rootkit技术之IoCallDriver介绍

最新推荐文章于 2020-03-31 17:21:52 发布
转载 最新推荐文章于 2020-03-31 17:21:52 发布 · 593 阅读 · 0
文章标签:

#fp #hook #object #null #string #微软

本文深入解析了内核驱动中的IoCallDriver和IofCallDriver例程的作用,详细解释了如何通过修改这些例程形成系统调用跳转表,实现对系统的hook操作。通过定义函数指针类型、实现hook和unhook函数,展示了如何在不改变原始代码的情况下,灵活地控制系统行为。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

IoCallDriver是一个非常重要的内核例程,利用它可以过滤所有的系统请求,在IoCallDriver中调用IofCallDriver例程,几乎所有的内核驱动都调用了IofCallDriver。IoCallDriver的原型如下:

NTSTATUS 
  IoCallDriver(
    IN PDEVICE_OBJECT  DeviceObject,
    IN OUT PIRP  Irp
    );

它的作用是向指定的设备对象发送一个IRP。

在微软发布的内核的源码的\WRK-V1.2\base\ntos\io\iomgr\iosubs.c(2244)找到了IofCallDriver的实现

NTSTATUS

FASTCALL

IofCallDriver(

    IN PDEVICE_OBJECT DeviceObject,

    IN OUT PIRP Irp

    )

{

    if (pIofCallDriver != NULL) {

 

        //

        // This routine will either jump immediately to IovCallDriver or

        // IoPerfCallDriver.

        //

        return pIofCallDriver(DeviceObject, Irp, _ReturnAddress());

    }

 

    return IopfCallDriver(DeviceObject, Irp);

}

几乎所有的系统调用都是如此,进入之后,就会出现一个jmp,跳到真实的调用处,这就形成了一个系统调用跳转表,只要修改这个地址,就能构成一个hook,当然现在安全软件能够很容易的检测到它。

来看实现hook的代码

// 首先定义一个函数指针类型

typdef NTSTATUS FASTCALL ( *PMY_IOFCALLDRIVER_FP) (IN PDEVICE_OBJECT, IN OUT PIRP);

// 以下函数用函数newIofCallDriver去代替现有的IofCallDriver

// 同时返回旧的IofCallDriver所跳转的实际地址,如果失败,则返回空

PMY_IOFCALLDRIVER_FP MyHookIofCallDriverXP (

       IN PMY_IOFCALLDRIVER_FP newIofCallDriver,

       IN BOOLEAN hookOrUnhook)

{

     UNICODE_STRING functionName;

     PBYTE address;

     Static PMY_IOFCALLDRIVER_FP oldIofCallDriverBody = NULL;

RtlInitUnicodeString ( &functionName, L”IofCallDriver”);

 

// 得到IofCallDriver的入口地址

Address = MmGetSysemRoutineAddress (&functionName);

If(hookOrUnhook)

{

   // 获得入口地址后,加2字节的地址就是旧的

   // IofCallDriver 的执行体的地址

   oldIofCallDriverBody = ( PMY_IOFCALLDRIVER_FP )( *(PLONG)(address + 2);

   InterlockedExchange((PLONG) (address +2), newIoCallDriver);

   return oldIofCallDriverBody;

}

Else

{

// 复原

if(oldIofCallDriverBody == NULL)

{

        InterlockedExchange ((PLONG)(address + 2),

        oldIofCallDriverBody);

        return oldIofCallDriverBody;

}

}

   


