写了几个函数 来防止ntfs.sys被hook

最新推荐文章于 2020-09-06 09:37:06 发布
最新推荐文章于 2020-09-06 09:37:06 发布
阅读量1k 收藏
点赞数
分类专栏: 笔记 文章标签: hook header object file fun null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xyooyy_xyooyy/article/details/651520
版权

日子无聊的很

还好电脑总是最听话的 你叫他玩游戏 他不会看电影

哈哈 至少很少说谎 

以后找女人也要找这样的

ULONG get_funaddr(ULONG* pdriver_entry,ULONG major_function)
{
 int i=0;
 ULONG function=0;
 ULONG index = major_function*4+0x38;
 //找到所对应的函数地址
         if(index < 0x80)
  index = (index<<24)+0x43c700;
 else
  index = (index<<24)+0x83c700;
 for (i=0;i<SearchDepth;i++)
 {
  ((char*)pdriver_entry)++;
  if((*pdriver_entry&0xffffff00) == index)
  {
   if(index < 0x8083c700)
   {
    DbgPrint("GetFunctionAddrByID:0x%08x/n",(ULONG)((char*)pdriver_entry+4));
       function=*(ULONG*)((char*)pdriver_entry+4);
       break;
   }
   else
   {
    DbgPrint("GetFunctionAddrByID:0x%08x/n",(ULONG)((char*)pdriver_entry+4));
       function=*(ULONG*)((char*)pdriver_entry+7);
       break;
   }
  }
 }
 return function;
}
0008BE6D: 8B 3D 58 2A 02 00              MOV EDI,[00022A58]
0008BE73: C7 43 38 7A E4 02 00           MOV DWORD PTR [EBX+38],0002E47A
0008BE7A: C7 43 40 F0 B8 02 00           MOV DWORD PTR [EBX+40],0002B8F0
0008BE81: C7 43 44 A3 2F 01 00           MOV DWORD PTR [EBX+44],00012FA3
0008BE88: C7 43 48 20 03 01 00           MOV DWORD PTR [EBX+48],00010320
0008BE8F: C7 43 4C 4C EB 02 00           MOV DWORD PTR [EBX+4C],0002EB4C
0008BE96: C7 43 50 27 88 02 00           MOV DWORD PTR [EBX+50],00028827
0008BE9D: C7 43 54 95 1B 06 00           MOV DWORD PTR [EBX+54],00061B95
0008BEA4: C7 43 58 DF 1C 06 00           MOV DWORD PTR [EBX+58],00061CDF
0008BEAB: C7 43 5C DF A6 03 00           MOV DWORD PTR [EBX+5C],0003A6DF
0008BEB2: C7 43 60 B8 4F 03 00           MOV DWORD PTR [EBX+60],00034FB8
0008BEB9: C7 43 64 E6 7C 08 00           MOV DWORD PTR [EBX+64],00087CE6
0008BEC0: C7 43 68 9D 06 03 00           MOV DWORD PTR [EBX+68],0003069D
0008BEC7: C7 43 6C 28 22 03 00           MOV DWORD PTR [EBX+6C],00032228
0008BECE: C7 43 70 BB FD 04 00           MOV DWORD PTR [EBX+70],0004FDBB
0008BED5: C7 43 7C F5 BA 03 00           MOV DWORD PTR [EBX+7C],0003BAF5
0008BEDC: C7 83 80 00 00 00 91 CC 02 00  MOV DWORD PTR [EBX+00000080],0002CC91
0008BEE6: C7 83 88 00 00 00 50 AC 02 00  MOV DWORD PTR [EBX+00000088],0002AC50
0008BEF0: C7 83 8C 00 00 00 F6 FF 07 00  MOV DWORD PTR [EBX+0000008C],0007FFF6
0008BEFA: C7 43 78 12 12 02 00           MOV DWORD PTR [EBX+78],00021212
0008BF01: C7 83 9C 00 00 00 52 62 07 00  MOV DWORD PTR [EBX+0000009C],00076252
0008BF0B: C7 83 A0 00 00 00 9C 63 07 00  MOV DWORD PTR [EBX+000000A0],0007639C
0008BF15: C7 83 A4 00 00 00 C2 5E 07 00  MOV DWORD PTR [EBX+000000A4],00075EC2
0008BF1F: C7 43 28 C0 5E 02 00           MOV DWORD PTR [EBX+28],00025EC0
0008BF26: A3 04 5F 02 00                 MOV [00025F04],EAX
ntfs.sys反汇编出来的东西
通过查询c7 43 xx
c7 83 xx
来找到入口
PVOID get_object(WCHAR* name)
{
 NTSTATUS status;
 UNICODE_STRING file_ntfs;
    PDRIVER_OBJECT pfile_driver_object;
 RtlInitUnicodeString( &file_ntfs, name);
 status = ObReferenceObjectByName  (    
                                &file_ntfs,    
                                OBJ_CASE_INSENSITIVE,    
                                NULL,    
                                0,    
                                *IoDriverObjectType,    
                                KernelMode,    
                                NULL,   
                               (void*)&pfile_driver_object);
         
