驱动InLine HOOK实例

最新推荐文章于 2023-06-16 19:49:24 发布
最新推荐文章于 2023-06-16 19:49:24 发布
阅读量796 收藏
点赞数
分类专栏: 驱动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zang141588761/article/details/82972477
版权

   A、选取HOOK地址

   B、分析等HOOK函数参数

   C、构建HOOK 代码

   D、实现HOOK

   E、测试效果

 

 32 ssdt hook

 

eb ba52c07e 90

u nt!NtOpenProcess

u nt!NtOpenProcess l 100

jmp //0xE9

//jmp my_NtOpenProcess

// NtOpenProcess=jmp my_NtOpenProcess // my_NtOpenProcess-RealNtOpenProcess-5;

 

// 定义一下NtOpenProcess的原型

extern "C"    typedef  NTSTATUS      __stdcall NTOPENPROCESS

(

 OUT PHANDLE ProcessHandle,

 IN ACCESS_MASK AccessMask,

 IN POBJECT_ATTRIBUTES ObjectAttributes,

 IN PCLIENT_ID ClientId

 );

NTOPENPROCESS   *  RealNtOpenProcess;

 

PEPROCESS  EP;

 

// 自定义的NtOpenProcess函数 ZwOpenProcess

#pragma PAGECODE

   NTSTATUS  __declspec(naked__stdcall MyNtOpenProcess(

         OUT     PHANDLE ProcessHandle,

         IN     ACCESS_MASK DesiredAccess,

         IN     POBJECT_ATTRIBUTES ObjectAttributes,

         IN     PCLIENT_ID ClientId )

         NTSTATUS     rc;

         HANDLE       PID;

 

         KdPrint(("++++++++++++Entry MyNtOpenProcess int   ++++++++++++++\n")); 

 

         //rc = (NTSTATUS)RealNtOpenProcess( ProcessHandle, DesiredAccess, ObjectAttributes, ClientId );   

 

         if( (ClientId != NULL) )

         {

                   PID = ClientId->UniqueProcess;  

                   KdPrint(( "------------------------- PID=%d--------------\n",(int*)PID ));

 

                   // 如果是被保护的PID,则拒绝访问,并将句柄设置为空

                   if(PID == MyPID)

                   {

                            KdPrint(("被保护进程 MyPID=%d \n",(int)MyPID));

                            //调试输出 类似C语言的 Printf

                            ProcessHandle = NULL; //这个是关键

                            rc = STATUS_ACCESS_DENIED; //这个返回值

                            //PsLookupProcessByProcessId((ULONG)PID,&EP);

                            EP=PsGetCurrentProcess();                    

                            KdPrint((" ACESS Process Name  --:%s--   \n",(PTSTR)((ULONG)EP+0x174)));

                            __asm

                            {     // int 3

                                     // add esp,10 //弹出4个参数

                                     retn 0x10

                            }

 

                   }

         }

         __asm

         {     // int 3

                     // add esp,10 //弹出4个参数

                       push  0x0C4

                            mov eax,RealNtOpenProcess

                            add eax,5

                            jmp eax

         }

//       return rc;

}

         SSDT_Adr=(PLONG)*SSDT_Adr;// 0xE9

         ULONG    jmpaddr= (ULONG)MyNtOpenProcess- (ULONG)RealNtOpenProcess-5; //SSDT HOOK 

