c语言hook内核作用,hook内核函数的基本方法(附代码,经测试不蓝屏)

最新推荐文章于 2023-04-26 18:29:27 发布
最新推荐文章于 2023-04-26 18:29:27 发布
阅读量319 收藏
点赞数
文章标签: c语言hook内核作用

该楼层疑似违规已被系统折叠 隐藏此楼查看此楼

来看看汇编代码和注释:

IoCallDriver:

nt!IoCallDriver:

804f04f2 8bff mov edi,edi

804f04f4 55 push ebp

804f04f5 8bec mov ebp,esp

804f04f7 8b550c mov edx,dword ptr [ebp+0Ch]//irp,edx

804f04fa 8b4d08 mov ecx,dword ptr [ebp+8]//deviceobject,ecx

804f04fd ff1500d25480 call dword ptr [nt!pIofCallDriver (8054d200)]

804f0503 5d pop ebp

804f0504 c20800 ret 8

IopfCallDriver:

nt!IopfCallDriver:

804ef0e8 fe4a23 dec byte ptr [edx+23h]//CurrentLocation--

804ef0eb 8a4223 mov al,byte ptr [edx+23h]

804ef0ee 84c0 test al,al//CurrentLocation是否为0

804ef0f0 7f0e jg nt!IopfCallDriver+0x18 (804ef100)

804ef0f2 6a00 push 0

804ef0f4 6a00 push 0

804ef0f6 6a00 push 0

804ef0f8 52 push edx

804ef0f9 6a35 push 35h

804ef0fb e89aab0000 call nt!KeBugCheckEx (804f9c9a)//报错

804ef100 8b4260 mov eax,dword ptr [edx+60h]//Tail.Overlay.CurrentStackLocation

804ef103 83e824 sub eax,24h//IO_STACK_LOCATION为0x24字节

804ef106 56 push esi//--Tail.Overlay.CurrentStackLocation

804ef107 894260 mov dword ptr [edx+60h],eax//irpStack(PIO_STACK_LOCATION)

804ef10a 894814 mov dword ptr [eax+14h],ecx//irpStack->DeviceObject=deviceobject

804ef10d 0fb600 movzx eax,byte ptr [eax]//irpStack->MajorFunction

804ef110 8b7108 mov esi,dword ptr [ecx+8]//deviceobject->DriverObject

804ef113 52 push edx

804ef114 51 push ecx

804ef115 ff548638 call dword ptr [esi+eax*4+38h]//deviceobject->DriverObject->MajorFuntion[eax]

