java 内核驱动_内核驱动 - HOOK SSDT

最新推荐文章于 2023-12-07 21:39:03 发布
最新推荐文章于 2023-12-07 21:39:03 发布
阅读量127 收藏
点赞数
文章标签: java 内核驱动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35600369/article/details/114783866
版权

1 //

2 //

3 //驱动编程: HOOK SSDT4 //5 //

6 #include "ntddk.h"

7

8 //全局变量9 //声明NtOpenProcess 函数指针

10 typedef NTSTATUS (_stdcall *NTOPENPROCESS ) ( __out PHANDLE ProcessHandle,11 __in ACCESS_MASK DesiredAccess,12 __in POBJECT_ATTRIBUTES ObjectAttributes ,13 __in_opt PCLIENT_ID ClientId );14

15 ULONG g_nOldNtOpenProcessAddr ; //存储NtOpenProcess原地址16

17 //内存字节对齐

18 #pragma pack(1)

19

20 //struct: ServiceDescriptorEntry_t

21 typedef structServiceDescriptorEntry22 {23 unsigned int * ServiceTableBase; //SSDT 基址+偏移 (索引 )定位内核函数

24 unsigned int * ServiceCounterTableBase; //checked build

25 unsigned int nNumberOfServices; //SSDT 中函数个数

26 unsigned char * ParamTableBase; //SSDT中函数的参数

27 }ServiceDescriptorEntry_t, *PServiceDescriptorTableEntry_t;28

29 #pragma pack()

30

31 //导出( 微软未公开,需导出 )

32 _declspec(dllimport ) ServiceDescriptorEntry_t KeServiceDescriptorTable;33

34

35 //恢复内存页保护

36 voidfnPageProtectOn ()37 { //【 or】 : 按位“或”运算 ,当且仅当两操作数对应位都为“”时

38 _asm //结果相应位为“”,否则结果相应位为“”。

39 {40 mov eax, cr0 //cr0寄存器内核保护标志位当前为

41 or eax,10000h //将 h通过 or汇编指令按位 "或" 运算,cr0寄存器标志位

42 mov cr0, eax //从变为 ,从而达到恢复内存保护页的目的

43 sti //sti汇编指令: 允许中断发生

44 }45 }46

47 //清除内存页保护

48 voidfnPageProtectOff ()49 { //【 and】 : 按位“与”操作 ,当且仅当两操作数对应位都为“”时

50 _asm //结果的相应位为“”,否则结果相应位为“”。

51 {52 cli //cli汇编指令: 禁用中断发生 ;当修改中断向量或堆栈指针时 ,53 //必须先禁用 ,否则产生中断会破坏当前的环境 ,造成程序崩溃

54 mov eax, cr0 //cr0寄存器保存了内核保护的标志位 :保护状态 ,否则为 ;

55 and eax, not 10000h //将 h取反并通过 and指令按位 "与" 运算,cr0寄存器标志

56 mov cr0, eax //位从变成 ,从而达到了取消内存页保护的目的

57 }58 }59

60

61 //实际执行NtOpenProcess 函数的函数

62 NTSTATUS fnNewNtOpenProcess ( __out PHANDLE ProcessHandle,63 __in ACCESS_MASK DesiredAccess,64 __in POBJECT_ATTRIBUTES ObjectAttributes,65 __in_opt PCLIENT_ID ClientId)66 {67 //PEPROCESS结构体偏移 x16c即 :ImageFileName 存放的是当前进程的名称

68 KdPrint(( "当前调用fnNewNtOpenProcess 函数的进程: %s", (UCHAR*)PsGetCurrentProcess ()+0x16c));69

70 //g_nOldNtOpenProcessAddr中存储原 NtOpenProcess地址, 强制转换成原函数指针类型后下发

71 return((NTOPENPROCESS)g_nOldNtOpenProcessAddr )(ProcessHandle , DesiredAccess,ObjectAttributes , ClientId );72 }73

