 Console.Title = caption; Console.WriteLine(text); //调用源函数 return Origin.Invoke(owner, text, caption, options); } } } [STAThread] static void Main(string[] args) { using (var hook = new MessageBoxHook()) { //绕过Hook直接调用源函数 hook.Origin(IntPtr.Zero, "111", "222", 0); //调用ApiHook MessageBox.Show("Hello world", "666", MessageBoxButtons.YesNoCancel); } //Hook解除拦截不到 MessageBox.Show("Hello world", "666", MessageBoxButtons.YesNoCancel); }
C# API-Hook / x86
10-15 779
API-Hook是拦截或改变API函数执行的结果技术,百度百 科上有不少注解 但却是IAT-Hook,与本文的Inline-Hook不是 太一至,但是本质作用是相同的 而两种Hook都有各自的优势 与劣势、那么下面我们开始了解什么是Inline-Hook它的原理又 是如何 当然你可以变通的试试(Mem-Hook)内存挂钩 当然我希 望观摩过本帖的开发人员 可以告别EasyHook   
.NETHookAPI
瞎几把学
08-21 1290
http://dotnethook.sourceforge.net/ 这里有对.NET程序进行hook的文档和代码下载,值得学习一下。
基于frida框架Hook native中的函数(1)
热门推荐
Fly20141201. 的专栏
06-24 1万+
0x01 前言关于android的hook以前一直用的xposed来hook java层的函数,对于so层则利用adbi,但是不知道为什么adbi给我的体验并不是很好,刚好前段时间了解到frida框架支持android、ios、linux、windows、macos,而且在android设备上可以同时hook java、native十分方便,最重要的一点是不需要重启手机,于是就研究了一下0x02 ...
android native hook方法
云守护的专栏
06-08 8020
android  native hook方法 主要分为: GOT HOOK 即import table hook(导入表hook) inline hook(内联hook) export table hook (导出表hook)   一、导入表(GOT HOOK) 熟悉ELF结构的读者都知道,SO引用外部函数的时候,在编译时会将外部函数的地址以Stub的形式存放在.GOT 表中,加载
C# 优雅的实现ApiHook
记事本
09-21 2630
全部源码下载:https://download.csdn.net/download/vblegend_2013/10680642  通过继承NtAPIHook&lt;泛型委托&gt; 定义API ,并提供绕过Hook的源函数Origin委托 此模块支持 32位和64位   Hook处理类 using System; using System.Runtime.InteropService...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值