SSDT代码存在的问题-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] SSDT代码存在的问题 0.00雪花

发表于: 2010-6-5 22:34 3655

[旧帖] SSDT代码存在的问题 0.00雪花

superhard

2010-6-5 22:34

3655

#define SYSTEMSERVICE(_function)  KeServiceDescriptorTable.ServiceTableBase[ *(PULONG)((PUCHAR)_function+1)]
//...
RealZwWriteFile = (ZWWRITEFILE)(SYSTEMSERVICE(ZwWriteFile));
_asm {
cli
mov  eax,cr0
and  eax,not 10000h
mov  cr0,eax
}
(SYSTEMSERVICE(ZwWriteFile)) = (ULONG)HookZwWriteFile;
//还原内存写保护省略
//...
NTSTATUS
HookZwWriteFile(
IN HANDLE FileHandle,
IN HANDLE Event OPTIONAL,
IN PIO_APC_ROUTINE ApcRoutine OPTIONAL,
IN PVOID ApcContext OPTIONAL,
OUT PIO_STATUS_BLOCK IoStatusBlock,
IN PVOID Buffer,
IN ULONG Length,
IN PLARGE_INTEGER ByteOffset OPTIONAL,
IN PULONG Key OPTIONAL
)
{
KdPrint(("Enter Hook\n"));

               return RealZwWriteFile(
   FileHandle,
   Event OPTIONAL,
   ApcRoutine OPTIONAL,
   ApcContext OPTIONAL,
   IoStatusBlock,
   Buffer,
   Length,
   ByteOffset OPTIONAL,
   Key OPTIONAL
   );
}
加载驱动以后，没有输出“Enter Hook”，请问问题在什么地方？

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・1

免费・0

支持

最新回复 (2)
lpfei 雪币： 28 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 44 粉丝 0 关注私信	lpfei 2 楼可以啊，我也初学，仅供参考。上传的附件： driver.rar （55.93kb，7次下载） 2010-6-6 10:10 0
superhard 雪币： 183 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 11 粉丝 0 关注私信	superhard 3 楼果然可以，可是我这个就是不行哩，只是比上面的多一些代码而已~ 上传的附件： driver.rar （4.30kb，2次下载） 2010-6-6 17:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

superhard

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
lpfei 雪币： 28 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 44 粉丝 0 关注私信	lpfei 2 楼可以啊，我也初学，仅供参考。上传的附件： driver.rar （55.93kb，7次下载） 2010-6-6 10:10 0
superhard 雪币： 183 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 11 粉丝 0 关注私信	superhard 3 楼果然可以，可是我这个就是不行哩，只是比上面的多一些代码而已~ 上传的附件： driver.rar （4.30kb，2次下载） 2010-6-6 17:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复