74 NTSTATUS fnHookNtOpenProcess (void)75 {76 /**************************************************************************************77 //ULONG nIndex;78 // 遍历SSDT 中函数的内存地址79 for ( nIndex=0; nIndex

84

85 //关闭页保护

86 fnPageProtectOff();87

88 //替换目标函数地址前 ,先保存原地址

89 g_nOldNtOpenProcessAddr = KeServiceDescriptorTable.ServiceTableBase [190];90

91 //NtOpenProcess内存地址保存在 pnServiceTableBase索引第位,92 //将 NtOpenProcess内存地址替换为目标函数内存地址 (fnNewNtOpenProcess)

93 KeServiceDescriptorTable. ServiceTableBase[190] = (unsigned int)fnNewNtOpenProcess ;94 //恢复页保护

95 fnPageProtectOn();96 returnSTATUS_SUCCESS;97 }98

99 //卸载hook

100 voidfnUnHookNtOpenProcess ()101 {102 //先关闭内存页保护

103 fnPageProtectOff();104 //再恢复 NtOpenProcess

105 KeServiceDescriptorTable. ServiceTableBase[190] = (unsigned int)g_nOldNtOpenProcessAddr ;106 //最后恢复页保护

107 fnPageProtectOn();108 }109

110 //卸载驱动

111 voidfnUnLoadDriver (PDRIVER_OBJECT pDriverObj )112 {113 fnUnHookNtOpenProcess(); //卸载 Hook

114 KdPrint(( "驱动卸载成功!"));115 }116 //驱动入口

117 NTSTATUS DriverEntry (PDRIVER_OBJECT pDriverObj , PUNICODE_STRING pszRegisterPath )118 {119 KdPrint(( "驱动加载成功!"));120 fnHookNtOpenProcess(); //开始 Hook

