x86 IRP HOOK

最新推荐文章于 2021-08-05 13:01:27 发布
最新推荐文章于 2021-08-05 13:01:27 发布
阅读量1.3k 收藏
点赞数
分类专栏: Windows系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xboxmicro/article/details/19946533
版权
本文探讨了内核驱动中如何利用I/O请求报文(IRP)函数表进行隐藏操作,重点讲解了IRP在处理读、写、查询等请求时的重要性。通过示例代码展示了在Rootkits中如何使用IRP Hook隐藏TCP端口,特别是如何隐藏目的端口为TCP 80的网络连接。
摘要由CSDN通过智能技术生成

内核中一个很好的隐藏位置是每个设备驱动程序中包含的函数表。在安装驱动程序时,它初始化一个函数指针表,这些指针包含了它的各种类型I/O请求报文(I/O Request Packet IRP)处理函数的地址。IRP处理多种类型的请求,例如读、写和查询。由于驱动程序处于控制流中非常低的层次,因此它们是理想的钩子位置。

以下是微软公司DDK定义的标准IRP类型列表:

// Define the major function codes for IRPs.
#define IRP_MJ_CREATE                         0x00
#define IRP_MJ_CREATE_NAMED_PIPE            0x01
#define IRP_MJ_CLOSE                          0x02
#define IRP_MJ_READ                           0x03
#define IRP_MJ_WRITE                          0x04
#define IRP_MJ_QUERY_INFORMATION            0x05
#define IRP_MJ_SET_INFORMATION              0x06
#define IRP_MJ_QUERY_EA                      0x07
#define IRP_MJ_SET_EA                         0x08
#define IRP_MJ_FLUSH_BUFFERS                 0x09
#define IRP_MJ_QUERY_VOLUME_INFORMATION 0x0a
#define IRP_MJ_SET_VOLUME_INFORMATION     0x0b
#define IRP_MJ_DIRECTORY_CONTROL            0x0c
#define IRP_MJ_FILE_SYSTEM_CONTROL          0x0d
#define IRP_MJ_DEVICE_CONTROL                0x0e
#define IRP_MJ_INTERNAL_DEVICE_CONTROL    0x0f
#define IRP_MJ_SHUTDOWN                      0x10
#define IRP_MJ_LOCK_CONTROL                  0x11
#define IRP_MJ_CLEANUP                        0x12
#define IRP_MJ_CREATE_MAILSLOT              0x13
#define IRP_MJ_QUERY_SECURITY                0x14
#define IRP_MJ_SET_SECURITY                  0x15
#define IRP_MJ_POWER                          0x16
#define IRP_MJ_SYSTEM_CONTROL                0x17
#define IRP_MJ_DEVICE_CHANGE                 0x18
#define IRP_MJ_QUERY_QUOTA                   0x19
#define IRP_MJ_SET_QUOTA                     0x1a
#define IRP_MJ_PNP                             0x1b
#define IRP_MJ_PNP_POWER                     IRP_MJ_PNP     //Obsolete
#define IRP_MJ_MAXIMUM_FUNCTION           0x1b

在Rootkits——Windows内核的安全防护文中介绍了钩住TCPIP.SYS的方法来过滤相关网络连接查询信息的IRP。

 

Rootkit.h的代码:

///
// Filename Rootkit.h
// 
// Author: Jamie Butler
// Email:  james.butler@hbgary.com or butlerjr@acm.org
//
// Description: Defines globals, function prototypes, etc. used by rootkit.c.
//
// Version: 1.0

typedef BOOLEAN BOOL;
typedef unsigned long DWORD;
typedef DWORD * PDWORD;
typedef unsigned long ULONG;
typedef unsigned short WORD;
typedef unsigned char BYTE;
typedef BYTE * LPBYTE;

#define IOCTL_TCP_QUERY_INFORMATION_EX 0x00120003
//#define MAKEPORT(a, b)   ((WORD)(((UCHAR)(a))|((WORD)((UCHAR)(b))) << 8))
#define HTONS(a)  (((0xFF&a)<<8) + ((0xFF00&a)>>8))

typedef struct _CONNINFO101 {
   unsigned long status; 
   unsigned long src_addr; 
   unsigned short src_port; 
   unsigned short unk1; 
   unsigned long dst_addr; 
   unsigned short dst_port; 
   unsigned short unk2; 
} CONNINFO101, *PCONNINFO101;

