IRP HOOK

最新推荐文章于 2023-08-23 00:10:49 发布
最新推荐文章于 2023-08-23 00:10:49 发布
阅读量822 收藏 2
点赞数

流程

相比较R3 HOOK,R0的HOOK还是比较简单的(毕竟共享一块内存)

直接IoGetDeviceObjectPointer根据名称获取驱动对象,然后更改分发函数数组元素即可HOOK指定IRP分发函数

实现

NTSTATUS InstallTCPDriverHook()
{
    NTSTATUS       ntStatus;
    UNICODE_STRING deviceTCPUnicodeString;
    WCHAR deviceTCPNameBuffer[]  = L"\\Device\\Tcp";
    pFile_tcp  = NULL;
    pDev_tcp   = NULL;
    pDrv_tcpip = NULL;

    RtlInitUnicodeString (&deviceTCPUnicodeString, deviceTCPNameBuffer);

    ntStatus = IoGetDeviceObjectPointer(&deviceTCPUnicodeString, FILE_READ_DATA, &pFile_tcp, &pDev_tcp);//获取驱动对象

    if(!NT_SUCCESS(ntStatus)) 
        return ntStatus;
    pDrv_tcpip = pDev_tcp->DriverObject;

    OldIrpMjDeviceControl = pDrv_tcpip->MajorFunction[IRP_MJ_DEVICE_CONTROL]; 
    //保存原始函数用于处理后下发

    if (OldIrpMjDeviceControl)
        InterlockedExchange ((PLONG)&pDrv_tcpip->MajorFunction[IRP_MJ_DEVICE_CONTROL], (LONG)HookedDeviceControl);

