驱动InLine HOOK实例

最新推荐文章于 2025-06-28 08:03:10 发布
原创 最新推荐文章于 2025-06-28 08:03:10 发布 · 860 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入探讨了SSDT Hook技术的实现过程,包括选取Hook地址、分析函数参数、构建及实现Hook代码,以及最终的测试效果。通过具体的代码示例,详细讲解了如何自定义NtOpenProcess函数以实现对特定PID的访问控制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

   A、选取HOOK地址

   B、分析等HOOK函数参数

   C、构建HOOK 代码

   D、实现HOOK

   E、测试效果

 

 32 ssdt hook

 

eb ba52c07e 90

u nt!NtOpenProcess

u nt!NtOpenProcess l 100

jmp //0xE9

//jmp my_NtOpenProcess

// NtOpenProcess=jmp my_NtOpenProcess // my_NtOpenProcess-RealNtOpenProcess-5;

 

// 定义一下NtOpenProcess的原型

extern "C"    typedef  NTSTATUS      __stdcall NTOPENPROCESS

(

 OUT PHANDLE ProcessHandle,

 IN ACCESS_MASK AccessMask,

 IN POBJECT_ATTRIBUTES ObjectAttributes,

 IN PCLIENT_ID ClientId

 );

NTOPENPROCESS   *  RealNtOpenProcess;

 

PEPROCESS  EP;

 

// 自定义的NtOpenProcess函数 ZwOpenProcess

#pragma PAGECODE

   NTSTATUS  __declspec(naked__stdcall MyNtOpenProcess(

         OUT     PHANDLE ProcessHandle,

         IN     ACCESS_MASK DesiredAccess,

         IN     POBJECT_ATTRIBUTES ObjectAttributes,

         IN     PCLIENT_ID ClientId )

         NTSTATUS     rc;

         HANDLE       PID;

 

         KdPrint(("++++++++++++Entry MyNtOpenProcess int   ++++++++++++++\n")); 

 

         //rc = (NTSTATUS)RealNtOpenProcess( ProcessHandle, DesiredAccess, ObjectAttributes, ClientId );   

 

         if( (ClientId != NULL) )

         {

                   PID = ClientId->UniqueProcess;  

                   KdPrint(( "------------------------- PID=%d--------------\n",(int*)PID ));

 

                   // 如果是被保护的PID,则拒绝访问,并将句柄设置为空

                   if(PID == MyPID)

                   {

                            KdPrint(("被保护进程 MyPID=%d \n",(int)MyPID));

                            //调试输出 类似C语言的 Printf

                            ProcessHandle = NULL; //这个是关键

                            rc = STATUS_ACCESS_DENIED; //这个返回值

                            //PsLookupProcessByProcessId((ULONG)PID,&EP);

                            EP=PsGetCurrentProcess();                    

                            KdPrint((" ACESS Process Name  --:%s--   \n",(PTSTR)((ULONG)EP+0x174)));

                            __asm

                            {     // int 3

                                     // add esp,10 //弹出4个参数

                                     retn 0x10

                            }

 

                   }

         }

         __asm

         {     // int 3

                     // add esp,10 //弹出4个参数

                       push  0x0C4

                            mov eax,RealNtOpenProcess

                            add eax,5

                            jmp eax

         }

//       return rc;

}

         SSDT_Adr=(PLONG)*SSDT_Adr;// 0xE9

         ULONG    jmpaddr= (ULONG)MyNtOpenProcess- (ULONG)RealNtOpenProcess-5; //SSDT HOOK 

