首页
社区
课程
招聘
[原创]写了个过滤ZwDeviceIoControlFile和ZwFsControlFile的小工具
发表于: 2013-2-1 17:26 11889

[原创]写了个过滤ZwDeviceIoControlFile和ZwFsControlFile的小工具

2013-2-1 17:26
11889

用IDA看一些EXE文件和驱动,会发现很多DeviceIoControl的调用,有时候对一些IOCTL_CODE的作用不甚明白,而下断点又不准确,于是就写了个小工具过滤一下

SSDT HOOK 了 ZwDeviceIoControlFile 和 ZwFsControlFile

输入待过滤的进程和IOCTL_CODE

得到过滤信息

缓冲区大小、地址、内容(处理的不好)

目标文件对象、设备对象、驱动对象和对象名

由于偷了懒,需要用monitor.exe加载   DebugView或Windbg查看输出

必须进程名和CODE都输入才可过滤,有兴趣的可以在上面进行修改


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 6
支持
分享
最新回复 (6)
雪    币: 8835
活跃值: (2404)
能力值: ( LV12,RANK:760 )
在线值:
发帖
回帖
粉丝
2
嗯,很有意思的东西,如果再增加支持输入输出的加密解密算法外部插件的话,就更好了~
沙发走人~
2013-2-1 18:57
0
雪    币: 862
活跃值: (329)
能力值: ( LV9,RANK:165 )
在线值:
发帖
回帖
粉丝
3
多谢V大~~
2013-2-1 20:47
0
雪    币: 371
活跃值: (72)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
4
虽然ssdthook被玩烂了,不过还是得鼓励一下~~~~
2013-2-2 07:05
0
雪    币: 242
活跃值: (1664)
能力值: ( LV9,RANK:410 )
在线值:
发帖
回帖
粉丝
5
思路很好,不错的工具
2013-2-2 20:19
0
雪    币: 862
活跃值: (329)
能力值: ( LV9,RANK:165 )
在线值:
发帖
回帖
粉丝
6
根据V大建议改写中~~~不过插件采用什么形式好呢?不太会啊。。。DLL行么?
2013-2-3 15:52
0
雪    币: 1085
活跃值: (250)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
bxb
7
来学习过了
2018-11-25 23:25
0
游客
登录 | 注册 方可回帖
返回
//