121 pDriverObj-> DriverUnload =fnUnLoadDriver;122 returnSTATUS_SUCCESS;123 }

朱凤仙
关注
Java中Collectors.toMap()的基本使用方法和使用场景
hkl_Forever的博客
10-17 1万+
1、Collectors.toMap()是Java8引入的流特性,可以把集合转换为Map集合,转换对象中的key不可重复,重复会报错。4、List转Map,id作为key,name作为value,如果Id重复取最后一个name。2、List转Map,id作为key,name作为value,如果Id重复取第一个name。3、List转Map,id作为key,元素对象作为value,如果Id重复取第一个元素。2、List转Map,id作为key,name作为value,id不可重复。
SSDT Hook_内核_x86_ssdthook_驱动_
10-03
本项目"SSDT Hook_内核_x86_ssdthook_驱动_"显然是一个针对32位(x86架构)系统的SSDT Hook实现示例,通过提供的文件名如"SSDT Hook.sln",我们可以推断这可能是一个Visual Studio解决方案文件,包含了项目的源代码...
java 内核驱动程序,详解将驱动程序编译进Linux内核
weixin_42509888的博客
03-20 112
1、进入目录linux-kernel-samsung-dev\drivers\char2、新建目标目录01.led,将驱动相关文件复制到此目录注:需确保复制的驱动文件是能正常运行的驱动3、在目录01.led里编写Kconfig文件menu "xxx"config XXX_LEDtristate "xxx_ggg210_led"default nhelpThe led water made by x...
内核HOOK的几种实现与应用
ljtt的专栏
06-24 1098
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们 添加文章 English Version  文章分类  专题文章 漏洞分析 安全配置 黑客教学 编程技术 工具介绍 火墙技术 入侵检测 破解专题 焦点公告 焦点峰会  文章推荐  LSD RPC 溢出漏洞之分析 任意用户模式下执行 ring 0 代码 IIS的NSIISLOG.
Rootkit---HOOK内核驱动
q759451733的博客
04-16 1329
当插入一个内核驱动时,一般会使用工具insmod,该工具实际上调用了系统调用init_module,在该系统调用函数中,首先调用 load_module,把用户空间传入的整个内核模块文件创建成一个内核模块,返回一个struct module结构体。内核中便以这个结构体代表这个内核模块。 init_module系统调用定义,可以看到主要是调用了load_module。 在load_module中,主要prepare_coming_module,准备将内核模块进行加载。 prepare_coming_mo
驱动开发:内核层InlineHook挂钩函数
CSDN
10-31 9527
在上一章中,LyShark教大家如何通过LDE64引擎实现计算反汇编指令长度,本章将在此基础之上实现内联函数挂钩,内核中的InlineHook函数挂钩其实与应用层一致,都是使用劫持执行流并跳转到我们自己的函数上来做处理,唯一的不同的是内核Hook只针对内核API函数,但由于其身处在最底层所以一旦被挂钩其整个应用层都将会受到影响,这就直接决定了在内核层挂钩的效果是应用层无法比拟的,对于安全从业者来说学会使用内核挂钩也是很重要。挂钩的原理可以总结为,通过得到原函数地址,然后保存该函数的前15。
SSDT.rar_hook 驱动_ssdt_ssdt hook
09-22
SSDT.rar_hook 驱动是针对系统服务描述表(System Service Dispatch Table, SSDT)进行操作的一个技术,主要用于在Windows操作系统中实现钩子(hook)功能。SSDT是操作系统核心与用户模式应用程序之间交互的重要桥梁...
ssdt.rar_SSDT DELPHI_SSDT-hook delphi_Table_delphi ssdt_ssdt
09-22
标题“ssdt.rar_SSDT DELPHI_SSDT-hook delphi_Table_delphi ssdt_ssdt”暗示了这是一个与Delphi编程语言相关的项目,它涉及到了SSDT的查看、检测以及挂钩(hooking)技术。Delphi是一种强大的面向对象的编程语言,...
Hook ssdt.rar_HookSSDT_hook_ssdt_进程保护_驱动保护
09-25
在信息安全领域,Hook SSDT(System Service Dispatch Table)是一种常见的技术手段,它涉及到操作系统内核驱动程序以及进程管理等多个核心概念。Hook SSDT允许开发者在系统服务调用之前或之后插入自定义代码,以...
SSDT.rar_SSDT-HOOK_ssdt
09-19
在实际操作中,这通常涉及到编写驱动程序,因为驱动程序可以在内核模式下运行,有权限访问和修改SSDT。然而,这种技术也存在风险,因为它可能破坏系统稳定性,且可能被滥用来创建难以检测的恶意软件。因此,对SSDT的...
hook驱动方式注入内核源代码
01-19
