恢复tcpip.sys的dispatch hook

最新推荐文章于 2024-03-06 09:12:14 发布
原创 最新推荐文章于 2024-03-06 09:12:14 发布 · 2.7k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#hook #null #byte #module #file #attributes

该博客详细介绍了如何恢复TCP/IP驱动程序的dispatch hook。通过获取ntoskrnl.exe基地址,查找并恢复TCP/IP驱动的I/O请求处理函数,主要涉及到内存映射、系统信息查询以及内核模式下代码的分析和修改。 
#define BASEADDRLEN 10
PBYTE MyGetNtosBaseAddress() 
{
    PSYSTEM_MODULE_INFORMATION  pSysModule;  

    ULONG        uReturn;
    ULONG        uCount;
    PCHAR        pBuffer = NULL;
    PCHAR        pName  = NULL;
    NTSTATUS    status;
    UINT        ui;

    CHAR        szBuffer[BASEADDRLEN];
    PCHAR        pBaseAddress;

    status = ZwQuerySystemInformation( 11, szBuffer, BASEADDRLEN, &uReturn );
    pBuffer = ( PCHAR )ExAllocatePool( NonPagedPool, uReturn );
    if ( pBuffer )
    {
        status = ZwQuerySystemInformation( 11, pBuffer, uReturn, &uReturn );
        if( status == STATUS_SUCCESS )
        {
            uCount = ( ULONG )*( ( ULONG * )pBuffer );
            pSysModule = ( PSYSTEM_MODULE_INFORMATION )( pBuffer + sizeof( ULONG ) );

            pBaseAddress = ( PCHAR )pSysModule->Base;
            ExFreePool( pBuffer );
            return (PBYTE)pBaseAddress;
        }

        ExFreePool( pBuffer );
    }

    return NULL;
}
PBYTE MyGetModuleBaseAddress( PCHAR pModuleName ) 
{
    PSYSTEM_MODULE_INFORMATION  pSysModule;  

    ULONG        uReturn;
    ULONG        uCount;
    PCHAR        pBuffer = NULL;
    PCHAR        pName  = NULL;
    NTSTATUS    status;
    UINT        ui;

    CHAR        szBuffer[BASEADDRLEN];
    PCHAR        pBaseAddress;

    status = ZwQuerySystemInformation( 11, szBuffer, BASEADDRLEN, &uReturn );
    pBuffer = ( PCHAR )ExAllocatePool( NonPagedPool, uReturn );
    if ( pBuffer )
    {
        status = ZwQuerySystemInformation( 11, pBuffer, uReturn, &uReturn );
        if( status == STATUS_SUCCESS )
        {
            uCount = ( ULONG )*( ( ULONG * )pBuffer );
            pSysModule = ( PSYSTEM_MODULE_INFORMATION )( pBuffer + sizeof( ULONG ) );

            for ( ui = 0; ui < uCount; ui++ )
            {
                pName = strrchr( pSysModule->ImageName, '//' );

                if ( !pName ) 
                {
                    pName = pSysModule->ImageName;
                }

                else {
                    pName++;
                }
                
//                KdPrint(( "pName=%s, pModuleName=%s", pName, pModuleName ));

                if( _stricmp( pName, pModuleName ) == 0 )
                {
                    pBaseAddress = ( PCHAR )pSysModule->Base;
                    ExFreePool( pBuffer );
                    return (PBYTE)pBaseAddress;
                }

                pSysModule ++;
            }
        }

        ExFreePool( pBuffer );
    }

    return NULL;
}
#define SearchDepth 0x300 


void RestoreTcpipIRP()
{
UNICODE_STRING DeviceName; 
PDRIVER_OBJECT DriverObject; 
NTSTATUS status; 
DWORD ret;
KIRQL OldIrql;
ULONG TempDisp ;
ULONG DirverEntry ;
ULONG i ;
ULONG TcpDispatch =0;
ULONG TcpDeviceControlDispatch =0 ;
ULONG TempAddr =0 ;
UNICODE_STRING TcpipDriverFileName ;
OBJECT_ATTRIBUTES oba ;
HANDLE hTcpipFile ;
IO_STATUS_BLOCK IoStatusBlock ;
HANDLE hTcpipSection ;
PVOID BaseAddress =NULL ;
SIZE_T nSize = 0 ;
ULONG Ppeheader ;
ULONG pEntryPoint ;
ULONG TcpipBase ;
ULONG ImageBase ;
RtlInitUnicodeString(&TcpipDriverFileName , L"//SystemRoot//System32//Drivers//Tcpip.sys") ;