    return STATUS_SUCCESS;
}
zyorz
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
IRP HOOK 拦截ring0驱动层的IRP包.ring0 rootkit hook
01-24
IRP HOOK 拦截ring0驱动层的IRP包.ring0 rootkit hook
黑客爱用的 HOOK 技术大揭秘
A_991128a的博客
03-06 1736
病毒木马为何惨遭杀软拦截?商业软件为何频遭免费破解?系统漏洞为何能被补丁修复?这一切的背后到底是人性的扭曲,还是道德的沦丧,敬请收看今天的专题文章:《什么是 HOOK 技术?
IRP Hook
LYSM
03-02 902
谈到irp拦截,基本上有三种方式 在起点拦截 在半路拦截 在终点拦截 下面我们会详细分析这几种方式哪些是有效的,哪种是无效的。 要理解这几种拦截,我们需要看看irp地传送过程。 (注意并不是每种IRP都经过这些步骤,由于设备类型和IRP种类的不同某些步骤会改变或根本不存在。) 一、IRP创建。 由于IRP开始于某个实体调用I/O管理器函数创建它,可以使用下面任何一种函数创建IRP: IoBuildAsynchronousFsdRequest 创建异步IRP(不需要等待其完成)。该函数和下一个函数仅适
x86 IRP HOOK
XboxMicro
02-26 1360
内核中一个很好的隐藏位置是每个设备驱动程序中包含的函数表。在安装驱动程序时,它初始化一个函数指针表,这些指针包含了它的各种类型I/O请求报文(I/O Request Packet IRP)处理函数的地址。IRP处理多种类型的请求,例如读、写和查询。由于驱动程序处于控制流中非常低的层次,因此它们是理想的钩子位置。 以下是微软公司DDK定义的标准IRP类型列表: // Define the
黑客爱用的HOOK技术大揭秘!
2201_75362610的博客
06-18 1533
病毒木马为何惨遭杀软拦截?商业软件为何频遭免费破解?系统漏洞为何能被补丁修复?《什么是HOOK技术?上面是开个玩笑,言归正传,今天来聊的话题就是安全领域一个非常重要的技术:HOOK技术。HOOK,英文意思是“钩子”在计算机编程中,HOOK是一种「劫持」程序原有执行流程,添加额外处理逻辑的一种技术。按照这个定义,其实我们Python中的装饰器和Java中的注解,这种面向切面编程的手法在某种程度上来说,也算是HOOK
irp hook来隐藏端口(过vista)
05-16
在IT领域,"irp hook来隐藏端口(过vista)"这个主题涉及到的是系统级编程,特别是关于驱动程序开发和Windows操作系统中的I/O请求包(IRP)处理。IRP(Input/Output Request Packet)是Windows内核模式下进行设备输入...
hook更改硬盘序列号 转载
07-25
标题“hook更改硬盘序列号 转载”涉及到的是一个技术话题,主要关于如何通过编程技术来模拟或改变硬盘的物理序列号(SN)。在IT领域,硬盘序列号是硬盘制造商赋予每个硬盘的一个唯一标识符,通常用于追踪设备、验证...
在Windows 2003中HOOK ZwCreateProcessEx.rar_CreateProcess_hook
09-19
实现内核模式HOOK的一种常见方法是使用IRP(I/O请求包)或系统服务调度表(SSDT)。在Windows 2003中,你可以通过替换SSDT中的`ZwCreateProcessEx`函数地址来实现HOOK。一旦替换成功,每次调用`ZwCreateProcessEx`时...
卡巴斯基HOOK引擎分析
11-07
通过hook IRP (I/O Request Packets),卡巴斯基可以检查、修改或阻止文件系统活动,以增强其反病毒功能。 **TDI HOOKING** Transport Driver Interface (TDI) HOOK允许卡巴斯基监控网络通信,确保网络层的安全。 ...
C++使用hookapi操作源代码windows环境
12-28
C++使用hookapi操作windows环境,包含常用的示例:网络、注册表、文件、对话框、进程等HOOK API各种示例源代码
IRPhook
weixin_34384557的博客
10-21 392
原理:直接IoGetDeviceObjectPointer根据名称获取驱动对象,然后更改分发函数数组元素即可HOOK指定IRP分发函数。//irphook.h /////////////////////////////////////////////////////////////////////////////////////// typedef BOOLEAN BOOL; typedef ...
IRP Hook检测
Returns' Station
05-11 1021
1 BOOL IRPHookChk(IN PUNICODE_STRING pObjName) 2 { 3 PDRIVER_OBJECT pdrv = 0; 4 NTSTATUS status = ObReferenceObjectByName(pObjName,OBJ_CASE_INSENSITIVE,0,0,IoDriverObjectType,KernelMo
Inline Hook IofCallDriver 截获所有IRP
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
08-01 709
Inline Hook IofCallDriver 截获所有IRP  首先声明这个是菜鸟—我的学习日记,不是什么高深文章,高手们慎看. 前段时间搞了一些Inline HOOK API的demo,例如对NtQueryDirectoryFile Inline HOOK 进行文件的隐藏,(恰好NtQueryDirectoryFile 在SSDT有导出,也可以采用改SSDT来实现HOOK.,只不过
Hook免杀实战: 去除杀软的三环钩子
xf555er的博客
08-23 947
Inline Hook,又称为超级Hook,是一种强大而又灵活的Hook技术。Inline Hook的主要思想就是直接修改目标函数的代码,通常是在目标函数的开头插入一个跳转指令(jmp)。这个跳转指令会将程序的执行流跳转到我们自定义的函数中。在我们的自定义函数中,我们可以执行任意的代码,然后再跳回目标函数的剩余部分。这样,我们就可以在不改变目标函数原有逻辑的基础上,添加自己的功能许多杀毒软件使用钩子(hook)技术来监视系统的API函数调用,并检测潜在的恶意代码行为。
windows主动防御视频教程
09-07
本套视频教程主要讲windows主动防御视频教程,从windows驱动开发基础到windows的rootkit开发最后到rootkit的检测一步步带领大家从0开始学习windows的rootkit对抗,技术内容主要讲的是各大安全厂商的安全产品底里核心技术,模仿windows上的杀软(ARK)技术展开,如进程模块注入、隐藏、检测等,还重点讲了虚拟化vt、ept等技术,从浅入深。
通过IRPhook实现键盘记录
zfdyq
10-12 2073
测试机器:win7x86
[寒江独钓] IRP HOOK 键盘过滤之替换原键盘分发函数
weixin_30691871的博客
05-23 138
标题:[IRPHOOK]键盘过滤驱动学习 作者:0xFFFFCCCC 时间:2012-05-20 链接:http://hi.baidu.com/pushad/item/0a78c3ba0812e6afeaba9399 MajorFunction.h #ifndef _MAJORFUNCTION_HEADERS_ #define _MAJORFUNCTIO...
IRP Hook 键盘Logger
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-06 907
作 者: cogito 前天拜读combojiang 的rootkit hook 系列之[五] IRP Hook全家福(原帖:http://bbs.pediy.com/showthread.php?t=60022)之后,决定用文中的第三种方法实现一个KeyLogger。但是combojiang前辈并没有放上Demo,而且我在网上貌似也没找着完整的IRP Hook 键盘Logger实例,于是就
memcpy hook
最新发布
08-27
其中,修改函数代码的方式可以通过Inline hook实现,而修改函数地址的方式可以通过IAT hook、SSDT hookIRP hook、IDT hook等方法实现。引用中给出了一个使用memcpy函数进行hook的示例代码。在这个示例中,先定义了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值