       if( !NT_SUCCESS(status)) {
  DbgPrint("myfsd: create failed./n");
        return NULL;
    }
    return pfile_driver_object;
 }
PVOID get_moudle(char* name)
{
    NTSTATUS status;
    PVOID pbuffer, pmodule;
    ULONG nret_size, i, n;
    PSYSTEM_MODULE_INFORMATION pmoudle_info;

    pbuffer = ExAllocatePool(PagedPool, 0x1000);
    if (NULL == pbuffer)
    {
        DbgPrint("myfsd:allocate failed: %d/n");
        return NULL;
    }

    status = ZwQuerySystemInformation(SystemModuleInformation, pbuffer, 0x1000, &nret_size);
    if (STATUS_INFO_LENGTH_MISMATCH == status)
    {
        // 缓冲区不够时,重新分配
        ExFreePool(pbuffer);
        pbuffer = ExAllocatePool(PagedPool, nret_size);
        if (NULL == pbuffer)
        {
            DbgPrint("myfsd:localalloc failed: %d/n");
            return NULL;
        }
        status = ZwQuerySystemInformation(SystemModuleInformation, pbuffer, nret_size, &nret_size);
    }
    if (!NT_SUCCESS(status))
    {
        DbgPrint("myfsd:systeminformation failed: %d/n");
        ExFreePool(pbuffer);
        return NULL;
    }

   pmoudle_info = (PSYSTEM_MODULE_INFORMATION)((ULONG)pbuffer + 4);
    n = *(ULONG*)pbuffer;
    pmodule = NULL;

    // 搜索指定的模块名
    for (i=0; i<n; i++)
    {
        if (!_stricmp(pmoudle_info->ImageName+pmoudle_info->ModuleNameOffset, name))
        {
            pmodule = pmoudle_info->Base;
            break;
        }
        pmoudle_info++;
    }

    ExFreePool(pbuffer);
    return pmodule;
}
void init_ntfs_fun(char* name,WCHAR* link_name,ULONG* map_fun,ULONG* map_base,ULONG index)
{
 PVOID base_addr,fact_addr;
 ULONG cause_addr;
 PDRIVER_OBJECT pdriver_obj =NULL;
  base_addr = get_moudle(name);
 cause_addr = (ULONG)base_addr+(ULONG)map_fun-(ULONG)map_base;
    pdriver_obj = (PDRIVER_OBJECT)get_object(link_name);
    fact_addr = pdriver_obj->MajorFunction[index];
   if( (ULONG)fact_addr != cause_addr)//查看入口是否被改
 {
     DbgPrint("DriverDispatcher:0x%08x/n" ,fact_addr);
  fact_addr = (PVOID)cause_addr;
  pdriver_obj->MajorFunction[index] = fact_addr;
 }
    DbgPrint("basemoudleaddress:0x%08x/n",base_addr);
 DbgPrint("causeaddr:0x%08x/n",cause_addr);
    DbgPrint("factaddr:0x%08x/n" ,fact_addr);
 _asm{//查看前20字节是否有变动 如果有就恢复
             mov eax, cr0 
            and eax, NOT 10000H 
            mov cr0, eax
    pushad
   mov ecx,5
   xor edx,edx
   mov edi,map_fun
   mov esi,fact_addr
         mov eax,dword ptr[edi]
   mov ebx,dword ptr[esi]
   cli
again:  cmp eax,ebx
   jz next
   mov dword ptr[esi+edx*4],eax
 next:  inc edx
            mov eax,dword ptr[edi+4*edx]
   mov ebx,dword ptr[esi+edx*4]
      loopz again
   
      sti
         popad
            mov eax, cr0
      or eax, 10000H
      mov cr0, eax
 }