RtlInitUnicodeString(&DeviceName,L"//Driver//Tcpip");

status = ObReferenceObjectByName( 
&DeviceName, 
OBJ_CASE_INSENSITIVE, 
NULL, 
0, 
*IoDriverObjectType, 
KernelMode, 
NULL, 
(PVOID*)&DriverObject); 

KDMSG(("Geth the tcpip driver object = %08x", DriverObject));


if (DriverObject) 
{
    TcpipBase = MyGetModuleBaseAddress("tcpip.sys");

    if (!TcpipBase)
    {
        KDMSG(("can't get the base address of the tcpip.sys /n"));
        return ;
    }

    InitializeObjectAttributes(&oba ,
        &TcpipDriverFileName,
        OBJ_CASE_INSENSITIVE,
        NULL,
        NULL
        );
    
    status = ZwCreateFile (&hTcpipFile ,
        FILE_EXECUTE | SYNCHRONIZE ,
        &oba,
        &IoStatusBlock,
        NULL,
        FILE_ATTRIBUTE_NORMAL ,
        FILE_SHARE_READ ,
        FILE_OPEN_IF,
        FILE_SYNCHRONOUS_IO_NONALERT,
        NULL,
        0
        );

    if (!NT_SUCCESS(status))
    {
        KDMSG(("Open the tcp ip file failed!/n"));

        return ;
    }
    InitializeObjectAttributes(&oba,
        NULL,
        OBJ_CASE_INSENSITIVE,
        NULL,
        NULL);

    status = ZwCreateSection (&hTcpipSection ,
        SECTION_ALL_ACCESS,
        &oba,
        NULL,
        PAGE_EXECUTE,
        0x1000000, 
        hTcpipFile );

    if (!NT_SUCCESS(status ))
    {
        KDMSG (("create the tcpip section failed!/n"));
        if (hTcpipFile)
            ZwClose(hTcpipFile);

        return ;
    }

    status = ZwMapViewOfSection(hTcpipSection,
        NtCurrentProcess(),
        &BaseAddress ,
        0,
        1000,
        NULL,
        &nSize,
        ViewShare ,
        MEM_TOP_DOWN,
        PAGE_READWRITE
        );
    
    if (!NT_SUCCESS(status))
    {
        KDMSG(("Map view the tcpip section failed!/n"));
        if (hTcpipSection)
            ZwClose(hTcpipSection);
        if (hTcpipFile)
            ZwClose(hTcpipFile);

        return ;
    }
    Ppeheader = *(ULONG*)((ULONG)BaseAddress+0x3c);
    pEntryPoint = *(ULONG*)((ULONG)BaseAddress+Ppeheader+0x28);
    DirverEntry = (ULONG)BaseAddress+pEntryPoint ;
    ImageBase = *(ULONG*)((ULONG)BaseAddress+Ppeheader+0x34);
    
    //DirverEntry = DriverObject->DriverInit ;
    
    if (DirverEntry)    
    {
        for (i = DirverEntry ; i < DirverEntry + SearchDepth ; i++)
        {
//            if (MmIsAddressValid((PVOID)i))
//            {
                if (*(BYTE*)i == 0x8d && *(BYTE*)(i+1) == 0x7e &&
                    *(BYTE*)(i+2) == 0x38 && *(BYTE*)(i+3) == 0xf3 &&
                    *(BYTE*)(i+4) == 0xab)
                {
//                    if (MmIsAddressValid((PVOID)(i-4)))
//                    {
                        if (MmIsAddressValid((PVOID)(*(ULONG*)(i-4) + TcpipBase - ImageBase)))
                        {
                            TcpDispatch = *(ULONG*)(i-4) + TcpipBase - ImageBase;
                            TempAddr = i;    
                            break ;
                        }
                        
/*                    }*/
    
                }
                
            }
            
        }
        
        //find code =8d 7e 38 f3 ab
        //lea edi,[esi+38h]
        //rep stosd

        if (TempAddr && TcpDispatch)
        {
            for (i = TempAddr ; i < TempAddr +0x30 ; i++)
            {
//                if (MmIsAddressValid((PVOID)i))
//                {
                    if (*(BYTE*)i == 0xc7 && *(BYTE*)(i+1) == 0x46 && *(BYTE*)(i+2) == 0x74)
                    {
                        if (MmIsAddressValid((PVOID)(*(ULONG*)(i+3) + TcpipBase - ImageBase)))
                        {
                            TcpDeviceControlDispatch = *(ULONG*)(i+3) + TcpipBase - ImageBase;
                            break;
                        }
                    }
/*                }*/
                