HookIoCallDriver与IofCallDriver
fengkuangfj的专栏
03-08 3527
用途之一:从内核层保护文件不被删除 IoCallDriver:一个内核例程,过滤所有的系统请求 NTSTATUS IoCallDriver(IN PDEVICE_OBJECT DeviceObject, IN OUT PIRP Irp ); IofCallDriver:在IoCallDriver中调用的一个例程,几乎所有的内核驱动都调用了IofCallDr
Windows内核学习笔记(二)-- IoCallDriver函数与PoCallDriver函数
iT2afL0rd's Blog
07-19 8558
      今天看书的时候看到了这两个函数,开始还没在意,以为是同一个,功能应该一样。后来想想一样的干嘛还弄两个呢,于是就查了一下,发现这两个函数差别还蛮大的。首先来看这两个函数的原型:NTSTATUS IoCallDriver( IN PDEVICE_OBJECT DeviceObject, IN OUT PIRP Irp );NTSTATU
关于IoCallDriver
Ghjhfssfgk的博客
03-31 520
通常我们所知IoCallDriver是把irp传递给下一层设备,传递到底是什么意思呢? IoCallDriver中实际调用了IopfCallDriver,其代码如下: NTSTATUS FORCEINLINE IopfCallDriver( IN PDEVICE_OBJECT DeviceObject, IN OUT PIRP Irp ) /*++ Routine Description: Thi...
内核级后门RootKit技术总揽pdf版最新版本
最新发布
01-08
本文档的PDF版提供了一次关于RootKit技术的全面探讨,包含从基础到进阶的广泛知识点。 RootKit技术的一个核心特征是隐蔽性。为了达到隐蔽目的,RootKit会采取多种手段,如修改操作系统的核心数据结构来隐藏进程、...
Anti MBR-Rootkit技术研究
01-20
摘要:本文主要对磁盘主引导记录MBR和Windows操作系统的启动过程进行了阐述,对Rootkit和MBR-Rootkit技术特点进行了总结,对MBR-Rootkit结构和实例的行为特点进行了深入研究和剖析,针对WinXP操作系统的MBR-Rootkit...
Rootkit木马隐藏技术分析与检测技术综述
02-08
删除进程双向链表中的进程对象是Rootkit木马最常用的隐藏技术之一。这种技术通过删除进程对象从而使得进程隐藏,并且这种隐藏方式难以被检测出来。 Rootkit木马可以通过Hook API函数来实现进程隐藏,例如Hook ...
Rootkit端口隐藏技术_rootkithook_hook_rootkit_creature2ka_隐藏驱动
09-11
Rootkit的核心功能之一是端口隐藏,这主要是为了防止网络安全分析工具发现恶意活动。当一个Rootkit被植入系统后,它可以使用Hook技术来拦截和修改系统调用,以便在系统级改变端口的可见性。Hook是一种编程技术,通过...
入门笔记 - IoCallDriver
zacklin的专栏
04-16 2206
分层驱动概念略。设备挂载指的是将一个设备A挂载到一个设备栈中的顶层设备B上面,从而使得发向原来设备栈中顶层设备B的IRP,会先发到A中,在A里面可以过滤一些IRP数据,达到过滤的目的。[详细见驱动开发详解12章] 当应用程序发向原先的设备的IRP,会先发向过滤设备里,在过滤设备处理IRP时 1、可以调用IoCompleteRequest函数,直接结束IRP请求,这样就会使得IRP不能到达底层驱
windows磁盘io测试工具
01-17
找到这个资源,是因为在windows服务器上,发现同样的程序,在机器1上写日志极快,另一台上极慢(导致请求响应超时)。后来用该工具测试,发现io差距好几倍
IoCallDriver
yfh1985sdq的专栏
05-03 479
 // 将指定IRP发送给指定设备 NTSTATUS    IoCallDriver(     IN PDEVICE_OBJECT  DeviceObject, // 设备对象     IN OUT PIRP  Irp                                  // IRP对象     );
IoCallDriver()简析
pureman_mega的博客
03-27 1744
NTSTATUS IofCallDriver(IN PDEVICE_OBJECT DeviceObject, IN OUT PIRP Irp) { if(*pIofCallDriver)//je 0x1d { return pIofCallDriver(DeviceObject,Irp); } Irp->Cu
inline hook IofCallDriver 调用ntfs时保护文件访问
125096
09-05 735
#include #include NTSTATUS DriverUnload(IN PDRIVER_OBJECT DriverObject); int IsNeedProtect(DEVICE_OBJECT *DeviceObject, PIRP Irp); ULONG GetFunctionAddr(IN PCWSTR FunctionName); VOID InlineHook();
Inline Hook IofCallDriver 截获所有IRP
04-02 1578
前段时间搞了一些Inline HOOK API的demo,例如对NtQueryDirectoryFile Inline HOOK 进行文件的隐藏,(恰好NtQueryDirectoryFile 在SSDT有导出,也可以采用改SSDT来实现HOOK.,只不过Inline HOOK 隐蔽性好点).而NtQueryDirectoryFile是调用IofCallDriver的(我猜的),那么HOOK Io
Hook IofCallDriver 代码收集
weixin_30411997的博客
06-24 155
Inline Hook IofCallDriver 截获所有IRP 首先声明这个是菜鸟—我的学习日记,不是什么高深文章,高手们慎看. 前段时间搞了一些Inline HOOK API的demo,例如对NtQueryDirectoryFile Inline HOOK 进行文件的隐藏,(恰好NtQueryDirectoryFile 在SSDT有导出,也可以采用改SSDT来实现HOOK....
IoCallDriver源码剖析
weixin_34256074的博客
07-20 152
IoCallDriver是一个宏: #define IoCallDriver(a,b) \ IofCallDriver(a,b) 显然用的是IofCallDriver(); IofCallDriver()代码如下: NTSTATUS FASTCALL IofCallDriver( IN PDEVICE_OBJECT DeviceObje...
探究Windows内核级后门Rootkit技术
内核级后门Rootkit技术是一种高级的恶意软件技术,它能够深入到操作系统的内核层面,隐藏恶意程序的存在,从而使得检测变得极为困难。由于内核是操作系统的核心部分,控制着系统的硬件资源和软件资源,任何对内核的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值