驱动学习笔记3.2.4inline hook实例-44课

1、3.2.4 驱动InLine HOOK实例-44课A、选取HOOK地址B、分析等HOOK函数参数C、构建HOOK D、实现HOOK E、测试效果:26代码32 ssdt hookeb ba52c07e 90u nu n jmpOpenPro OpenPro/0 xE9ss l100/jmp my_NtOpenPros my_NtOpenPro/ NtOpenPros=jmps /my_NtOpenPros-RealNtOpenPros-5;/ 定义一下NtOpenPros的原型extern C (typedefNTSUS stdcall NTOPENPROSOUT PHANDLE ProsHa

2、ndle, sMask,IN ACS_MASK AcIN POBJECT_ATTRIBUTES Objectributes,I);NT_ID CntIdNTOPENPROS*RealNtOpenPros;PEPROSEP;/ 自定义的NtOpenPro #pragma PAGECODEs函数 ZwOpenProsNTS OUT IN IN INUS declspec(naked) stdcall MyNtOpenPros(PHANDLE ProsHandle,ACS_MASK DesiredAcs,POBJECT_ATTRIBUTES Objectributes,PCNT_ID CntId )

3、NTSUSrc;HANDLE;KdPr(+Entry MyNtOpenPros+n);/rc = (NTSCntId );US)RealNtOpenPros( ProsHandle, DesiredAcs, Objectributes,if( (CntId != NULL) )= CntId-UniquePros;KdPr( =%dn,(*);/ 如果是被保护的，则，并将句柄设置为空if(= My)KdPr(被保护进程 My=%d n,( f)My);/调试输出 类似C语言的 PrPro rc = SsHandle = NULL; /这个是关键US_ACS_DENIED; /这个返回值/PsL

4、ookupProsByProsId(ULONG),&EP);EP=PsGetCurrentPros();KdPr( A asmS Pros Name-:%s-n,(PTSTR)(ULONG)EP+0 x174);/3/ add esp,10 /弹出4个参数 retn 0 x10 asm/3/ add esp,10 /弹出4个参数push0 x0C4mov eax,RealNtOpenPro add eax,5jmp eaxs/return rc;SSDT_Adr=(PLONG)*SSDT_Adr;/ 0 xE9HOOK跳ULONGjmpaddr= (ULONG)MyNtOpenPro HOOK

5、s-(ULONG)RealNtOpenPros-5; /SSDT asmmovebx,SSDT_Adrmov eax,jmpaddrmov mov3mov or movBYTE ptr ds:ebx,0 xe9DWORD ptr ds:ebx+1,eaxeax, cr0 eax, 10000h cr0, eaxsti=笔记:以 32 课为例今天写一个内联 HOOK,打开虚拟机,在 WINDBG 里看一下 u nOpenPros函数,因为 JMP 需要 5 字节,看一下函数的前三句都适合,所以取第一句最省事.用 SSDT 找到找到 OP 函数的地址,804e5a88,再看一下地址里的内容,就是 NtOP 函数的地址 8058270a找到地址之后先写入 5 个字节跳到 就返回空,如果不是则跳回原有函数+5的第一句 push 0c4h自己的地址,然后判断是否被保护的进程,如果是的话的地址,也就是原有函数的第二句,当然还要写好原有在虚拟机里进试,输入被保护的3 断点断下来了,原有函数已经被 HOOK后就被了,看一下f775b074 90自己的函数 u f775b0001 3