[原创]另类拦截加载驱动实现方法-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]另类拦截加载驱动实现方法

发表于: 2012-7-28 11:52 17432

[原创]另类拦截加载驱动实现方法

wzanttm

2012-7-28 11:52

17432

NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,
                  IN PUNICODE_STRING RegistryPath)
{
UNICODE_STRING DeviceNameUnicodeString,LinkNameUnicodeString;
NTSTATUS Status;
PDEVICE_OBJECT DeviceObject;
int i;
HANDLE ThreadHandle;

RtlInitUnicodeString(&DeviceNameUnicodeString, DeviceName);
Status = IoCreateDevice(DriverObject,
0,
&DeviceNameUnicodeString,
FILE_DEVICE_UNKNOWN,
0,
TRUE,
&DeviceObject);
if (NT_SUCCESS(Status))
{
for (i = 0; i < IRP_MJ_MAXIMUM_FUNCTION; i++)
{
DriverObject->MajorFunction[i] = DriverDispatch;
}
DriverObject->DriverUnload =  DriverUnload;
RtlInitUnicodeString(&LinkNameUnicodeString ,  LinkerName);
Status = IoCreateSymbolicLink(&LinkNameUnicodeString, &DeviceNameUnicodeString);
if (NT_SUCCESS(Status))
{
//回溯EntryCall地址,下面代码只适合XP
__asm
{
push ecx
mov ecx,ebp
mov ecx,dword ptr ds:[ecx+0x4]
sub ecx,0x3
mov EntryCall,ecx
add ecx,0x5
mov EntryRetn,ecx
pop ecx
}
DbgPrint("EntryCall :%08X" , EntryCall);

Status = PsCreateSystemThread(&ThreadHandle,
THREAD_ALL_ACCESS,
NULL,
NULL,
NULL,
HookThread,
NULL);

if (NT_SUCCESS(Status))
{
ZwClose(ThreadHandle);
}
else
{
IoDeleteSymbolicLink(&LinkNameUnicodeString);
IoDeleteDevice(DeviceObject);
DbgPrint("CreateSystemThread failed");
}

}
else
{
IoDeleteDevice(DeviceObject);
DbgPrint("CreateSymbolicLink failed");
}

}

return Status;
}

VOID HookThread(PVOID Context)
{
LARGE_INTEGER lDelay;
KeSetBasePriorityThread(KeGetCurrentThread(), LOW_REALTIME_PRIORITY);
lDelay = RtlConvertLongToLargeInteger(-10000 * 1000);
KeDelayExecutionThread(KernelMode, FALSE, &lDelay);
OnHook();
PsTerminateSystemThread(STATUS_SUCCESS);
}

VOID OnHook(VOID)
{
KIRQL Irql;
if (EntryCall)
{
memcpy(&OriginalBytes ,EntryCall , sizeof(OriginalBytes));
*(ULONG *)(JmpAdderss+1)=(ULONG)HookPatch - (ULONG)EntryCall - sizeof(JmpAdderss);
DisableWriteProtect();
Irql = KeRaiseIrqlToDpcLevel();
memcpy(EntryCall, &JmpAdderss , sizeof(JmpAdderss));
KeLowerIrql(Irql);
EnableWriteProtect();
}

}

VOID UnHook(VOID)
{
KIRQL Irql;
if (EntryCall)
{
DisableWriteProtect();
Irql = KeRaiseIrqlToDpcLevel();
memcpy(EntryCall ,&OriginalBytes , sizeof(OriginalBytes));
KeLowerIrql(Irql);
EnableWriteProtect();
}
}

VOID __declspec(naked) HookPatch(VOID)
{
__asm
{
pushad
pushfd
push dword ptr ss:[esp+0x28] //RegistryString
push dword ptr ss:[esp+0x28] //DriverObject
call FakeEntry
test eax,eax
jz TAG1
popfd
popad
mov eax,0xC0000001
add esp,8
jmp TAG2
TAG1:
popfd
popad
call dword ptr ds:[edi+0x2c] //只合适XP
TAG2:
cmp eax,ebx
push EntryRetn
retn
}
}

