对内核的直接挂钩

最新推荐文章于 2023-06-06 08:32:24 发布
最新推荐文章于 2023-06-06 08:32:24 发布
阅读量1.5k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: windows驱动程序WDM
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/mao0514/article/details/12013591
本文详细介绍了如何在Windows系统中通过挂钩INT 1和INT 3中断处理程序来实现内核级别的函数挂钩,特别是针对IoCreateDevice()函数。通过这种方式,能够在设备驱动程序加载时进行干预,例如监控USB设备的IRP_MJ_DEVICE_CONTROL请求。文章描述了从分配内存、复制IDT、修改IDT到实现INT 1和INT 3的代理函数的整个过程,以确保目标函数能够正常执行而不会察觉到被挂钩。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

简介
         有时在开发中,会遇到这样一种情况,当非常需要对某些内核函数进行挂钩时,而常规基于PE的挂钩,往往达不到目的。在本文中将要探讨的,是怎样直接挂钩内核函数,另外,在示例中,还要演示在系统中显示为一个基本磁盘的可移动USB存储设备,并在其上创建及管理多个分区(因为这样或那样的原因,Windows既不允许,也不能识别可移动存储设备上的多个分区,所以我们要“欺骗”一下系统)。因为本文中的示例只用作演示目的,所以只对一个函数进行了挂钩,但可对文中阐述的方法进行扩展,以处理多个函数(例如,工程中可能需要直接挂钩好几个NDIS库中的函数)。再者,你应该清楚地认识到,本文是在讲述直接挂钩,而不是研究USB存储,所以,用作示例的问题当然还可有其他的方法来解决。
 
