我对 HOOK 派遣例程函数表的体会。。。

最新推荐文章于 2023-11-14 11:42:04 发布
最新推荐文章于 2023-11-14 11:42:04 发布
阅读量816 收藏
点赞数
分类专栏: 驱动内核 文章标签: hook c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xum2008/article/details/5330917
版权

关键点:

调试函数得到的信息:

 

kd> u nt!IofCallDriver
nt!IofCallDriver:
804ef120 ff2500d25480    jmp     dword ptr [nt!pIofCallDriver (8054d200)]
804ef126 cc              int     3
804ef127 cc              int     3
804ef128 cc              int     3
804ef129 cc              int     3
804ef12a cc              int     3
804ef12b cc              int     3
nt!IoCheckQuerySetFileInformation:
804ef12c 8bff            mov     edi,edi

 

我们知道,在调用IoCallDriver 的时候,它会先调用 IofCallDriver,所以,我们必须替换 这个 JMP 的地址,也就是

替换成我们的函数地址。。。

 

替换的过程:

 ULONG  uAddress;
 KIRQL  Irql;

 uAddress = (ULONG)IofCallDriver;  // 得到原函数地址

 __asm
 {
  mov eax, uAddress;
  mov esi, [eax+2];                           // 取得 FF 后边的地址
  mov eax, esi;                                  // 保存原来函数的地址(也就是 FF 后边的 4 字节:也就是IoCallDriver 的地址 )
  mov OldIofCallDriver, eax;             //  用我们定义好的指向函数的指针 指向 IoCallDriver 这个函数。。。因为我们处理完后,

                                                         // 可以把控制权还给系统
 }                               

                        

 Irql = KeRaiseIrqlToDpcLevel();       // 提高中断等级,防止被抢占。。。    
 ClearMemoryProtect();                    // 去除内存的写保护,我自己把它们封装了
 __asm
 {
  mov eax, uAddress;                                         // 再次得到函数地址
  mov esi, [eax+2];                                            // 同上
  mov dword ptr [esi], offset MyIofCallDriver;  // 将原来函数的地址覆盖成我们定义的 HOOK 函数,

                                                                        // 然后,当请求到来的时候,程序会首先执行我们,

                                                                        // 然后,在我们的函数中,我们通过前边得到的函数指针,调用原来的函数...
 }
 RecoverMemoryProtect();
 KeLowerIrql(Irql);

卸载呢?

