本文介绍了一种内核Inline Hook技术,通过Hook内核函数NtReadFile,判断FileHandle并读取Buffer内容。首先定义字符数组保存原始函数字节,创建跳转指令。Hook过程中,跳转至自定义函数判断FileHandle,执行特定操作,并在完成后恢复Hook,确保系统稳定。详细代码展示了如何实现钩子的安装与卸载。
实现原理
利用jmpAddress InlineHook 内核函数NtReadFile,判断FileHandle是否是我们定义的值,如果是,读取Buffer内容打印出来
首先定义2个UCHAR[5]的字符数组,一个用来保存函数原来首5个字节,恢复的时候用到,另外一个储存我们自定义的跳转指令,即Jmp Address(当然你也可以用其他办法,例如push addr/retn),计算公式(要跳转的地址 - 当前地址 - jcc长度)
我们直接跳转到我们自定义的和原函数一毛一样的函数,然后在里面判断FileHandle的值,这个值我们自己定义的,但是要有特殊性,不然可能会和其他的真实句柄冲突
判断之后可以进行一些自己的操作,然后卸载Hook,执行一次真实的原始函数,不然系统会出问题,
具体看代码吧
#include "header.h"
VOID DriverUnload(PDRIVER_OBJECT pDriver) {
UNREFERENCED_PARAMETER(pDriver);
UnHook();
DbgPrint("DriverUnload...\n");
}
下面定义了2个函数,一个卸载钩子,一个重新挂钩,因为在入口函数已经保存了原始头5字节和跳转5字节,所以这里可以直接使用而不需要再重新判断和保存了
UCHAR UnHook() {
if (oldcode[0] == 0
最低0.47元/天 解锁文章
扫一扫
1089
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
