[求助]hook一内核函数之后为啥跳转到一奇怪的地方？-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (3)
dust~noob 雪币： 61 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 19 粉丝 0 关注私信	dust~noob 2 楼附上hook的驱动代码 #include <Ntddk.h> #include <ntdef.h> typedef NTSTATUS (_MyIoCallDriver)( _In_ PDEVICE_OBJECT DeviceObject, _Inout_ PIRP Irp ); ULONG OldpIofCallDriver = 0; NTSTATUS MypIofCallDriver(_In_ PDEVICE_OBJECT DeviceObject, _Inout_ PIRP Irp) { DbgPrint("my hook\n"); _asm { mov eax,dword ptr [OldpIofCallDriver] add esp,4 jmp eax } } NTSTATUS MyHook(_MyIoCallDriver NewFun ) { UNICODE_STRING OldFunName; PVOID IofCallDriverAddress; RtlInitUnicodeString(&OldFunName , L"IofCallDriver"); IofCallDriverAddress = MmGetSystemRoutineAddress( &OldFunName ); if( IofCallDriverAddress == NULL) return -1; OldpIofCallDriver = (ULONG)InterlockedExchange( ((LONG)IofCallDriverAddress+2) , (LONG)NewFun); if(OldpIofCallDriver) return STATUS_SUCCESS; else return -1; } NTSTATUS DriverEntry( PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistePath) { NTSTATUS Status; /OldMyCallDriver = ExAllocatePoolWithTag(NonPagedPool, 4, 'kooh');*/ Status = MyHook( MypIofCallDriver ); return STATUS_SUCCESS; } 2013-7-21 12:24 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 3 楼曾经我以为，能否hook IofCallDriver这个函数的人不简单，现在楼主毁了我的三观。 2013-7-22 09:19 0
dust~noob 雪币： 61 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 19 粉丝 0 关注私信	dust~noob 4 楼咋了。。。。。我不是故意的。。。。 2013-7-22 15:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (3)
dust~noob 雪币： 61 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 19 粉丝 0 关注私信	dust~noob 2 楼附上hook的驱动代码 #include <Ntddk.h> #include <ntdef.h> typedef NTSTATUS (_MyIoCallDriver)( _In_ PDEVICE_OBJECT DeviceObject, _Inout_ PIRP Irp ); ULONG OldpIofCallDriver = 0; NTSTATUS MypIofCallDriver(_In_ PDEVICE_OBJECT DeviceObject, _Inout_ PIRP Irp) { DbgPrint("my hook\n"); _asm { mov eax,dword ptr [OldpIofCallDriver] add esp,4 jmp eax } } NTSTATUS MyHook(_MyIoCallDriver NewFun ) { UNICODE_STRING OldFunName; PVOID IofCallDriverAddress; RtlInitUnicodeString(&OldFunName , L"IofCallDriver"); IofCallDriverAddress = MmGetSystemRoutineAddress( &OldFunName ); if( IofCallDriverAddress == NULL) return -1; OldpIofCallDriver = (ULONG)InterlockedExchange( ((LONG)IofCallDriverAddress+2) , (LONG)NewFun); if(OldpIofCallDriver) return STATUS_SUCCESS; else return -1; } NTSTATUS DriverEntry( PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistePath) { NTSTATUS Status; /OldMyCallDriver = ExAllocatePoolWithTag(NonPagedPool, 4, 'kooh');*/ Status = MyHook( MypIofCallDriver ); return STATUS_SUCCESS; } 2013-7-21 12:24 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 18 关注私信	Winker 8 3 楼曾经我以为，能否hook IofCallDriver这个函数的人不简单，现在楼主毁了我的三观。 2013-7-22 09:19 0
dust~noob 雪币： 61 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 19 粉丝 0 关注私信	dust~noob 4 楼咋了。。。。。我不是故意的。。。。 2013-7-22 15:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [求助]hook一内核函数之后为啥跳转到一奇怪的地方？ 0.00雪花