NDIS HOOK开发小记

最新推荐文章于 2014-01-17 12:57:54 发布
最新推荐文章于 2014-01-17 12:57:54 发布
阅读量1.1k 收藏
点赞数
分类专栏: windows底层核心編程 文章标签: hook windows
NDIS HOOK一个忽略的问题

网上有不少介绍NDIS HOOK的文章,但是有一个细节问题都没有介绍,对于我等菜鸟来说照着他的例子写一遍但是为什么我得就HOOK不成功呢?经过本人一个五一假期的尝试,终于找到了我所犯的弱智的错误。

1、如果你向调用其他简单驱动那样加载驱动程序,那我告诉你,你能加载成功,但是程序是不能执行的。

首先我们来看一下windows的启动方式:

1、一般的windows系统服务在注册表的HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices下面

我们主要注意下面一个键值:START的值,它是一个十六进制值

其中一般对应的启动方式 0 --自动 优先级最高,会作为操作系统自身的服务加载,最先启动 例如NDIS.SYS

                                   1--自动优先级次之,但也是操作系统的关键服务 例如TCPIP.SYS

                                   2--自动启动,但是优先级稍低

                                   3--手动启动

                                   4--已禁用的启动方式

2、为什么我得老是HOOK不上了

对了,就是我把启动次序设错了,我们应该在NDIS.SYS启动后,TCPIP.SYS启动前加载,所以我们NDIS HOOK的驱动程序应该将启动方式设为0

3、更多补充中

 
NDIS HOOK及MINIPORT HOOK的实现
The Art Of Kernel
09-01 1285
[0x00]    网上有很多讨论关于NDIS HOOK的文章,但大多只讲了WIN7之前的HOOK NDIS_OPEN_BLOCK下的例程,至于WIN7下怎么 HOOK以及如何做MINIPORT-HOOK,网络上则鲜有提及.根据前阵子的相关分析,我把NDIS HOOK总结一下
Windows防火墙之NDIS HOOK和TDI HOOK
深度技术安全
02-20 8414
<br />1、TDI HOOK<br /> TDI Client利用TDI接口,向TDI Server发送IRP(I/O Request Packet)请求包,来获得TDI Server提供的服务。因此,可以利用分层驱动原理[5],在TDI Client和TDI Server驱动之间加一层过滤驱动-FilterDriver.sys。对于TCP/IP协议而言,在Windows网络协议体系结构中是由Tcpip.sys驱动实现的。Tcpip.sys创建了几个设备对象,/Device/RawIp,/Device/
NDIS HOOK 防火墙实现关键技术
07-28
NDIS HOOK 防火墙实现关键技术防火墙实现关键技术
ndis_hook.c
03-22 1970
ndis_hook.c00004 00014 #include 00015 00016 #include "adapters.h"00017 #include "av.h"00018 #include "memtrack.h"00019 #include "ndis_hk.h"00020 #include "filter.h"00021 #include "
Hook NDIS.SYS入口
10-25 1231
test 
NDIS HOOK开发简单日志(3)-ndis版本
04-26 2133
如果多平台网络驱动的时候,不可避免有些核心的结构是不同的,比方编译出现以下错误BindAdapterHandler : is not a member of _NDIS30_PROTOCOL_CHARACTERISTICS明显我的结构应该是_NDIS50_PROTOCOL_CHARACTERISTICS,但是vc编译的时候无法识别(我喜欢quicksys的框架,新版0.3.0支
ndis_hook.rar_Ndis hook_ndis
09-19
NDIS Hook技术详解》 NDIS(Network Driver Interface Specification)是Windows操作系统中网络驱动程序接口的...正确理解和运用NDIS Hook技术,可以帮助我们在网络监控、安全防护等领域开发出高效且灵活的应用。
基于Ndis Hook钩子技术开发的网络防火墙源代码
11-20
基于Ndis Hook技术开发的网络防火墙源代码
基于费尔的Ndis Hook技术的网络监控系统防火墙源码
08-07
基于费尔的Ndis Hook技术的网络监控系统防火墙源码
DrvFltIp.rar_DrvFltIp_NDIS Filter_Ndis hook_ndis_ndis过滤
09-14
一个驱动级的防火墙源程序,基于ndis hook,可以设定外部设定过滤规则,
(R)-C++-Code-网络监控系统-源代码全.rar_Ndis hook_hook_ndis_rip_网络监控
09-23
这是网络版的Rip版,版本号为2.1,基于费尔的Ndis Hook技术. 相比正式版,除了去掉了无关紧要的注册和升级,其余一字未改. 目录列表: TGuard 应用程序目录 TGuard_sys For 2k的驱动程序 Release 存放应用程序 Def...
探索NDIS HOOK新的实现方法
11-11
NDIS HOOK是专业级防火墙使用的一种拦截技术,NDIS HOOK的重点是如何获得特定协议对NDIS_PROTOCOL_BLOCK指针,获得了该指针,接 下来就可以替换该协议所注册的收发函数,而达到拦截网络数据的目的。
NDIS HOOK开发简单日志
04-24 4581
今天调试了下uay backdoor, 其实基于ndis hook的想法的rootkit,2003年的时候我已经想过,一直没有动手了,看来实战第一. 呵呵,当然波兰的女hacker的rootkit 似乎也是这个思路,没有公布一点源码,这里我们应该感谢uay; 他在源代码里面也提到是采用了gjp的ndis hook技术---fake protocol,其实就是注册一个假协议获取协议连,从而递归来ho
NDIS HOOK实现方法
weixin_30417487的博客
04-13 206
转载探索NDIS HOOK新的实现方法(1) NDIS HOOK是专业级防火墙使用的一种拦截技术,NDIS HOOK的重点是如何获得特定协议对应NDIS_PROTOCOL_BLOCK指针,获得了该指针,接下来就可以替换该协议所注册的收发函数,而达到拦截网络数据的目的。 获 得NDIS_PROTOCOL_BLOCK指针的方法一般是用NdisRegisterProtocol注...
ndishook相关代码
06-07 1129
PVOIDFindNDISNode(IN NDIS_HANDLE ProtocolBindingContext){     KIRQL              oldIrql;    PLIST_ENTRY        thisEntry, listHead;    PNDIS_PROTOCOL_HOOK  pNode;        KeAcquireSpinLock(&spinLock,
NDIS HOOK的几种方法
namelcx的专栏
12-08 1828
NDIS HOOK大概有三种方法 1,Inline HOOK NDIS 的分发函数 2,修改 ndis.sys的导出表 3,注册一个假协议驱动,并通过协议链表找到tcpip节点,修改它的分发函数
Windows操作系统文件安全NDIS-Hook的实现方法
weixin_33943347的博客
01-17 377
NDIS-Hook技术的工作机制是挂接网络驱动NDIS.SYS的函数库中的导出函数,在发向NDIS的请求之前就会被挂接并经过自己函数的处理。在Windows实现NDIS-Hook时有两种不同的思路可以利用。①对内核驱动NDIS.SYS的Exporttable进行Hook 在Windows下,可执行文件(包括DLL以及SYS)都是遵从PE(PortableExe-c...
利用Ndis Hook技术实现高效网络监控
标签“于费尔的Ndis Hook技术的网络监控系统”指出了这一系统采用了“于费尔”开发NDIS Hook技术实现网络监控功能。标签用于标识和分类文件或项目,便于快速识别和检索。 压缩包文件名列表中的“www.pudn.com.txt...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值