            }
            
        }
        if (TcpDispatch)
        {
            KeAcquireSpinLock(&SDTSpinLock , &OldIrql);
            WPOFF();
            for (i = 0 ; i <=IRP_MJ_MAXIMUM_FUNCTION ; i++)
            {
                DriverObject->MajorFunction = TcpDispatch ;
      
          
            }
            if (TcpDeviceControlDispatch)
    
        {
                
DriverObject->MajorFunction[IRP_MJ_INTERNAL_DEVICE_CONTROL] = 
TcpDeviceControlDispatch ;

            }
            WPON();
      
      KeReleaseSpinLock(&SDTSpinLock , OldIrql);

        }
        
ObfDereferenceObject(DriverObject);
        
        
    }
    
ZwUnmapViewOfSection(NtCurrentProcess(),
        BaseAddress);
    if 
(hTcpipSection)
    {
        ZwClose(hTcpipSection);
    }
    if 
(hTcpipFile)
    {
        ZwClose(hTcpipFile);
    }
return 
;

}
Windows防火墙之NDIS HOOK和TDI HOOK
深度技术安全
02-20 8461
<br />1、TDI HOOK<br /> TDI Client利用TDI接口,向TDI Server发送IRP(I/O Request Packet)请求包,来获得TDI Server提供的服务。因此,可以利用分层驱动原理[5],在TDI Client和TDI Server驱动之间加一层过滤驱动-FilterDriver.sys。对于TCP/IP协议而言,在Windows网络协议体系结构中是由Tcpip.sys驱动实现的。Tcpip.sys创建了几个设备对象,/Device/RawIp,/Device/
木马核心技术剖析读书笔记之木马的隐藏
不急不躁
03-18 2532
文件隐藏 常用的文件隐藏方法有基于用户模式的 Rootkit 也有基于内核模式的 Rootkit 基于用户模式的 Rootkit 在 Windows 中,应用层的大多数功能都是通过调用 Native API 完成的。以 Windows7 为例,Native API 通过 sysenter 指令进入内核,进而调用 SSDT(System Service Dispatch Table,系...
Hook Dispatch 实时监控[zz]
LionD8' Blog 个人作品 www.360kdj.com 360KDJ股票实验室
09-08 5176
作者:pker/*++Module Name:    FSHook.cAbstract:    I  wanted  to  build a filter driver when I first  thought about doing such    kind of things.  But then I found that its not realistic cause it have
tcpip修复工具
04-12
修复TCPIP方便好用
Hook Npfs驱动对象Dispatch过滤创建和打开管道
Sven的忘却日记
05-12 588
通过Hook Npfs对象的Dispatch的IRP回调函数,达到过滤命名管道的需求,这种方式测试win7-win10_1909 都非常稳定! #include <ntifs.h> #include <ntstrsafe.h> #include <ntddkbd.h> // Propertys // ============================================================================== extern
react dispatch_React系列二十一 Hook(二)高级使用
weixin_39622123的博客
11-22 3820
. Hook高级使用 1.1. useReducer很多人看到useReducer的第一反应应该是redux的某个替代品,其实并不是。useReducer仅仅是useState的一种替代方案:在某些场景下,如果state的处理逻辑比较复杂,我们可以通过useReducer来对其进行拆分;或者这次修改的state需要依赖之前的state时,也可以使用;单独创建一个reducer/coun...
sep误杀tcpip.sys导致的网络异常修复
weixin_33979363的博客
07-31 267
   2013.7.27 sep升级病毒库后,公司很多winxp sp3的用户反馈,局域网网络连不上了,现象有两种:1.DHCP彻底获取不了IP地址,但在本地连接状态上显示是已连接,发送接收字节为零, 手动去系统“服务”里启动DHCP及DNS均失败;2.能获得到IP,但与域连接失败,个别信息系统无法登录;在GOOGLE上漫游了一下,这个现象不是我们一个公司的专利:故障共同点是如下图,tcpip....
基于TDI Filter Hook的网络数据拦截技术实现
