我对 HOOK 派遣例程函数表的体会。。。

最新推荐文章于 2023-11-14 11:42:04 发布
最新推荐文章于 2023-11-14 11:42:04 发布
阅读量806 收藏
点赞数
分类专栏: 驱动内核 文章标签: hook c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xum2008/article/details/5330917
版权

关键点:

调试函数得到的信息:

 

kd> u nt!IofCallDriver
nt!IofCallDriver:
804ef120 ff2500d25480    jmp     dword ptr [nt!pIofCallDriver (8054d200)]
804ef126 cc              int     3
804ef127 cc              int     3
804ef128 cc              int     3
804ef129 cc              int     3
804ef12a cc              int     3
804ef12b cc              int     3
nt!IoCheckQuerySetFileInformation:
804ef12c 8bff            mov     edi,edi

 

我们知道,在调用IoCallDriver 的时候,它会先调用 IofCallDriver,所以,我们必须替换 这个 JMP 的地址,也就是

替换成我们的函数地址。。。

 

替换的过程:

 ULONG  uAddress;
 KIRQL  Irql;

 uAddress = (ULONG)IofCallDriver;  // 得到原函数地址

 __asm
 {
  mov eax, uAddress;
  mov esi, [eax+2];                           // 取得 FF 后边的地址
  mov eax, esi;                                  // 保存原来函数的地址(也就是 FF 后边的 4 字节:也就是IoCallDriver 的地址 )
  mov OldIofCallDriver, eax;             //  用我们定义好的指向函数的指针 指向 IoCallDriver 这个函数。。。因为我们处理完后,

                                                         // 可以把控制权还给系统
 }                               

                        

 Irql = KeRaiseIrqlToDpcLevel();       // 提高中断等级,防止被抢占。。。    
 ClearMemoryProtect();                    // 去除内存的写保护,我自己把它们封装了
 __asm
 {
  mov eax, uAddress;                                         // 再次得到函数地址
  mov esi, [eax+2];                                            // 同上
  mov dword ptr [esi], offset MyIofCallDriver;  // 将原来函数的地址覆盖成我们定义的 HOOK 函数,

                                                                        // 然后,当请求到来的时候,程序会首先执行我们,

                                                                        // 然后,在我们的函数中,我们通过前边得到的函数指针,调用原来的函数...
 }
 RecoverMemoryProtect();
 KeLowerIrql(Irql);

卸载呢?