         __asm

         {   mov  ebx,SSDT_Adr

             mov eax,jmpaddr

             mov  BYTE ptr ds:[ebx],0xe9

                   mov  DWORD ptr ds:[ebx+1],eax

                   int 3

                   mov     eax, cr0

                   or     eax, 10000h

                   mov     cr0, eax

                   sti

         }  

小蚂蚁_CrkRes
关注
专栏目录
(滴水中期练习)通过InlineHook NtReadFile实现R3到R0的通信
Sheepjj的博客
04-17 686
用ida查看NtReadFile的汇编代码 //参数注释 PAGE:0049D117 var_78 = dword ptr -78h PAGE:0049D117 var_74 = dword ptr -74h PAGE:0049D117 var_70 = dword ptr -70h PAGE:0049D117 var_6C = dword ptr -6Ch PAGE:0049D117 Irp = dword
Win64 驱动内核编程-23.Ring0 InLineHook 和UnHook
天使也掉毛
03-26 5141
Ring0InLineHook和UnHook 如果是要在R0里hook,作者的建议是InLineHOOK,毕竟SSDTHOOK和SHADOWSSDTHOOK比较麻烦,不好修改。目前R3的InLineHOOK我比较喜欢的是MINIHOOKENGINE,但是今天要解决的是R0的InLineHOOK问题。 下面说下InLineHOOK的思路: 一、实现...
VC写的一个简单的InlineHook例子
01-04
一个vc写的inlineHook MessageBox小例子,希望对大家有帮助。
Inline hook例子
05-31
Inline hook的例程,可以说填写以下就可以用了。
Inline Hook示例
精彩的艺术
03-01 389
#include "stdafx.h" #include char g_OldAddress[0x5] = {}; char g_NewAddress[0x5] = { 0xE9 }; void HookMessageBox(); void unHookMessageHook(); //自己的MessageBox函数 //思路:拦截到MessageBox之后,修复原来的地方,再执行原来的
C++实现inline hook的原理及应用实例
09-04
主要介绍了C++实现inline hook的原理及应用,需要的朋友可以参考下
VC inline hook实例
03-13
VC inline hook实例,只要修改一点点代码就能完全支持你的程序。
Rootkit端口隐藏技术_rootkithook_hook_rootkit_creature2ka_隐藏驱动
09-11
在本文中,我们将深入探讨Rootkit如何使用Hook技术来隐藏端口,以及如何通过驱动加载实现这一目标。我们还将提及insdrv工具在其中的作用。 Rootkit的核心功能之一是端口隐藏,这主要是为了防止网络安全分析工具发现...
易语言x64-hook模块源码+实列
最新发布
07-30
4. **wow64_Inline hook 演示实例**:内联HookHook技术中一种高效但较为复杂的实现方式,它直接修改被Hook函数的机器指令。这个实例展示了如何在易语言中应用内联Hook,帮助开发者实践和理解这种技术。 5. **wow...
郁金香驱动教程\驱动学习笔记
07-30
..............\............\3.2.4 驱动InLine HOOK实例 -(44课).doc ..............\............\3.2.5 认识 IDT表 -(45课).doc ..............\............\3.2.6 IDT HOOK -(46课).doc ..............\......
WIN64位驱动 InLine_HOOK框架
12-28
Win64 和 Win32 都可用的内核 InLineHook 框架,网上找的感觉都很麻烦, 这个感觉比较清晰明了, 但也有不足之处 就是修改函数头部时 不够完美;但是日常使用感觉足够了.
API hook(inline)超简入门代码
07-20
简单的API hook的入门用代码参考,hook目标MessageBoxW。hook形式:inline hook
驱动内核模式下的apihook钩子例子,编写驱动程序.zip
03-28
驱动内核模式下的apihook例子,编写驱动程序.zip
64位驱动SSDTHOOK教程
10-02
完整的64位驱动SSDTHOOK文档资料,学习win7 64位驱动很好的
hook驱动方式注入内核源代码
01-19