也就是,我们将 jmp 后 的4 个字节 替换成原来的函数地址,一切就是这样,从这里可以看出,指针的威力是很强大的。。。

专注成就专业_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
KiFastCallEntryHook
拉塞尔的博客
04-10 978
     先根据SSDTHook给SSDTTableBase下钩子(Hook掉NtSetEvent函数),然后通过调用ZwSetEvent函数进入FakeSetEvent函数,在FakeSetEvent函数中我们通过栈回溯(ebp+4)找到主调函数KiFastCallEntry的EIP(KiFastCallEntry函数Call NtXX函数指令的下一条指令处,被调函数执行完后主调函数会从EIP中...
Windows内核编程 文件监控(ssdt hook
u013032601的博客
06-23 3698
本文主要针为进行内核编程的一些初学者提供一些错误,如有错误,希望大家能够指出。         这里先简单介绍一下概念。说到SSDT HOOK,可以从MEP技术说起,MEP(即执行路径修改)主旨就是拦截系统函数或相关处理例程,让它们转向我们自己的函数进行处理,这样就能实现过滤参数或者修改目标函数处理结果的目的。而SSDT(即 系统服务描述符),主要是将位于Ring3的应用API函数和Ring0
派遣例程与IRP结构
weixin_33701564的博客
09-17 126
提到派遣例程,必须理解IRP(I/O Request Package),即"输入/输出请求包"这个重要数据结构的概念。Ring3通过DeviceIoControl等函数向驱动发出I/O请求后,在内核中由操作系统将其转化为IRP的数据结构,并"派遣"到对应驱动的派遣函数中,如图21.1.6所示。 Ring3程序调用kernel32.dll导出的DeviceIoControl函数后,会调用到ntdl...
添加默认派遣例程
crkres9527
09-16 233
 A、初识IRP       B、一个简单的IRP处理函数       C、IRP.IoStatus结构       D、IoCompleteRequest函数   IPR简介: IRP全称(I/O Request Package),即输入输出请求包。他是windows驱动的重要概念,用户模式下所有对驱动程序的I/O请求,全部由操作系统转化为一个叫做IRP的数据结构,不同的IRP数据会...
016_为DDK_HelloWorld添加默认派遣例程
05-06 422
预计平均三天一课,录制过程中,大纲会实时更新(更改) 主讲:郁金香灬老师  QQ150330575 开发环境:VC6,VS2003,VS2008 www.yjxsoft.net www.yjxsoft.com 教程购买地址:http://yjxsoft.taobao.com    1.3.8为DDK_HelloWorld添加默认派遣例程-16课       A、初识IRP    ...
高级红队之驱动通信隐藏技术
最新发布
2301_80127209的博客
11-14 367
上一章简单说了驱动在无签名时如何进行加载,但我们加载后还需要与三环建立通信。如果我们使用IO进行通信,在使用mapper加载后会蓝屏且很容易被发现。劫持通信.data ptr技术。
逆向基础-Windows驱动开发【SSDT HOOK
AppWhite_Star的博客
08-01 1765
驱动开发,SSDT HOOK
内核:过滤驱动1
08-03
- **全部派遣函数**:为了保证过滤驱动的兼容性,所有下层驱动的派遣函数(Dispatch Routine)都需要在上层实现,即使只是为了简单地将它们派发给下层驱动。对于感兴趣的特定操作,可以实现自己的处理逻辑。 - **...
Windows2000 内核级进程隐藏、侦测技术[毕业论文]
LionD8' Blog 个人作品 www.360kdj.com 360KDJ股票实验室
08-31 1万+
Windows2000 内核级进程隐藏、侦测技术                                                                                        指导老师:龙老师                                                                            
HideProcess(隐藏进程) Ring0 win7 x86
拉塞尔的博客
11-23 3170
    我们可以通过遍历EProcess结构体中的双向链ActiveProcessLinks,找到目标进程结点后将该节点从双向链中移除,便实现了进程隐藏的目的,此时打开win7的任务管理器会发现运行的calc进程并没有显示。 使用windbg查看EProcess结构:     2: kd> !process 0 0     //crtl+F查找explorer     PROCESS ...
Windows驱动开发——派遣函数
心之所向,身之所往
03-09 1672
1、IRP     IRP(I/O Request Package),即输入输出请求包。上层应用程序与底层驱动程序通信时,应用程序会发出I/O请求,操作系统将I/O请求转化为相应的IRP数据。不同类型的IRP会传递给不同的派遣函数处理。 2、派遣函数    驱动中 处理IRP请求的函数。处理完了之后,必须通过IOCompleteRequest结束IRP。这样,发起I/O请求的Win3
FSD HOOK与SSDT HOOK恢复简单思路
weixin_34292924的博客
09-03 282
FSD 解释: File System Driver文件系统驱动程序,分为本地FSD和远程FSD。 (1) 本地FSD:允许用户访问本地计算机上的数据 ——本地FSD负责向I/O管理器注册自己,当开始访问某个卷时,I/O管理器调用FSD来进行卷识别。 ——完成卷识别后,本地FSD创建一个设备对象以示所装载的文件系统。 ——I/O管理器通过卷参数块(VPB)在存...
hook键盘驱动中的分发函数实现键盘输入数据的拦截
Masimaro的专栏
03-08 2365
我自己在看《寒江独钓》这本书的时候,书中除了给出了利用过滤的方式来拦截键盘数据之外,也提到了另外一种方法,就是hook键盘分发函数,将它替换成我们自己的,然后再自己的分发函数中获取这个数据的方式,但是书中并没有明确给出代码,我结合书中所说的一些知识加上网上找到的相关资料,自己编写了相关代码,并且试验成功了,现在给出详细的方法和代码。 用这种方式时首先根据ObReferenceObjectByNam
Windows内核驱动Hook入门
随心动,随风行
07-16 8046
文章目录Hook框架选择基于微软规范的框架微软规范以外的框架简单介绍一下InfinityHook获取内核中的函数地址内核中导出的函数内核未导出的函数获取 SSDT ShadowSSDT 地址获取系统服务号手动获取获取并判断系统版本代码自动获取获取GUI相关的函数地址,还需附加GUI进程获取进程 PEPROCESS获取函数地址替换被Hook函数函数实现获取函数原型如果被Hook函数是一个高频函数,如何准确定位到是自己的程序调用分析不同情况下的返回值类型,调用的 R3 API 如何进行处理这些返回值分
驱动开发(7)IRP与派遣函数
zuishikonghuan的博客
01-03 2868
在上一篇博文中,介绍了NT驱动的基本结构,这几篇博文,博主来说说驱动开发的一个核心内容——如何处理I/O请求。 为何要处理I/O请求?因为通常一个驱动程序是为了控制硬件而设计的(虽然没有对应具体硬件的驱动远比有对应具体硬件的驱动要多得多),可以说,是操作系统与硬件通信的桥梁。而I/O操作是控制硬件的基本方法(不考虑对CPU和内存的操作),而驱动程序就是为操作系统提供了一种抽象,驱动程序如
IRP_MJ_CREATE派遣例程里能获取的信息
GaA.Ra的自留地 in Csdn
03-30 4332
    在IRP_MJ_CREATE里面能够得到的调用ZwCreateFile传递的参数值,分析参数获取所需要过滤的文件信息.    详细说明的请参考下面代码框内容:/*++ 1.irpSp->Parameters.Create: struct { PIO_SECURITY_CONTEXT SecurityContext; ULONG Options; USHORT POINTER_ALIGNMENT FileAttributes; USHORT ShareAccess; U
IRP派遣函数
CSDN515的专栏
04-08 2354
派遣函数 派遣函数是WIndows驱动程序中的重要概念。驱动程序的主要功能是负责处理I/O请求,其中大部分I/O请求是在派遣函数中处理的。 用户模式下所有驱动程序的I/O请求,全部由操作系统转化为一个叫IRP的数据结构,不同的IRP会被派遣到不同的派遣函数(Dispatch Function)中。 1、IRP与派遣函数 IRP的处理机制类似WIndows应用程序中的“消息处理”机制,驱动程
解析 bootstat.dat 文件,探究为什么XP知道上次系统启动失败。。。
热门推荐
xum2008的专栏
11-14 1万+
<br />这个周末终于有时间来搞我的还原驱动了,但是在做的过程中发现了一点问题;<br />加载驱动后,重启机器会使得XP认为系统启动失败,提示我们回到上一次的正确位置。。。<br /> <br />这是由于 bootstat.dat 这个文件造成的,用winhex 打开造成的
怎么hook C++虚函数,替换里面的虚函数指针
07-08
hook C++ 虚函数并替换其中的虚函数指针,你可以按照以下步骤进行: 1. 获取要 hook 的类的对象指针。 2. 访问对象的虚函数指针。 3. 根据虚函数的索引找到要 hook 的虚函数指针。 4. 替换虚函数指针为你想...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值