}
NTSTATUS init_ntfs(ULONG index)
{
 UNICODE_STRING file_sys_name;
 OBJECT_ATTRIBUTES ob;
 NTSTATUS status;
 HANDLE h_file,h_section,h_mod;
 IO_STATUS_BLOCK stat;
 PVOID base_address,point_address;
 IMAGE_DOS_HEADER* dos_header;
    IMAGE_OPTIONAL_HEADER* op_header;
 ULONG img_fun_address;
 ULONG* img_fun_point;
 SIZE_T size=0;
 file_sys_name.Length = 0;
    RtlInitUnicodeString( &file_sys_name,L"//??//C://WINNT//system32//drivers//ntfs.sys"); 
 if(file_sys_name.Length == 0)
 {
  DbgPrint("myfsd:Unicode fails/n");
  return 0;
 }

    InitializeObjectAttributes( &ob,&file_sys_name,
                            OBJ_CASE_INSENSITIVE,0, NULL );
   status = ZwOpenFile ( &h_file,FILE_EXECUTE|FILE_READ_DATA, &ob, &stat, 0,0);
 if( !NT_SUCCESS( status )) {
  DbgPrint("fails/n");
        return status;
 }
     ob.ObjectName = 0;
 
 status = ZwCreateSection(&h_section, SECTION_ALL_ACCESS, &ob, 0,PAGE_EXECUTE, SEC_IMAGE, h_file);
 if( !NT_SUCCESS(status)) {
  DbgPrint("myfsd: Create Section failed./n");
  return status;
 }
 //把目标文件映射到内存
         //大小根据SizeOfImage而定
   status = ZwMapViewOfSection(h_section,

 NtCurrentProcess(),

&base_address,

0,

0x7ffff,

 0,

&size,

(SECTION_INHERIT)1,

MEM_TOP_DOWN,

                          PAGE_READWRITE);
    if( !NT_SUCCESS(status)) {
           DbgPrint("myfsd: mapviewofsection fails./n");
           ZwClose(h_file);
          ZwClose(h_section);
           return status;
 }
 h_mod = base_address;
    dos_header = (IMAGE_DOS_HEADER *)h_mod;
    op_header =(IMAGE_OPTIONAL_HEADER *) ((char*)h_mod+dos_header->e_lfanew+24);
    DbgPrint("BaseAddress:0x%08x/n",(ULONG)base_address);
    DbgPrint("EntryPoint:0x%08x/n",(LONG)op_header->AddressOfEntryPoint);
    DbgPrint("ImageBase:0x%08x/n",(LONG)op_header->ImageBase);
    DbgPrint("SizeOfImage:0x%08x/n",op_header->SizeOfImage);
    point_address = (PVOID*)((ULONG)base_address+op_header->AddressOfEntryPoint);
    DbgPrint("FunAddr:0x%08x/n",*(ULONG*)point_address);
    img_fun_address = get_funaddr(point_address,index);
    DbgPrint("FunAddr:0x%08x/n",img_fun_address);
    img_fun_point = (ULONG*)((ULONG)base_address+img_fun_address-(LONG)op_header->ImageBase);
   DbgPrint("funaddress:0x%08x/n",img_fun_point);
   init_ntfs_fun("ntfs.sys",L"//FileSystem//Ntfs",img_fun_point,base_address,index);
  ZwClose(h_file);
  ZwUnmapViewOfSection(h_section, base_address);
  ZwClose(h_section);
  return status;
}

