[原创] Ring3挂钩实现网址过滤、重定向——《另类挂钩-RING3数据包监视》应用...

最新推荐文章于 2024-04-17 14:28:13 发布
最新推荐文章于 2024-04-17 14:28:13 发布
阅读量188 收藏 1
点赞数
文章标签: php 运维
原文链接:http://www.cnblogs.com/bits/archive/2009/11/08/Ring3_Hook-NtDeviceIoControlFile_Redirect_301.html
版权

转一份本地备份,原帖发在看雪的:http://bbs.pediy.com/showthread.php?t=100847

 

这份代码演示了如何根据黑名单过滤指定URL(可以实现简单的网页防火墙),并且演示了一种最容易实现的页面劫持方法(重定向)。当然,使用这个方法钓鱼是绝对禁止的,出了任何问题都与本人无关

 

实现原理:
1. 网址的黑名单过滤最简单,如果不需要模式匹配的话可以直接 Pos() 查找Buffer中是否包含指定字符串,有则直接返回失败(例如0xC0000001),让系统不发送这个请求包。
2. 页面劫持就是指将一个网站(或页面)的访问重定向到我们指定的网址上,这个电信以前干得比较多,他们是通过DNS实现的。这里通过修改服务器的返回数据,替换成 HTTP/1.1 301 来欺骗浏览器,比直接修改GET报文更方便,而且可以跨站。

 

都在原来代码的基础上修改而来,完整工程见文章末尾,下面是新增的处理部分:

   //  过滤参数
  Block_Filter  =   ' google.com ' ;             //  阻止所有对 google.com 的请求
   //  重定向参数
  URL_Filter  =   ' bbs.pediy.com ' ;            //  要重定向的URL (小写)
  Redirect_String: AnsiString  =             //  重定向字符串(使用 HTTP  301 )
       ' HTTP/1.1 301 Moved Permanently ' # 13 # 10 ' Location:  '   +
       ' http://www.baidu.com/search/error.html '   +
      # 0 ;

 in   function  NewNtDeviceIoControlFile():
     case  IoControlCode  of
      AFD_SEND:
         if  ( LookupSendPacket(Buffer, Len) )  then
         begin
           //  输出包内容
          OutputDebugString(PChar(Format( ' [HTTP Send] Handle = %0.8X, Length = %d ' , [FileHandle, Len])));
          OutputDebugString(PChar(Format( ' %s ' , [StrPas(Buffer)])));
          tmpStr : =  LowerCase(String(StrPas(Buffer)));

         {   网址过滤实现   }
           if  (Pos(Block_Filter, tmpStr)  >   0 then
           begin
            OutputDebugString(PChar(Format( ' >>> "%s" was blocked. ' , [Block_Filter])));
            Result : =  $C0000001;       //  返回失败让系统丢掉这个包
           end ;

         {   重定向实现   }
           //  查找发送的数据中是否包含 URL_Filter 中的字符串
           if  (Pos(URL_Filter, tmpStr)  >   0 then
           begin
             //  匹配到 URL_Filter,将Handle加入 SessionList
            tmpStr : =  IntToHex(FileHandle,  8 );
             if  (SessionList.IndexOf(tmpStr)  =   - 1 then    //  如果没有这个Handle
              SessionList.Add(tmpStr);
           end ;
         end ;
      AFD_RECV:
         if  ( LookupRecvPacket(Buffer, Len) )  then
         begin
           //  输出包内容
          OutputDebugString(PChar(Format( ' [HTTP Recv] Handle = %0.8X, Length = %d ' , [FileHandle, Len])));
          OutputDebugString(PChar(Format( ' %s ' , [StrPas(Buffer)])));

         {   重定向实现   }
           //  在SessionList查找Handle,找到则进行重定向
          tmpStr : =  IntToHex(FileHandle,  8 );
          Index : =  SessionList.IndexOf(tmpStr);
           if  (Index  >=   0 then
           begin
            SessionList.Delete(Index);
             //  修改缓冲区内容为重定向字符串
             if  (Len  >=  DWORD(Length(Redirect_String)))  then
              CopyMemory(Buffer, @Redirect_String[ 1 ], Length(Redirect_String));
            OutputDebugString(PChar(Format( ' >>> Redirect "%s" to a new page. ' , [URL_Filter])));
           end ;
         end ;
     end ;