 
         我们的问题
         USB设备在系统中表示的方式,定义在STORAGE_DEVICE_DESCRIPTOR结构的RemovableMedia字段中,此结构通常会在USBSTOR.SYS响应IOCTL_STORAGE_QUERY_PROPERTY请求时返回。如果设备生产商想让此设备显示为一个基本磁盘,会在驱动程序中设置STORAGE_DEVICE_DESCRIPTOR 结构中RemovableMedia字段,并在响应IOCTL_STORAGE_QUERY_PROPERTY请求时返回FALSE。由此,设备在系统中就显示为一个基本磁盘,而DISK.SYS也不知道它实际上
了解本专栏 订阅专栏 解锁全文
如何关闭WIN7自动配置 IPV4 地址 169.254
技术联盟
04-12 2万+
方法一: 1、以管理员身份运行cmd.exe。 2、输入:netsh winsock reset catalog 按回车。 3、输入:netsh int ip reset reset.log 按回车。 4、重新启动电脑,然后根据个人所需填写ip地址、子网掩码、网关,确定即可。 方法二:取消IPv6: 1、以管理员身份打开CMD运行以下命令关闭IPV6的隧道。 nets...
PCI-E配置MSI中断流程解析
热门推荐
技术联盟
01-04 2万+
在调试PCI-E的MSI中断前,需要先保证将传统中断调通,然后再调试这个。MSI中断究其本质,就是一个存储器读写事件。将MSI Address设置为内存中的某个地址(可以为64位),产生MSI中断时,中断源会在MSI Address所在的地址写入MSI Data。也就是说,如果有四条MSI中断线,就会依次写入Data、Data+1、Data+2、Data+3在内存中,依次来区分中断源设备。设备端的
驱动开发:内核扫描SSDT挂钩状态
优快云
06-06 9028
在笔者上一篇文章《驱动开发:内核实现SSDT挂钩与摘钩》中介绍了如何对SSDT函数进行Hook挂钩与摘钩的,本章将继续实现一个新功能,如何检测SSDT函数是否挂钩,要实现检测挂钩状态有两种方式,第一种方式则是类似于《驱动开发:摘除InlineHook内核钩子》文章中所演示的通过读取函数的前16个字节与原始字节做对比来判断挂钩状态,另一种方式则是通过对比函数的当前地址与起源地址进行判断,为了提高检测准确性本章将采用两种方式混合检测。
[内核安全4]内核态Rootkit之IDT Hook
輚至消亡
12-19 773
IDT Hook是通过挂钩中断描述符表的一种Ring0挂钩形式。在保护模式下和实模式下的中断机制是完全不同的。实模式下有256个中断例程以供调用,可以通过对应的中断号来调用。在保护模式下中断机制变得相对复杂了,但更好用。保护模式下中断由对应的门描述符来描述,其中有三种格式,分别为: 任务门描述符 中断门描述符 陷阱门描述符 任务门描述符一般用于不同特权级的非一致代码段间跳转。和IDT HOOK没有什么关系,因为IDT HOOK是通过挂钩中断门 比如希望低特权级代码段跳转至高特权级的代码段运行就一般需
sd卡分区软件驱动 附使用说明.rar
09-03
软件介绍: sd卡分区软件驱动程序,压缩包内附有使用说明!请对照里面的说明操作;This driver filters IOCTL_STORAGE_QUERY_PROPERTY so that Windows XP can correctly handle CompactFlash device as a fixed disk.CompactFlash fixed disk filter driver
驱动开发:内核层InlineHook挂钩函数
优快云
10-31 1万+
在上一章中,LyShark教大家如何通过LDE64引擎实现计算反汇编指令长度,本章将在此基础之上实现内联函数挂钩内核中的InlineHook函数挂钩其实与应用层一致,都是使用劫持执行流并跳转到我们自己的函数上来做处理,唯一的不同的是内核Hook只针对内核API函数,但由于其身处在最底层所以一旦被挂钩其整个应用层都将会受到影响,这就直接决定了在内核挂钩的效果是应用层无法比拟的,对于安全从业者来说学会使用内核挂钩也是很重要。挂钩的原理可以总结为,通过得到原函数地址,然后保存该函数的前15。
IOCTL_STORAGE_QUERY_PROPERTY
weixin_30632899的博客
06-23 3334
最近学习scsi和DeviceIoControl,下载了微软WDK一些例子,以下代码精简自Windows-driver-samples-master\storage\tools\spti\src\spti.c ,略有修改。 #include <windows.h> #include <stdio.h> #include <strsafe.h> voi...
驱动保护:挂接SSDT内核钩子(1)
weixin_30790841的博客
09-20 579
SSDT 中文名称为系统服务描述符表,该表的作用是将Ring3应用层与Ring0内核层,两者的API函数连接起来,起到承上启下的作用,SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基址、服务函数个数等,SSDT 通过修改此表的函数地址可以对常用 Windows 函数进行内核级的Hook,从而实现对一些核心的系统动作进行过滤、监控的目的,接下来将演...
通过对系统分派表的直接还原,防御内核本地API钩子(翻译)
taianmonkey的专栏