代码2000上写的 或许不打稳定  嘿嘿

xyooyy_xyooyy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Wsyscheck.rar
02-28
如果一个函数同时存在代码HOOK与地址HOOK,则对应的模块路径显示的是Inline Hook的路径,而使用“恢复当前函数代码”功能只恢复Inline Hook,路径将显示为地址HOOK的模块路径,再使用“恢复当前函数地址”功能就恢复...
HOOK ntfs 禁止格式化
stecdeng的专栏
05-29 1216
if(bHooked == FALSE) { RtlInitUnicodeString (&HookDriverName, L"\\FileSystem\\Ntfs"); //获得\Driver\VolSnap驱动对象 status = ObReferenceObjectByName ( &HookDriverName, OBJ_CASE_INSENSITIVE, 0, 0, *
NTFS FSD HOOK
Lycorisradiata
04-18 557
NTFS FSD HOOKNTSTATUS FSDHookControl( IN BOOLEAN IsHook ) { NTSTATUS status = STATUS_SUCCESS; UNICODE_STRING uNTFS = {0}; PDRIVER_OBJECT NTFS = NULL; RtlInitUnicodeString( &uNTFS, L"\\Fi
inline hook IofCallDriver 调用ntfs时保护文件访问
125096
09-05 654
#include #include NTSTATUS DriverUnload(IN PDRIVER_OBJECT DriverObject); int IsNeedProtect(DEVICE_OBJECT *DeviceObject, PIRP Irp); ULONG GetFunctionAddr(IN PCWSTR FunctionName); VOID InlineHook();
windows内核木马
深度技术安全
02-25 1971
<br />1、Image Patches(映像补丁)<br />修改内核模块比如ntoskrnl.exe,ndis.sysntfs.sys等的代码段<br />1.1、函数前导Hook<br />Intel架构下,控制转移指令有三种,分别是2字节的寄存器操作,5字节的相对偏移操作和6字节的内存操作。当然,我们有两种方式来实现这种inline hook:<br />1)用Microsoft的detour库<br />2)用一个长度反汇编引擎,字节构建<br />我自己实现过一个动态HOOK引擎,在我的即将
【原创】NTFS文件系统底层挖掘
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-27 1553
标 题: 【原创】NTFS文件系统底层挖掘 作 者: sudami 时 间: 2009-05-02,23:37:18 链 接: http://bbs.pediy.com/showthread.php?t=87741 貌似关于NTFS文件系统的底层实现细节,网上资料很少. 这几天突然来了兴趣,于是挖掘了一下. 结合nt4src,IDA+ntfs.sys,windbg+VMWare,在X
FSD HOOK与SSDT HOOK恢复简单思路
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
12-24 1606
FSD 解释: File System Driver文件系统驱动程序,分为本地FSD和远程FSD。 (1) 本地FSD:允许用户访问本地计算机上的数据 ——本地FSD负责向I/O管理器注册自己,当开始访问某个卷时,I/O管理器调用FSD来进行卷识别。 ——完成卷识别后,本地FSD创建一个设备对象以表示所装载的文件系统。 ——I/O管理器通过卷参数块(VPB)在存储管理器创
[Python黑帽] 一.获取Windows主机信息、注册表、U盘历史痕迹和回收站文件
热门推荐
杨秀璋的专栏
09-06 1万+
Python黑帽第一篇文章将分享获取Windows主机信息,利用注册表获取主机名及USB历史痕迹、回收站文件等,这些知识广泛应用于电子取证、Web渗透和攻击溯源领域,其中USB获取是亮点。希望这篇基础文章对您有所帮助,更希望大家提高安全意识,学会相关范,也欢迎大家讨论,真心想把自己近十年的所学所做所感分享出来,与大家一起进步。
文件系统fsd hook (一)原理
weixin_30602505的博客
10-26 202
要知道FSDHook原理,首先我们必须了解什么是FSD,也就是FileSystem。我们电脑上的文件系统ntfs.sys,他有个设备\FileSystem\Ntfs,这个设备是用IoCreateDevice创建,跟我们驱动的时候一样,那么我们可以通过这个设备,来对ntfs做一些操作,跟ntfs驱动进行一些通信。我们来看IDA分析: //这个就是我们以前的代码,创建一个通信设备 RtlI...
window内核监控工具源代码