 

为了方便实现,利用了 TStringList.IndefOf() 查找Socket句柄,考虑效率的话建议自己实现查询算法。

注入dll到浏览器后就能看到效果,这段代码会阻止所有对 google.com 的访问,并且将看雪论坛的请求全部重定向到百度的错误页面上

 

完整工程源码r3_Hook_NtDeviceIoControl_Redirect301_src.rar

转载于:https://www.cnblogs.com/bits/archive/2009/11/08/Ring3_Hook-NtDeviceIoControlFile_Redirect_301.html

weixin_30853329
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
驱动层ring0和应用ring3软件通信.zip
01-27
驱动层ring0和应用ring3软件通信.zip
114.网络安全渗透测试—[权限提升篇12]—[Windows 2003 ZendDLL劫持提权&msf本地提权&msf持久后门]
qwsn
07-07 2214
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 在php里面有一个扩展是zend。 IIS6.0 在启动的时候或进程重启的时候,当有用户访问php网页,则会加载我们伪造的ZendExtensionManager.dll文件,该伪造的文件通过hack工具可以实现反弹Shell功能。 已经获得了靶机的一个webshell,且zend.dll是可读可写的。 (2)靶机链接: URL:第一步:【获取webshell过程略】,以下是提权过程:第二步
关于HOOK浏览器NtDeviceIoControlFile函数,修改POST数据的问题
陈刚编程心得与知识集
02-07 3564
HOOK了IE的NtDeviceIoControlFile函数,想修改POST发包的数据,IE做POST数据时,会发送两个包,一个是HTTP头,一个是数据,如果修改的数据长度跟原数据长度相等,则可以直接修改数据,不会有问题,但如果数据长度不相等,则需要先修改HTTP头里的Content-length参数,然后再在第二个数据包发送的时候修改数据Buffer。   我的问题是,在第二种情况下,修改
ring3挂钩Native API 简单实现文件防删除
09-26 1005
简单实现文件防删除,说简单是因为没有用很底层的技术,例如文件驱动之类。我只用最简单的方法实现了, 使用 ring3 的API hook 技术。随着技术的发展这种技术已经过不了很多的主动防御技术了。主要是思路和方法和分析过程。(高手飘过)ring3 下挂钩 API 基本上也就是修改导入表,和Inline hook 修改前5个字节这几种方法。挂钩Native API 没有什么区别,也就是多声明几个结构
C/C++:Windows编程—Hook IE浏览器实现URL拦截及更改(上)
重庆李四
12-29 4838
Hook IE浏览器实现URL拦截及更改 前言+思路 笔者这里有个需求,针对IE浏览器 用户访问URL 做一个判断,是否为 限制访问的url,如果是 在另一个软件上给与警告提示。笔者在拿到这个需求的时候也是网上一顿找,在csdn上找到一篇 hook IE 总结。这篇文章给我一些思路,获取IE浏览器访问的URL 那么需要知道 IE浏览器访问URL 用的那种方式,从这文章提示使用 WININET.dl...
Dll.rar_VB HookOpenProce_hook_openprocess_ring3 hook_vb HookOpen
09-24
完整的ring3 hook openprocess 包含 VB 調用例子而且非常穩定
ring3用户级应用程序与ring0内核级驱动程序之间的调用,通信.zip
01-25
ring3用户级应用程序与ring0内核级驱动程序之间的调用,通信.zip
Win7-ring3-write-directly.rar_site:www.pudn.com_硬盘
09-24
Win7 ring3直接写硬盘的简单分析
Ring3Enumprocess.rar_Hide ring3_hide process_ring3_进程_隐藏进程
07-14
一个非常实用的ring3下检查隐藏进程实例。
硬盘序列号修改驱动
12-19
通过ssdt hook去修改NtDeviceIoControlFile函数的地址,当应用程序查询硬盘序列号时进行修改
Win64 驱动内核编程-16.WFP网络监控驱动(防火墙)