C语言写的ROOT记录器,编译通过了.#include "stdafx.h" #include "ScanCode.h" #include "DriverEntry.h" #include <stdarg.h> const WCHAR *DEVICE_NAME = L"\\Device\\MonkeyKingDeviceName"; const WCHAR *SYMOBL_NAME = L"\\??\\MonkeyKingSymbolicName"; const char *NT_DEVICE_NAME = "\\Device\\KeyboardClass0"; const char *LOG_FILE_NAME = "\\DosDevices\\c:\\MonkeyKing.txt"; int numPendingIrps = 0; /*---------------------------------------------------------------------------------------------------------------------------------------------*/ /************************************************************************ * 函数名称:DriverEntry * 功能描述:初始化驱动程序,定位和申请硬件资源,创建内核对象 * 参数列表: pDriverObject:从I/O管理器中传进来的驱动对象 pRegistryPath:驱动程序在注册表的中的路径 * 返回 值:返回初始化驱动状态 *************************************************************************/ STDAPI_(NTSTATUS) DriverEntry( IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRING pRegistryPath ) { NTSTATUS retValue = STATUS_SUCCESS; TRACEMSG("初始化例程..."); pDriverObject->DriverUnload = OnUnload; for (INT32 i = 0; i < IRP_MJ_MAXIMUM_FUNCTION; i++){ pDriverObject->MajorFunction[i] = DispatchHandler; } pDriverObject->MajorFunction[IRP_MJ_READ] = DispatchRead; TRACEMSG("初始化例程...完成"); //创建设备。 TRACEMSG("创建设备..."); PDEVICE_OBJECT pKeyboardDevice = NULL; if (!NT_SUCCESS(retValue = CreateDevice(pDriverObject, &pKeyboardDevice))) { TRACEMSG("创建设备...失败"); return retValue; } TRACEMSG("创建设备...完成。键盘设备对象指针为:0x%x", pKeyboardDevice); //挂接设备。 TRACEMSG("挂接设备..."); if (!NT_SUCCESS(retValue = HookKeyboard(pKeyboardDevice))) { TRACEMSG("挂接设备...失败"); return retValue; } TRACEMSG("挂接设备...完成"); TRACEMSG("初始化线程..."); if (!NT_SUCCESS(retValue = InitThreadLogger(pDriverObject))) { TRACEMSG("初始化线程...失败"); return retValue; } TRACEMSG("初始化线程...完成");
64位驱动SSDTHOOK教程
10-02
完整的64位驱动SSDTHOOK文档资料,学习win7 64位驱动很好的
驱动Hook拦截系统内核调用
11-19
驱动Hook拦截系统内核调用,源码 驱动Hook拦截系统内核调用,源码
驱动hookapi
04-19
可以hook 任意函数 ,采用内联hook
WIN64位驱动 InLine_HOOK框架
12-28
Win64 和 Win32 都可用的内核 InLineHook 框架,网上找的感觉都很麻烦, 这个感觉比较清晰明了, 但也有不足之处 就是修改函数头部时 不够完美;但是日常使用感觉足够了.
驱动的几种Hook方法
weixin_34345753的博客
06-29 2153
1. inline hook 黑客都喜欢用这个方法,很容易被杀毒软件查出来。 2. 在Device Stack中插入filter driver,也很容易被人看出来,并且你不能保证别人插在你之后。 3. 修改Dispatch函数的入口地址,例如bus hound就是这么干的。 转载于:https://www.cnblogs.com/fanzi2009/archive/2011/11/30/226...
5.9 Windows驱动开发:内核InlineHook挂钩技术
最新发布
CSDN
12-07 7383
内核挂钩的原理是一种劫持系统函数调用的技术,用于在运行时对系统函数进行修改或者监控。其基本思想是先获取要被劫持的函数的地址,然后将该函数的前15个字节的指令保存下来,接着将自己的代理函数地址写入到原始函数上,这样当API被调用时,就会默认转向到自己的代理函数上执行,从而实现函数的劫持。
Windows内核驱动Hook入门
随心动,随风行
07-16 8227
文章目录Hook框架选择基于微软规范的框架微软规范以外的框架简单介绍一下InfinityHook获取内核中的函数地址内核中导出的函数内核未导出的函数获取 SSDT ShadowSSDT 地址获取系统服务号手动获取获取并判断系统版本代码自动获取获取GUI相关的函数地址,还需附加GUI进程获取进程 PEPROCESS获取函数地址替换被Hook的函数 的函数实现获取函数原型如果被Hook的函数是一个高频函数,如何准确定位到是自己的程序调用分析不同情况下的返回值类型,调用的 R3 API 如何进行处理这些返回值分
驱动函数的hook
qq_41071646的博客
11-13 1141
其实 驱动hook也就仅限于32位 64位有保护 类似 pg什么的 现在听大佬们讲驱动hook都已经过时了(感觉对于我这种萌新还是有参考价值的) 讲hook前 需要了解其实windows驱动编程就可以说是windows内核编程 内核除了看似很简单的错误  毕竟轻的后果就是蓝屏  后续还会出现各种各样的错误(这就体现了虚拟机和快照的好处) 然后 windows为了内核的安全 就规定很多不可写的内...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值