09-26
直接反汇编fat和ntfs的DriverEntry得到对应的填充分发的偏移,然后和当前已经运行的文件系统的分发相比是否被hook,并附带恢复 十:文件查看功能 自己解析ntfs和fat的结构,来实现列举文件和直接磁盘删除。附带...
wsyscheck中文版
06-23
如果一个函数同时存在代码HOOK与地址HOOK,则对应的模块路径显示的是Inline Hook的路径,而使用“恢复当前函数代码”功能只恢复Inline Hook,路径将显示为地址HOOK的模块路径,再使用“恢复当前函数地址”功能就恢复...
Wsyscheck20080122(中文版)
12-05
如果一个函数同时存在代码HOOK与地址HOOK,则对应的模块路径显示的是Inline Hook的路径,而使用“恢复当前函数代码”功能只恢复Inline Hook,路径将显示为地址HOOK的模块路径,再使用“恢复当前函数地址”功能就恢复...
windows 2000 堆管理的一点心得和体会
xyooyy的专栏
05-06 1033
  windows 2000堆管理 较为复杂 基本是通过三种方式来管理堆 分别是sidealook  freelist  cache  freelist是个双向连表 把同样大小的空闲的对快连接到一起  freelist ------------------->0x0  这里是大于1024的空闲堆                                          0x01
没有对ntfs.sys hook的情况下有效的枚举文件
xyooyy的专栏
04-17 797
一个线程 用来对文件进行枚举typedef struct _THREAD_EVENT{ KEVENT most_wait_thread;//这里是主线程唤醒辅线程时 主线程对待的互迟量 KEVENT hyp_wait_thread;//这时主线程唤醒辅线程的互斥量    WCHAR* file_name;//要枚举的文件夹    PVOID in_buffer;//进行枚举后文件结构所
进程地址空间中的可确认的内存区域(windows2000)
xyooyy的专栏
04-25 728
起始地址 结束地址 十六进制大小 类型 / 描述 0x00000000 0x0000FFFF 10000  底部的受保护块( Lower guard block ) 0x00010000 0x0001FFFF 10000 WCHAR[]/ 环境字符串,在一个 4KB 页中分配 0x00020000 0x0002FFFF 10000 PROCESS_PARAMETERS/ 在一个 4KB
人脑与电脑
xyooyy的专栏
04-12 601
  电脑不具备思考能力。   如果说人是高等动物的话,相对于低等动物来说,人有很强的思考能力,和大脑天然优势,比其他任何一个地等动物具有更大,具有更多的细胞   然后熊和人类大脑是最接近的,熊缺不具备思考能力。人所具备的想象能力是其他动物所不具有的。   如果思考是一棵多藤,多根的大树。笨笨的电脑自然会选择遍历,来耦合所要寻找的或者是证明的结果。(在我看来实在是一种碰运气的做法) 因为
window 2000动态切换进程内存空间
xyooyy的专栏
03-20 596
首先检查目标线程是不是当前线成 然后将切换的目标进程堆栈+1 之后保存当前线成apc到SavedApcState 初始化当前线程的apc链 其中包括内核链和用户链 InitializeListHead(&Thread->ApcState.ApcListHead[KernelMode]); InitializeListHead(&Thread->ApcState.ApcListHead[Us
假期结束之前,,,
xyooyy的专栏
08-30 570
  这是我前阵子做的一个ndis驱动  通过ndis hook读取数据包中的内容 然后分析如果是我们构造的是数据报 则把其中的shellcode插入到apc队列当中  还不能够执行过长的shellcode 超过一个包的长度 再结构中保留了其中需要的数据结构  通讯的包使用的是udp数据报结构  源代码:  http://my.opera.com/xyooyy/homes/fil
个frida hook构造函数例子
最新发布
03-22
好的,下面是一个使用Frida hook构造函数的例子: ```javascript Java.perform(function() { var MyClass = Java.use('com.example.MyClass'); MyClass.$init.implementation = function(arg1, arg2) { console.log('Constructor called with args: ' + arg1 + ', ' + arg2); this.$init(arg1, arg2); }; }); ``` 这个例子中,我们使用Frida hook了一个名为MyClass的Java类的构造函数。在hook的实现中,我们打印了构造函数的参数,并调用了原始的构造函数实现。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值