C语言写的ROOT记录器,编译通过了.#include "stdafx.h" #include "ScanCode.h" #include "DriverEntry.h" #include <stdarg.h> const WCHAR *DEVICE_NAME = L"\\Device\\MonkeyKingDeviceName"; const WCHAR *SYMOBL_NAME = L"\\??\\MonkeyKingSymbolicName"; const char *NT_DEVICE_NAME = "\\Device\\KeyboardClass0"; const char *LOG_FILE_NAME = "\\DosDevices\\c:\\MonkeyKing.txt"; int numPendingIrps = 0; /*---------------------------------------------------------------------------------------------------------------------------------------------*/ /************************************************************************ * 函数名称:DriverEntry * 功能描述:初始化驱动程序,定位和申请硬件资源,创建内核对象 * 参数列表: pDriverObject:从I/O管理器中传进来的驱动对象 pRegistryPath:驱动程序在注册表的中的路径 * 返回 值:返回初始化驱动状态 *************************************************************************/ STDAPI_(NTSTATUS) DriverEntry( IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRING pRegistryPath ) { NTSTATUS retValue = STATUS_SUCCESS; TRACEMSG("初始化例程..."); pDriverObject->DriverUnload = OnUnload; for (INT32 i = 0; i < IRP_MJ_MAXIMUM_FUNCTION; i++){ pDriverObject->MajorFunction[i] = DispatchHandler; } pDriverObject->MajorFunction[IRP_MJ_READ] = DispatchRead; TRACEMSG("初始化例程...完成"); //创建设备。 TRACEMSG("创建设备..."); PDEVICE_OBJECT pKeyboardDevice = NULL; if (!NT_SUCCESS(retValue = CreateDevice(pDriverObject, &pKeyboardDevice))) { TRACEMSG("创建设备...失败"); return retValue; } TRACEMSG("创建设备...完成。键盘设备对象指针为:0x%x", pKeyboardDevice); //挂接设备。 TRACEMSG("挂接设备..."); if (!NT_SUCCESS(retValue = HookKeyboard(pKeyboardDevice))) { TRACEMSG("挂接设备...失败"); return retValue; } TRACEMSG("挂接设备...完成"); TRACEMSG("初始化线程..."); if (!NT_SUCCESS(retValue = InitThreadLogger(pDriverObject))) { TRACEMSG("初始化线程...失败"); return retValue; } TRACEMSG("初始化线程...完成");
API hook原理和实例快速入门(inline hook),以dll线程注入方式使用(win7-64bit)
翻肚鱼儿的博客
07-27 1850
一个完整的hook,如果hook程序是以dll形式生成的,是分两步:1.完成dll本身的设计和生成,2.完成dll注入程序的设计和生成 本文完成第一步。 第二步在http://blog.csdn.net/arvon2012/article/details/7767437有详细讲解。 最近在64位win7上hook文件复制,拖拽和剪切的hook(这个要通过hook IFileOperating接口实现)。所以学习了API hook。这里是对自己的学习做个简单的总结,希望和hook新手们共同探讨和进.
Hook攻防之InlineHook
xf555er的博客
06-16 1833
Inline Hook,又称为超级Hook,是一种强大而又灵活的Hook技术。Inline Hook的主要思想就是直接修改目标函数的代码,通常是在目标函数的开头插入一个跳转指令(jmp)。这个跳转指令会将程序的执行流跳转到我们自定义的函数中。在我们的自定义函数中,我们可以执行任意的代码,然后再跳回目标函数的剩余部分。这样,我们就可以在不改变目标函数原有逻辑的基础上,添加自己的功能。
Windows驱动开发学习笔记(六)—— Inline HOOK
qq_41988448的博客
12-16 1205
Windows驱动开发学习笔记(六)—— Inline HOOK前言实验一:3环 Inline HOOK实验二:0环 Inline Hook 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 实验一:3环 Inline HOOK #include <stdio.h> #include <windows.h> BY...
Rootkit---HOOK内核驱动
q759451733的博客
04-16 1341
当插入一个内核驱动时,一般会使用工具insmod,该工具实际上调用了系统调用init_module,在该系统调用函数中,首先调用 load_module,把用户空间传入的整个内核模块文件创建成一个内核模块,返回一个struct module结构体。内核中便以这个结构体代表这个内核模块。 init_module系统调用定义,可以看到主要是调用了load_module。 在load_module中,主要prepare_coming_module,准备将内核模块进行加载。 prepare_coming_mo
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小蚂蚁_CrkRes

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值