也就是,我们将 jmp 后 的4 个字节 替换成原来的函数地址,一切就是这样,从这里可以看出,指针的威力是很强大的。。。

专注成就专业_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
派遣例程与IRP结构
weixin_33701564的博客
09-17 124
提到派遣例程,必须理解IRP(I/O Request Package),即"输入/输出请求包"这个重要数据结构的概念。Ring3通过DeviceIoControl等函数向驱动发出I/O请求后,在内核中由操作系统将其转化为IRP的数据结构,并"派遣"到对应驱动的派遣函数中,如图21.1.6所示。 Ring3程序调用kernel32.dll导出的DeviceIoControl函数后,会调用到ntdl...
添加默认派遣例程
crkres9527
09-16 225
 A、初识IRP       B、一个简单的IRP处理函数       C、IRP.IoStatus结构       D、IoCompleteRequest函数   IPR简介: IRP全称(I/O Request Package),即输入输出请求包。他是windows驱动的重要概念,用户模式下所有对驱动程序的I/O请求,全部由操作系统转化为一个叫做IRP的数据结构,不同的IRP数据会...
016_为DDK_HelloWorld添加默认派遣例程
05-06 417
预计平均三天一课,录制过程中,大纲会实时更新(更改) 主讲:郁金香灬老师  QQ150330575 开发环境:VC6,VS2003,VS2008 www.yjxsoft.net www.yjxsoft.com 教程购买地址:http://yjxsoft.taobao.com    1.3.8为DDK_HelloWorld添加默认派遣例程-16课       A、初识IRP    ...
高级红队之驱动通信隐藏技术
最新发布
2301_80127209的博客
11-14 299
上一章简单说了驱动在无签名时如何进行加载,但我们加载后还需要与三环建立通信。如果我们使用IO进行通信,在使用mapper加载后会蓝屏且很容易被发现。劫持通信.data ptr技术。
逆向基础-Windows驱动开发【SSDT HOOK
AppWhite_Star的博客
08-01 1702
驱动开发,SSDT HOOK
C++Hook发包函数核心代码
09-03
C++Hook发包函数核心代码 游戏辅助专用 不得不学 杀猪的
c++钩子函数:copy hook_linux函数hook
12-27
在IT领域,钩子函数Hook Function)是一种高级技术,常用于系统监控、调试和拦截特定事件。在C++编程中,我们可以利用钩子来跟踪和控制程序的行为,例如在这个场景下,我们关注的是文件复制操作。"copy hook"特指...
APIHOOK例程.rar
04-04
通过"易语言APIHOOK例程源码",你可以学习到如何在易语言中实现上述步骤,从而掌握APIHOOK技术。这将有助于你在实际项目中进行系统监控、安全防护或者功能扩展等任务。通过深入研究和实践,你还可以了解到更多的底层...
Drupal中hook_theme函数用法
09-28
`hook_theme()` 函数是模块(Module)或主题(Theme)中定义的一个函数,它的名称遵循 Drupal 钩子命名规则:`hook` 前缀加上 `_theme` 后缀。例如,在模块 `modulename` 中,你需要定义一个名为 `modulename_theme...
Hook函数任意地址 c++
10-22
实现Hook函数在任意地址的功能,需要对内存管理有深入了解。你需要知道如何找到目标函数的确切地址,这可能涉及逆向工程和调试技术。同时,考虑到多线程环境,可能需要使用互斥量(Mutex)等同步机制,以确保Hook...
Windows驱动开发——派遣函数
心之所向,身之所往
03-09 1661
1、IRP     IRP(I/O Request Package),即输入输出请求包。上层应用程序与底层驱动程序通信时,应用程序会发出I/O请求,操作系统将I/O请求转化为相应的IRP数据。不同类型的IRP会传递给不同的派遣函数处理。 2、派遣函数    驱动中 处理IRP请求的函数。处理完了之后,必须通过IOCompleteRequest结束IRP。这样,发起I/O请求的Win3
FSD HOOK与SSDT HOOK恢复简单思路
weixin_34292924的博客
09-03 267
FSD 解释: File System Driver文件系统驱动程序,分为本地FSD和远程FSD。 (1) 本地FSD:允许用户访问本地计算机上的数据 ——本地FSD负责向I/O管理器注册自己,当开始访问某个卷时,I/O管理器调用FSD来进行卷识别。 ——完成卷识别后,本地FSD创建一个设备对象以示所装载的文件系统。 ——I/O管理器通过卷参数块(VPB)在存...
hook键盘驱动中的分发函数实现键盘输入数据的拦截
Masimaro的专栏
03-08 2347
我自己在看《寒江独钓》这本书的时候,书中除了给出了利用过滤的方式来拦截键盘数据之外,也提到了另外一种方法,就是hook键盘分发函数,将它替换成我们自己的,然后再自己的分发函数中获取这个数据的方式,但是书中并没有明确给出代码,我结合书中所说的一些知识加上网上找到的相关资料,自己编写了相关代码,并且试验成功了,现在给出详细的方法和代码。 用这种方式时首先根据ObReferenceObjectByNam