VOID DisableWriteProtect(VOID)
{
__asm
{
push eax
mov eax,cr0
mov OldAttr,eax
and eax,0FFFEFFFFh
mov cr0,eax
pop eax
}
}
VOID EnableWriteProtect(VOID)
{
__asm
{
push eax
mov eax,OldAttr
mov cr0,eax
pop eax
}
}

NTSTATUS FakeEntry(IN PDRIVER_OBJECT DriverObject,
               IN PUNICODE_STRING RegistryPath)
{
PLDR_DATA_TABLE_ENTRY PLDTE = DriverObject->DriverSection;

DbgPrint("BaseAddr: %08X" , PLDTE->DllBase);
DbgPrint("FullName: %ws" , PLDTE->FullDllName.Buffer);
DbgPrint("BaseName: %ws" , PLDTE->BaseDllName.Buffer);
return STATUS_SUCCESS;
}

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

HookLoad.rar （38.49kb，122次下载）

收藏・20

免费・6

支持

最新回复 (9)
莫灰灰雪币： 2314 活跃值： (2205) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 2 楼 HOOK 的 IopLoadDriver 吧。 2012-7-28 12:23 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 3 楼看看，123456 2012-7-28 12:48 0
ugvjewxf 雪币： 615 活跃值： (590) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 352 粉丝 11 关注私信	ugvjewxf 4 楼学习一下 2012-7-28 21:27 0
Nekoxiaoji 雪币： 688 活跃值： (85) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 223 粉丝 0 关注私信	Nekoxiaoji 5 楼很好...学习了!!!!!!!!!!!!!!!!!!!! 2012-8-1 00:34 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 6 楼看看怎么拦截的 2012-8-1 00:41 0
wli 雪币： 21 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 86 粉丝 0 关注私信	wli 7 楼这个能用于自校验的吗？ 2012-8-2 21:59 0
loveqqc 雪币： 276 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 226 粉丝 0 关注私信	loveqqc 8 楼数字卫士没反应，牛贴啊 2012-8-3 07:51 0
xssysing 雪币： 938 活跃值： (948) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 60 粉丝 0 关注私信	xssysing 9 楼就是Inline IopLoadDriver 不用回溯直接Hook函数中部一样搞 2012-8-7 17:09 0
yinning 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 94 粉丝 0 关注私信	yinning 10 楼新手学习看看怎么拦截的 2012-8-11 05:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

wzanttm

发帖

回帖

RANK

关注

私信

他的文章

[原创]另类拦截加载驱动实现方法 17433

关于我们

联系我们

企业服务

看雪公众号

最新回复 (9)
莫灰灰雪币： 2314 活跃值： (2205) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 2 楼 HOOK 的 IopLoadDriver 吧。 2012-7-28 12:23 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 3 楼看看，123456 2012-7-28 12:48 0
ugvjewxf 雪币： 615 活跃值： (590) 能力值： ( LV4，RANK：40 ) 在线值：发帖 22 回帖 352 粉丝 11 关注私信	ugvjewxf 4 楼学习一下 2012-7-28 21:27 0
Nekoxiaoji 雪币： 688 活跃值： (85) 能力值： ( LV2，RANK：10 ) 在线值：发帖 42 回帖 223 粉丝 0 关注私信	Nekoxiaoji 5 楼很好...学习了!!!!!!!!!!!!!!!!!!!! 2012-8-1 00:34 0
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 668 粉丝 0 关注私信	AioliaSky 1 6 楼看看怎么拦截的 2012-8-1 00:41 0
wli 雪币： 21 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 86 粉丝 0 关注私信	wli 7 楼这个能用于自校验的吗？ 2012-8-2 21:59 0
loveqqc 雪币： 276 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 226 粉丝 0 关注私信	loveqqc 8 楼数字卫士没反应，牛贴啊 2012-8-3 07:51 0
xssysing 雪币： 938 活跃值： (948) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 60 粉丝 0 关注私信	xssysing 9 楼就是Inline IopLoadDriver 不用回溯直接Hook函数中部一样搞 2012-8-7 17:09 0
yinning 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 94 粉丝 0 关注私信	yinning 10 楼新手学习看看怎么拦截的 2012-8-11 05:09 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复