在Windows系统启动时,TDI相关的传输驱动(如tcpip.sys)会创建多个设备对象(如\Device\Tcp),这些设备对象包含一组指向不同IRP处理函数的指针,例如IRP_MJ_DEVICE_CONTROL、IRP_MJ_INTERNAL_DEVICE_CONTROL等。...
A盾电脑防护
05-28
│ │ ObjectHook.cpp │ │ ObjectHook.h │ │ Process.cpp │ │ Process.h │ │ ProcessHandle.cpp │ │ ProcessHandle.h │ │ ProcessThread.cpp │ │ ProcessThread.h │ │ ReadMe.txt │ │ resource.h ...
TDI防火墙框架实现TCP/UDP/RawIP拦截
标签列表进一步揭示了项目的多个关键技术维度:“TDI”作为核心技术基础,代表其工作于传输驱动接口层,位于TDI客户端(如Winsock)与传输协议驱动(如tcpip.sys)之间,通过Hook TDI Dispatch Table来截获Create、...
驱动级Hook拦截系统内核调用
11-19
驱动级Hook拦截系统内核调用,源码 驱动级Hook拦截系统内核调用,源码
【TCP/IP】【调试】丢包、流不通、错包等问题查证手段系列之三——Netfilter hook函数
一介草民,只为生活。
09-14 613
- 如果仅需判断报文是否经过了某个hook点,则采用[【TCP/IP】【调试】丢包、流不通、错包等问题查证手段系列之二——防火墙](https://qxhgd.blog.csdn.net/article/details/119709741)这一节的方式即可,没有必要单独写钩子函数。 - 有时需要查看报文的内容,如需确认报文内容是否正确,或希望匹配特定报文做些动作(如截取dns报文、dhcp报文等),此时,可以考虑使用hook函数的方式。
FSDHOOK恢复
125096
08-30 667
WCHAR DriverName[] = L"\\FileSystem\\ntfs"; WCHAR DriverPath[] = L"\\??\\C:\\WINDOWS\\system32\\drivers\\ntfs.sys"; RestoreFSDMajorRoutine(&DriverName, &DriverPath, IRP_MJ_CREATE); //函数名: Resto
[寒江独钓] IRP HOOK 键盘过滤之替换原键盘分发函数
weixin_30691871的博客
05-23 194
标题:[IRPHOOK]键盘过滤驱动学习 作者:0xFFFFCCCC 时间:2012-05-20 链接:http://hi.baidu.com/pushad/item/0a78c3ba0812e6afeaba9399 MajorFunction.h #ifndef _MAJORFUNCTION_HEADERS_ #define _MAJORFUNCTIO...
react-hooks
fk1012的博客
04-11 536
Hook是 React16.8 的新特性,Hook使你在无需修改组件结构的情况下复用状态逻辑。弥补了 functin Component 没有实例没有生命周期的问题,react项目基本上可以全部用 function Component 去实现了。
Win7系统提示找不到ntoskrnl.exe文件的解决办法
最新发布
file
03-06 1828
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个ntoskrnl.exe文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现ntoskrnl.exe丢失要怎么解决?
服务器系统tcpip.sys,win7系统tcpip.sys文件引起蓝屏的解决方法
weixin_35823048的博客
08-07 4947
‍‍蓝屏是常见的电脑故障,而导致出现蓝屏的原因有非常多。最近有win7 64位旗舰版用户在开机时会出现蓝屏,根据屏幕上的错误描述应该是tcpip.sys文件引起的蓝屏现象,这该怎么解决呢?tcpip.sys文件是一个系统和网络相关的文件,该文件出现如果问题会引起蓝屏,下面由小编给大家介绍win7系统tcpip.sys文件引起蓝屏的解决方法。解决方法:1、通常tcpip.sys文件异常导致的蓝屏的停...
网络编程(2)---TCP/IP协议
11onhook的博客
01-26 480
TCP/IP协议是Internet最基本的协议,Internet国际互联网络的基础,由网络层的IP协议和传输层的TCP协议组成。通俗而言,TCP负责发现传输的问题,一有问题就发出信号,要求重新传输,直到所有数据安全正确的传输到目的地,而IP是给因特网的每一台联网设备规定一个地址。 TCP传输模式 IP层接收由更低层(网络接口层例如以太网设备驱动程序)发来的数据包,并把该数据包发送到更高层---...
win10修复tcp驱动服务器,怎么解决tcpip.sys文件导致蓝屏|Win10的tcpip修复工具
weixin_39712611的博客
08-06 6251
tcpip.sys文件引起的蓝屏错误,错误代码为:0x000000D1,表示硬件设备的驱动程序遇到了问题。引起错误的文件是tcpip.sys,那么应该是与网卡驱动有关。这篇文章是PE吧给大家带来的解决方法,希望对大家有帮助。方法/步骤:1、下载tcpip修复工具,由于是一个压缩文件,所以需要进行解压;3、tcpip修复工具分了32位和64位两个版本,大家可以根据自己的系统位数选择合适的版本使用;...
解决服务器tcpip.sys导致的蓝屏问题
"服务器蓝屏问题通常与tcpip.sys文件有关,可能是由于驱动程序错误或不兼容导致。通过使用WinDebug分析.dmp文件,确定问题源于tcpip.sys中的错误代码0xD1,这通常表示驱动尝试执行非法内存。解决方法包括检查代码、...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值