04-18 2484
通过对系统分派表的直接还原,防御内核本地API钩子介绍win32内核rootkit通过挂钩本地内核的API去修改系统的行为。这项技术通常是通过修改内核中的系统服务分派表(System Service Dispatch Table)来实现的。这样的修改确保了通过rootkit安装的一个钩子函数先于本地原始的API被调用。钩子函数通常调用本地原始的API并在返回给用户空间程序之前修改其输出。这
内核钩子学习
bcbobo21cn的专栏
05-10 973
如何建立内核级钩子控制操作系统实现程序隐身 我们知道,应用程序总是离不开系统内核所提供的服务,比如它要使用内存的时候,只要跟操作系统申请就行了,而不用自己操心哪里有空闲的内存空间等问题,实际上,这些问题是由操作系统的内核来代劳的。站在黑客的角度讲,如果能够控制内核,实际上就是控制了内核之上的各种应用程序。本文将向您介绍如何建立内核级钩子来控制操作系统向上提供的各种低级功能。有了内核级钩子,我们不但能够控制、监视其他程序并过滤有关数据,还能用其实现Rootkit本身及其它程序的隐形。 本文首先回顾系统调用
往linux内核函数挂钩
Herok
11-28 5558
概述 本文讲解替换一个已经在内存中的函数,使得执行流流入我们自己的逻辑,然后再调用原始的函数。比如有个函数叫做funcion,而你希望统计一下调用function的次数,最直接的方法就是如果有谁调用function的时候,调到下面这个函数就好了。 void new_function() {          count++;          return function(); } ...
NetUserAdd新建用户并使用NetLocalGroupAddMembers添加到组
08-23 1954
USER_INFO_1 ui; DWORD dwError=0; ui.usri1_name=L"wwy"; ui.usri1_password=L"12345"; ui.usri1_priv=USER_PRIV_USER; ui.usri
利用Windows性能计数器(PerformanceCounter)监控
技术联盟
03-10 7690
一、概述性能监视,是Windows NT提供的一种系统功能。Windows NT一直以来总是集成了性能监视工具,它提供有关操作系统当前运行状况的信息,针对各种对象提供了数百个性能计数器。性能对象,就是被监视的对象,典型例子有Processor、Process、Memory、TCP/UDP/IP/ICMP、PhysicalDisk等。计数器通常提供操作系统、应用程序、服务、驱动程序等的性能相关信息,
如何构造一个简单的USB过滤驱动程序
技术联盟
09-25 6195
本文分三部分来介绍如何构造一个简单的USB过滤驱动程序,包括“基本原理”、“程序的实现”、“使用INF安装”。此文的目的在于希望读者了解基本原理后,可以使用除DDK以外最流行也最方便的驱动开发工具DriverStudio来实现一个自己的过滤驱动,并正确地安装。 一、基本原理     我们知道,WDM(和KDM)是分层的,在构造设备栈时,IO管理器可以使一个设备对象附加到另外一个初始驱动程序
windows驱动程序wdf--KMDF大致框架
技术联盟
01-04 6062
继WDM后微软出了WDF,封装了WDM中的一些基本代码逻辑。本人菜鸟,也不知道本质上有何区别,只觉得是多了Wdf开头的函数,基本的编程框架上有点出入。KMDF是WDF的内核级部分,为了理清KMDF的结构,又觉得内核编程很复杂,HelloWorld类型的程序实在说明不了什么  修改一下《windows设备驱动WDF开发》的CharSample,查了WDK帮助文档加上注释以帮助自己理解KMDF的大致运
使用DirectDraw直接显示YUV视频数据
技术联盟
08-15 4507
最近在编写一个进行视频播放的ActiveX控件,工作已经接近尾声,现将其中显示YUV数据的使用DirectDraw的一些经验总结如下:(解码部分不是我编写的,我负责从网络接收数据,将数据传给解码器,并将解码得到的YUV数据进行显示,最初在显示部分我是先将YUV数据转换为RGB数据,再以位图的形式显示到屏幕上,但发现CPU占用率比较高,后来改用DirectDraw直接显示YUV数据) 1.在Dir
Windows PowerShell漫谈-win7下没有超级终端
技术联盟
07-22 4438
Windows PowerShell是我在研究win7新特性的时候发现的新工具,起初没有对它产生太大的兴趣,只是简单看看了有关它的介绍、简单使用了一下,感觉上它和cmd.exe没有本质区别。对它产生兴趣是一个纯粹的偶然, 有一次一个硬件工程师同事让我帮忙联调串口,我才发现win7下没有超级终端,结果那个同事给了我一个串口助手。 本着对问题刨根问底的精神我上网搜了一下有关win7和超级终端的问题
Windows内核RootKit技术:SSDT挂钩分析
"SSDT挂钩技术是Windows内核级别的RootKit技术的一种常见样本,通过挂钩系统服务描述符表(SSDT)实现对系统的隐藏和控制。这种技术由于其隐蔽性和强大的功能,在恶意软件中被广泛应用。NT操作系统结构分为用户模式...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

毛毛虫的爹

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值