热门推荐
天使也掉毛
03-14 1万+
WFP驱动监控网络     WFP 是微软推出来替代 TDI HOOK、NDIS HOOK 等拦截网络通信的方案,WFP 的框架非常庞大,在 RING3 和 RING0 各有一套类似的函数,令人兴奋的是,即使在 R3 使用 WFP,也可以做到全局拦截访问网络。由于 WFP 的范围太广,实在难以一言概括,感兴趣的朋友可以自行到 MSDN 上查看微软对它的官方概述。本文的目的,是给大家理顺 WFP 
Win 7下过盛*大,H*S驱动保护
o6108的专栏
07-21 1821
时间:2013年7月21日 星期日 作者:绿林科技 QQ:1473656864         大家调试的时候都可以知道,盛*大游戏(泡泡堂)的外壳是Themida,可以用OD创建进程,但不能附加游戏,本来想只用一个驱动文件来过保护的,但在Win 7的HOOK里判断进程名,会出问题,导致系统奔溃,而这在Win XP却不会,个人比较郁闷!         所以用了另一个办法来
[转]另类挂钩 RING3数据包监视---------看雪 qihoocom
weixin_34267123的博客
02-04 221
另类挂钩 RING3数据包监视 前几天朋友让帮忙写一个RING3程序来监视TCP包并做数据包分析 本来想HOOK ws2_32!WSASend/Send/WSARecv/Recv,后来发现网上的方法都非常挫,尽是不稳定的HEADER INLINE和修改内存~用SPI之类的,又很麻烦 于是自己写了一种方式实现,非常简单,隐蔽,而且在RING3下应该算是最底层的数据包拦截点了~ ...
[x64驱动] - WFP网络监控驱动
墨鱼菜鸡
08-20 362
背景 WFP 是微软推出来替代 TDI HOOK、NDIS HOOK 等拦截网络通信的方案,WFP 的框架非常庞大,在 RING3 和 RING0 各有一套类似的函数,令人兴奋的是,即使在 R3 使用 WFP,也可以做到...
WFP开发学习笔记
心碎瞬间的博客
12-13 5312
通过WFP获取、修改、放行、拦截数据
抓取电商产品数据的方法|PHP|Python多语言环境|高并发需求|电商商品API接口数据采集
最新发布
TinagirlAPI的博客
04-17 325
解决方案:集成订单管理系统和物流跟踪功能,让客户能够方便地处理订单、发货,并为用户提供实时的物流跟踪信息。- 解决方案:支持信用卡、借记卡、PayPal等流行的在线支付方式,确保用户可以选择最适合自己的付款方式。- 解决方案:采用高性能的服务器、CDN加速服务、优化网站代码等措施,确保网站能够快速响应并保持稳定性。- 解决方案:整合营销工具,如优惠券系统、积分奖励、折扣活动等,提供多样的促销方式来吸引客户。- 解决方案:采用SSL加密技术保护网站的安全性,遵守相关法规和标准,确保用户数据安全。
Ring0、Ring1、Ring2、Ring3
07-25
Ring0、Ring1、Ring2和Ring3是指x86架构中的特权级别,也被称为特权环或特权层。这些特权级别用于控制操作系统和应用程序对计算机硬件和资源的访问权限。 在x86架构中,系统中的所有指令和操作都被分为特权指令和非特权指令。特权指令需要在更高的特权级别下执行,而非特权指令可以在较低的特权级别下执行。 以下是对每个特权级别的简要说明: 1. Ring0(内核模式):也称为内核模式或特权级0,它具有最高的特权级别。在Ring0中,操作系统内核运行,并且可以直接访问和控制计算机的所有硬件资源,如内存、CPU和设备等。只有在Ring0中才能执行一些敏感的操作和特权指令。 2. Ring1(驱动程序模式):也称为驱动程序模式或特权级1,它具有比Ring0低的特权级别。在Ring1中,驱动程序可以运行,并且可以执行一些受限制的操作,如对硬件设备的直接访问。Ring1通常用于操作系统的设备驱动程序。 3. Ring2(自定义模式):也称为自定义模式或特权级2,它具有比Ring1低的特权级别。在Ring2中,可以执行一些较为受限制的操作,但通常不被广泛使用。 4. Ring3(用户模式):也称为用户模式或特权级3,它具有最低的特权级别。在Ring3中,运行着用户应用程序,如浏览器、办公软件等。在这个特权级别下,应用程序只能访问受限的资源,并且无法直接访问硬件资源。 特权级别的设计使得操作系统可以有效地控制和保护系统资源,防止恶意应用程序或用户对系统进行未授权的访问和操作。通过限制应用程序的特权级别,可以增强系统的安全性和稳定性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值