Windows内核驱动Hook入门
随心动,随风行
07-16 7535
文章目录Hook框架选择基于微软规范的框架微软规范以外的框架简单介绍一下InfinityHook获取内核中的函数地址内核中导出的函数内核未导出的函数获取 SSDT ShadowSSDT 地址获取系统服务号手动获取获取并判断系统版本代码自动获取获取GUI相关的函数地址,还需附加GUI进程获取进程 PEPROCESS获取函数地址替换被Hook函数函数实现获取函数原型如果被Hook函数是一个高频函数,如何准确定位到是自己的程序调用分析不同情况下的返回值类型,调用的 R3 API 如何进行处理这些返回值分
驱动开发(7)IRP与派遣函数
zuishikonghuan的博客
01-03 2843
在上一篇博文中,介绍了NT驱动的基本结构,这几篇博文,博主来说说驱动开发的一个核心内容——如何处理I/O请求。 为何要处理I/O请求?因为通常一个驱动程序是为了控制硬件而设计的(虽然没有对应具体硬件的驱动远比有对应具体硬件的驱动要多得多),可以说,是操作系统与硬件通信的桥梁。而I/O操作是控制硬件的基本方法(不考虑对CPU和内存的操作),而驱动程序就是为操作系统提供了一种抽象,驱动程序如
IRP_MJ_CREATE派遣例程里能获取的信息
GaA.Ra的自留地 in Csdn
03-30 4280
    在IRP_MJ_CREATE里面能够得到的调用ZwCreateFile传递的参数值,分析参数获取所需要过滤的文件信息.    详细说明的请参考下面代码框内容:/*++ 1.irpSp->Parameters.Create: struct { PIO_SECURITY_CONTEXT SecurityContext; ULONG Options; USHORT POINTER_ALIGNMENT FileAttributes; USHORT ShareAccess; U
IRP派遣函数
CSDN515的专栏
04-08 2332
派遣函数 派遣函数是WIndows驱动程序中的重要概念。驱动程序的主要功能是负责处理I/O请求,其中大部分I/O请求是在派遣函数中处理的。 用户模式下所有驱动程序的I/O请求,全部由操作系统转化为一个叫IRP的数据结构,不同的IRP会被派遣到不同的派遣函数(Dispatch Function)中。 1、IRP与派遣函数 IRP的处理机制类似WIndows应用程序中的“消息处理”机制,驱动程
解析 bootstat.dat 文件,探究为什么XP知道上次系统启动失败。。。
热门推荐
xum2008的专栏
11-14 1万+
<br />这个周末终于有时间来搞我的还原驱动了,但是在做的过程中发现了一点问题;<br />加载驱动后,重启机器会使得XP认为系统启动失败,提示我们回到上一次的正确位置。。。<br /> <br />这是由于 bootstat.dat 这个文件造成的,用winhex 打开造成的
怎么hook C++虚函数,替换里面的虚函数指针
07-08
在 C++ 中,虚函数通过虚函数(vtable)来实现。虚函数是一个存储了虚函数指针的数组,每个类的对象都有一个指向其对应虚函数的指针。 要 hook C++ 虚函数并替换其中的虚函数指针,你可以按照以下步骤进行: 1. 获取要 hook 的类的对象指针。 2. 访问对象的虚函数指针。 3. 根据虚函数的索引找到要 hook 的虚函数指针。 4. 替换虚函数指针为你想要调用的函数指针。 以下是一个示例代码,展示了如何 hook C++ 虚函数并替换其中的虚函数指针: ```cpp #include <iostream> // 假设有一个基类 BaseClass class BaseClass { public: virtual void virtualFunction() { std::cout << "BaseClass::virtualFunction()" << std::endl; } }; // 定义一个替代原始虚函数函数 void replacementFunction() { std::cout << "Replacement function called" << std::endl; } int main() { // 创建 BaseClass 对象 BaseClass obj; // 获取对象的虚函数指针 uintptr_t* vtable = *(uintptr_t**)&obj; // 获取要 hook 的虚函数的索引(假设是第一个虚函数) int virtualFunctionIndex = 0; // 替换虚函数指针为 replacementFunction uintptr_t replacementFunctionPtr = (uintptr_t)&replacementFunction; vtable[virtualFunctionIndex] = replacementFunctionPtr; // 调用虚函数,将会调用替代函数 obj.virtualFunction(); return 0; } ``` 请注意,这个方法可能涉及到一些平台相关的细节,因此在不同的编译器和操作系统上可能会有所不同。在实际应用中,确保了解你所使用的编译器和平台的特定要求和限制是非常重要的。此外,修改虚函数可能会破坏程序的稳定性和预期行为,谨慎使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值