         __asm

         {   mov  ebx,SSDT_Adr

             mov eax,jmpaddr

             mov  BYTE ptr ds:[ebx],0xe9

                   mov  DWORD ptr ds:[ebx+1],eax

                   int 3

                   mov     eax, cr0

                   or     eax, 10000h

                   mov     cr0, eax

                   sti

         }  

Win64 驱动内核编程-23.Ring0 InLineHook 和UnHook
天使也掉毛
03-26 5289
Ring0InLineHook和UnHook 如果是要在R0里hook,作者的建议是InLineHOOK,毕竟SSDTHOOK和SHADOWSSDTHOOK比较麻烦,不好修改。目前R3的InLineHOOK我比较喜欢的是MINIHOOKENGINE,但是今天要解决的是R0的InLineHOOK问题。 下面说下InLineHOOK的思路: 一、实现...
(滴水中期练习)通过InlineHook NtReadFile实现R3到R0的通信
Sheepjj的博客
04-17 751
用ida查看NtReadFile的汇编代码 //参数注释 PAGE:0049D117 var_78 = dword ptr -78h PAGE:0049D117 var_74 = dword ptr -74h PAGE:0049D117 var_70 = dword ptr -70h PAGE:0049D117 var_6C = dword ptr -6Ch PAGE:0049D117 Irp = dword
VC写的一个简单的InlineHook例子
01-04
一个vc写的inlineHook MessageBox小例子,希望对大家有帮助。
Inline hook例子
05-31
Inline hook的例程,可以说填写以下就可以用了。
iOS方法hook检测
最新发布
iOS_Princekin的博客
06-28 229
系统库或可执行文件中的方法被hook,已经需要另外一个动态库进行注入,这是我们去获取当前当前方法库路径,看是否符合正常的路径来判断,比如 open 方法的库路径:/usr/lib/system/libsystem_kernel.dylib 如果不是则被hook
Inline Hook示例
精彩的艺术
03-01 442
#include "stdafx.h" #include char g_OldAddress[0x5] = {}; char g_NewAddress[0x5] = { 0xE9 }; void HookMessageBox(); void unHookMessageHook(); //自己的MessageBox函数 //思路:拦截到MessageBox之后,修复原来的地方,再执行原来的
C++实现inline hook的原理及应用实例
09-04
主要介绍了C++实现inline hook的原理及应用,需要的朋友可以参考下
VC inline hook实例
03-13
VC inline hook实例,只要修改一点点代码就能完全支持你的程序。
Rootkit端口隐藏技术_rootkithook_hook_rootkit_creature2ka_隐藏驱动
09-11
在本文中,我们将深入探讨Rootkit如何使用Hook技术来隐藏端口,以及如何通过驱动加载实现这一目标。我们还将提及insdrv工具在其中的作用。 Rootkit的核心功能之一是端口隐藏,这主要是为了防止网络安全分析工具发现...
使用Inline Hook修改KiInsertQueueApc函数
"本文档提供了一个Inline Hook实例,展示了如何替换系统函数KiInsertQueueApc。" 在Windows操作系统中,Hook技术是一种监控或修改其他程序行为的技术。Inline HookHook的一种,它直接修改目标函数的机器码,...
API HOOK实例剖析深度讲解与应用
"APIHOOK实例剖析"是对其技术细节进行深入讲解的资料,它不仅介绍了API HOOK的基础知识,还提供了具体的实例剖析。本文将从API HOOK的概念、工作原理、实现方式、应用场景等多个维度进行详细解读。 首先,API HOOK...
WIN64位驱动 InLine_HOOK框架
12-28
Win64 和 Win32 都可用的内核 InLineHook 框架,网上找的感觉都很麻烦, 这个感觉比较清晰明了, 但也有不足之处 就是修改函数头部时 不够完美;但是日常使用感觉足够了.
API hook(inline)超简入门代码
07-20
简单的API hook的入门用代码参考,hook目标MessageBoxW。hook形式:inline hook
驱动内核模式下的apihook钩子例子,编写驱动程序.zip
03-28
驱动内核模式下的apihook例子,编写驱动程序.zip
64位驱动SSDTHOOK教程
10-02
完整的64位驱动SSDTHOOK文档资料,学习win7 64位驱动很好的
inline hook ObReferenceObjectByHandle 程序代码
05-25
windows 驱动层,inline hook 简单的示例程序。其实是看了“详谈内核三步走Inline Hook实现“,网上的一篇文章做的一个示例程序,只做了第一个, hook ObReferenceObjectByHandle.里面还有一个说明文件。我想这可以作为inline hook 的入门,找找感觉。
API hook原理和实例快速入门(inline hook),以dll线程注入方式使用(win7-64bit)
翻肚鱼儿的博客
07-27 2205
一个完整的hook,如果hook程序是以dll形式生成的,是分两步:1.完成dll本身的设计和生成,2.完成dll注入程序的设计和生成 本文完成第一步。 第二步在http://blog.youkuaiyun.com/arvon2012/article/details/7767437有详细讲解。 最近在64位win7上hook文件复制,拖拽和剪切的hook(这个要通过hook IFileOperating接口实现)。所以学习了API hook。这里是对自己的学习做个简单的总结,希望和hook新手们共同探讨和进.
Hook攻防之InlineHook
xf555er的博客
06-16 2592
Inline Hook,又称为超级Hook,是一种强大而又灵活的Hook技术。Inline Hook的主要思想就是直接修改目标函数的代码,通常是在目标函数的开头插入一个跳转指令(jmp)。这个跳转指令会将程序的执行流跳转到我们自定义的函数中。在我们的自定义函数中,我们可以执行任意的代码,然后再跳回目标函数的剩余部分。这样,我们就可以在不改变目标函数原有逻辑的基础上,添加自己的功能。
Windows驱动开发学习笔记(六)—— Inline HOOK
lzyddf的博客
12-16 1404
Windows驱动开发学习笔记(六)—— Inline HOOK前言实验一:3环 Inline HOOK实验二:0环 Inline Hook 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 实验一:3环 Inline HOOK #include <stdio.h> #include <windows.h> BY...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小蚂蚁_CrkRes

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值