804ef119 5e pop esi

804ef11a c3 ret//返回到调用函数

云集山人
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
浅谈HOOK技术在VC编程中的应用
lithe的Blog
01-17 1629
  摘要: 本文针对HOOK技术在VC编程中的应用行讨论,并着重对应用比较广泛的全局HOOK做了阐述。  引言  Windows操作系统是建立在事件驱动机制之上的,系统各部分之间的沟通也都是通过消息的相互传递而实现的。但在通常情况下,应用程序只能处理来自程内部的消息或是从其他程发过来的消息,如果需要对在程外传递的消息行拦截处理就必须采取一种被称为HOOK(钩子)的技术。钩子是Wi
hook Linux 内核函数
m0_46671092的博客
09-03 486
可以尝试使用如下几种方案来拦截Linux内核函数: 使用Linux安全API 修改系统调用表 使用kprobes 拼接 使用ftrace处理程序 使用Linux安全API 从最佳实践的角度来说,我们认为使用Linux安全API的hook函数是最佳选择,因为这个接口就是为此而设计的。 内核代码的关键点包含安全函数调用,这些调用可能导致安全模块安装的回调。该模块可以研究特定操作的上下文,并决定是允许还是禁止它。不幸的是,Linux Security API有两个主要限制: 安全模块无法动态加载,因此我们需
Linux hook内核函数
bin_linux96的专栏
04-26 1179
内核中,如果要hook某个函数,只要把函数开头的5个字节替换成call/jmp指令. 步骤 1. 保存orig 函数的前5个字节指令. 2.定义一个stub函数,用于跳转回orig函数. 3.在新函数中,调用stub函数. 具体实现 #include<linux/module.h> #include<linux/printk.h> #include...
Hook内核函数ZwSetValueKey
05-11
给初学驱动的人的一个简单例子,Hook内核函数ZwSetValueKey,实现一个在IE或者注册表调用SetValueKey函数的时候加了一个修改主页的操作。代码内还提供了一个简单的获取默认浏览器的功能,另外还有其他小惊喜
c语言hook作用,C++事件处理中的__hook与__unhook用法详解
weixin_35387135的博客
05-16 641
__hook__hook将处理程序方法与事件关联。语法long __hook(&SourceClass::EventMethod,source,&ReceiverClass::HandlerMethod[, receiver = this]);long __hook(interface,source);参数&SourceClass::EventMethod指向要将事件处理程...
C++实现修改函数代码HOOK的封装方法
09-04
在C++中,函数代码HOOK是一种技术,允许程序员在运行时拦截并替换特定函数的执行,通常用于调试、性能分析或注入自定义行为。这里介绍的是一种C++实现的函数HOOK封装方法,它涉及到以下几个核心知识点: 1. **函数...
内核模式的apihook.zip_HOOK 内核_hook_内核_内核 hook_驱动hook应用api
09-21
内核模式API Hook是一种高级技术,它涉及到操作系统内核、驱动程序开发以及系统级的调试。在Windows系统中,API Hook通常用于监控或修改应用程序对特定API函数的调用行为,这种技术在软件调试、安全分析、系统监控等...
使用内核三步实现InlineHook的详细分析
07-06
且这种深层次的inlineHook不具有通用性。稳定性也是问题。本文讨论的是具有通用性的两类inlineHook的实现.   Inlinehook原理:解析函数开头的几条指令,把他们Copy到数组保存起来,然后用一个调用我们的...
SSDT Hook_内核_x86_ssdthook_驱动_
10-03
同时,由于涉及到内核级别的操作,必须对Windows内核编程有深入理解,以避免导致系统不稳定或蓝屏。 此项目对于学习内核编程、驱动开发和系统安全研究者来说,是一个宝贵的学习资源。它不仅展示了如何在x86环境下...
C++Hook发包函数核心代码
09-03
C++Hook发包函数核心代码 游戏辅助专用 不得不学 杀猪的
c语言hook函数,另类iOS上的C函数hook
weixin_42470300的博客
05-20 1472
hook C函数先拿一个简单的c函数getenv上手。这个函数接受一个char *类型的参数(得是null terminated string)并返回对应的环境变量。实际上在你的可执行文件启动时这个函数会被多次调用的。用Xcode打开Watermark项目。创建一个symbolic breakpoint到getenv,并添加action:po (char *)$rdi并勾选Automaticall...
C语言中的hook和bait设计
dbitc的博客
11-18 496
C语言中的hook和bait设计 经常用到在一处需要一个通用接口,调用另一个地方的函数 hook函数:实际调用的接口。负责传入参数和运行。 bait函数 :具体算法的实现接口,hook传入参数后,负载具体实现的算法。 具体使用方式: step1:先初始化hookset和hook。分配hookset和hook的内存 step 2: call hook和 add bait //注意:一定要先初始化后,才能做call hook和 add bait的动作。 实际运行时,只需要...
C语言中钩子函数使用讲解
咸鱼弟的博客
10-05 6480
钩子(hook)又称钩子函数,是在一个有序的周期中的某些特殊时刻,系统内部预先设置好的函数,当系统周期到达指定时刻 会自动执行该'钩子'。钩子函数的函数体内容由开发者编写,这绐了幵发者在不同阶段做某些处理的机会。
c语言调用windows内核函数,学习笔记:windows下系统调用内核
weixin_39673303的博客
05-19 333
该楼层疑似违规已被系统折叠隐藏此楼查看此楼+0x094 HalReserved : [16] Uint4B+0x0d4 InterruptMode : Uint4B+0x0d8 Spare1 : UChar+0x0dc KernelReserved2 : [17] Uint4B+0x120 PrcbData : _KPRCB80541...
c语言hook拦截函数参数,运行时Hook所有Block方法调用的技术实现
weixin_29416037的博客
05-19 1037
1.方法调用的几种Hook机制iOS系统中一共有:C函数、Block、OC类方法三种形式的方法调用。Hook一个方法调用的目的一般是为了监控拦截或者统计一些系统的行为。Hook的机制有很多种,通常良好的Hook方法都是以AOP的形式来实现的。当我们想Hook一个OC类的某些具体的方法时可以通过Method Swizzling技术来实现、当我们想Hook动态库中导出的某个C函数时可以通过修改导入函数...
【干货】【C语言实现HOOK 跳转和用C语言变量存储目标程的寄存器数值】 CALL / JMP/ MOV 变量内存地址
追逐光芒,追随内心
03-12 914
有的时候要写CALL ,就用下面的 void WriteCall(DWORD ProcAddr,LPVOID lpData) { BYTE _data[5]; _data[0]=0xE8; DWORD OldPro; VirtualProtect((LPVOID)(ProcAddr),5,PAGE_EXECUTE_READWRITE,&OldPro); memcpy((LPVOID)(_data+1),lpData,4);//_data是变量的内存地址 memcpy((LPVOID)(ProcAdd
linux内核中的hook函数详解
weixin_34004750的博客
11-29 960
在编写linux内核中的网络模块时,用到了钩子函数也就是hook函数。现在来看看linux是如何实现hook函数的。 先介绍一个结构体: struct nf_hook_ops,这个结构体是实现钩子函数必须要用到的结构体,其实际的定义为: 其中的成员信息为: hook :是一个函数指针,可以将自定义的函数赋值给它,来实现当有数据包到达是...
hook函数
最新发布
qq_44089890的博客
04-26 3524
在计算机编程中,hook函数是指在特定的事件发生时被调用的函数,用于在事件发生前或后行一些特定的操作。通常,hook函数作为回调函数被注册到事件处理器中,当事件发生时,事件处理器会自动调用相应的hook函数。hook函数通常用于实现程序的扩展性和可定制性,允许用户在程序运行时添加自定义的操作或修改程序的行为。在很多框架和库中,hook函数被广泛应用于实现特定的功能和操作,例如在深度学习框架中,hook函数可以用于记录指标、可视化网络结构、保存模型和优化器状态等。一些常见的hookpre-hook
深入解析内核 Inline Hook 实现
"详谈内核的Inline Hook实现" 本文深入探讨了内核级Inline Hook的原理和实现,Inline Hook是...通过本文的学习,读者可以更好地掌握Inline Hook的原理和实现方法,从而在需要控制或拦截内核函数行为的场景中游刃有余。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值