typedef struct _CONNINFO102 {
   unsigned long status; 
   unsigned long src_addr; 
   unsigned
最低0.47元/天 解锁文章
BMOP
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IRP Hook 键盘Logger
11-09 4611
 作 者: cogito前天拜读combojiang 的rootkit hook 系列之[五] IRP Hook全家福(原帖:http://bbs.pediy.com/showthread.php?t=60022)之后,决定用文中的第三种方法实现一个KeyLogger。但是combojiang前辈并没有放上Demo,而且我在网上貌似也没找着完整的IRP Hook 键盘Logger实例,于是就写了一
IRP Hook
LYSM
03-02 905
谈到irp拦截,基本上有三种方式 在起点拦截 在半路拦截 在终点拦截 下面我们会详细分析这几种方式哪些是有效的,哪种是无效的。 要理解这几种拦截,我们需要看看irp地传送过程。 (注意并不是每种IRP都经过这些步骤,由于设备类型和IRP种类的不同某些步骤会改变或根本不存在。) 一、IRP创建。 由于IRP开始于某个实体调用I/O管理器函数创建它,可以使用下面任何一种函数创建IRP: IoBuildAsynchronousFsdRequest 创建异步IRP(不需要等待其完成)。该函数和下一个函数仅适
IRP HOOK
zyorz的博客
05-04 822
流程相比较R3 HOOK,R0的HOOK还是比较简单的(毕竟共享一块内存)直接IoGetDeviceObjectPointer根据名称获取驱动对象,然后更改分发函数数组元素即可HOOK指定IRP分发函数实现NTSTATUS InstallTCPDriverHook() { NTSTATUS ntStatus; UNICODE_STRING deviceTCPUnicode
RootKit之[五] IRP Hook全家福
08-25 1258
 作 者: combojiang时 间: 2008-02-22,16:42链 接: http://bbs.pediy.com/showthread.php?t=60022年过得真快,马上过完了。我们今天一起来汇总看看IRP HOOK的方法。又是长篇大论,别着急,慢慢看。谈到irp拦截,基本上有三种方式,一种是在起点拦截,一种是在半路拦截,一种是在终点拦截。 下面我们会详细分析这几种方式哪些是有效的
[寒江独钓] IRP HOOK 键盘过滤之替换原键盘分发函数
weixin_30691871的博客
05-23 138
标题:[IRPHOOK]键盘过滤驱动学习 作者:0xFFFFCCCC 时间:2012-05-20 链接:http://hi.baidu.com/pushad/item/0a78c3ba0812e6afeaba9399 MajorFunction.h #ifndef _MAJORFUNCTION_HEADERS_ #define _MAJORFUNCTIO...
修改MSR对syscall指令HOOK
12-12
我们需要遵循Windows驱动程序开发的规则,包括使用DriverEntry作为驱动程序的入口点,以及实现IRP(I/O请求包)处理等功能。同时,为了确保驱动程序的安全性和稳定性,需要遵循最佳实践,例如使用...
显示所有消息钩子hook_并没有使用gSharedInfo. ring3是DELPHI编写的,ring0是C编写的驱动.zip
01-28
2. **Ring3和Ring0**:在x86架构的CPU中,内存被划分为不同的特权级别,Ring0代表最高权限,通常由操作系统内核运行;Ring3则是最低权限,用于普通应用程序。在Ring0设置的钩子称为内核级钩子,能监控所有进程;Ring...
x64加载驱动方法,x64驱动各类型hook教程
01-16
在x64系统中,驱动加载过程与x86(32位)有所不同,因为架构的变化带来了内存模型和指令集的差异。例如,x64系统支持更大的地址空间和新的寄存器,这会影响到驱动的编写和管理。"过pg方法"可能是指绕过某些安全机制...
X64驱动开发和保护+X86X64游戏逆向分析课程
mutashizhe的博客
08-05 2735
老师教学范围和方式:木塔负责PC电脑端C语言基础和端游逆向分析部分内容,采用录制+部分直播课程教学,晚上还有专业老师讲解和指导。我要的是质量不是数量。老师备课,设计课件需要时间的。 学习周期:PC端3个月时间(具体根据同学们的进度) 主要内容和方向:C/C++从基础知识讲起;汇编基础和逆向;开发逆向内存FZ库框架编写;MFC界面和中控界面;逆向数据分析 ;X64逆向;驱动开发;驱动保护  学费:优惠价:4888RMB (原价6500RMB) 注释:有C语言或者C++语法基础学员可以再优惠:3
IRP HOOK 拦截ring0驱动层的IRP包.ring0 rootkit hook
01-24
IRP HOOK 拦截ring0驱动层的IRP包.ring0 rootkit hook
irp hook来隐藏端口(过vista)
05-16
irp hook来隐藏端口(过vista)
C++使用hookapi操作源代码windows环境
12-28
C++使用hookapi操作windows环境,包含常用的示例:网络、注册表、文件、对话框、进程等HOOK API各种示例源代码
[IRP HOOK] 键盘过滤驱动学习
weixin_30537451的博客
05-23 202
标题:[IRPHOOK]键盘过滤驱动学习作者:0xFFFFCCCC时间:2012-05-20链接:http://hi.baidu.com/pushad/item/0d335810261c38483a176ee8 IRPHOOK这个篇幅整整学习了大半个多月,中间穿插了驾照考试第二科目,然后5.1回家十多天; 真的发现,学东西是速成的,断断续续拖拖拉拉的...
IRPhook
weixin_34384557的博客
10-21 392
原理:直接IoGetDeviceObjectPointer根据名称获取驱动对象,然后更改分发函数数组元素即可HOOK指定IRP分发函数。//irphook.h /////////////////////////////////////////////////////////////////////////////////////// typedef BOOLEAN BOOL; typedef ...
IRP Hook检测
Returns' Station
05-11 1021
1 BOOL IRPHookChk(IN PUNICODE_STRING pObjName) 2 { 3 PDRIVER_OBJECT pdrv = 0; 4 NTSTATUS status = ObReferenceObjectByName(pObjName,OBJ_CASE_INSENSITIVE,0,0,IoDriverObjectType,KernelMo
通过IRPhook实现键盘记录
zfdyq
10-12 2073
测试机器:win7x86
文件重定向(hook IRP_MJ_CREATE)
whatday的专栏
09-12 2865
Windows的I/O管理器提供了一个方便的方法来重定向一个文件对象。通常使用文件过滤驱动(在文件打开和文件创建的操作中)实现该方法。操作方法如下: 1、在IRP_MJ_CREATE的分发函数中,获得FILE_OBJET的FileName属性。 2、用目标文件的完整路径替换原有的文件名字。这个全名,包括卷设备对象的名字(例如,Device/HardDiskVolume0/Directo
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值