[求助]inline hook NtCreateFile 运行10小时左右电脑死机-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]inline hook NtCreateFile 运行10小时左右电脑死机

发表于: 2015-4-24 15:20 4538

[求助]inline hook NtCreateFile 运行10小时左右电脑死机

简单选择

2015-4-24 15:20

4538

inline hook NtCreateFile 前五个字节测试没问题可以正常保护文件
但是hook之后10个小时左右的时候电脑会死机。。。测试了好几天了每次都是这样兄弟们帮忙看下什么情况。代码发在下面

 //先是两个函数
int DetermineProcessName(char *szName)//判断当前调用的进程
{
 int nEProcess;
 nEProcess=(int)PsGetCurrentProcess();
 if(nEProcess==0)return 0;
 if(MmIsAddressValid(szName)&&MmIsAddressValid((PVOID)(nEProcess+EPROCESS_IMAGE_NAME)))//eprocess+0x174   XP系统  EPROCESS_IMAGE_NAME = 174
 {
  if(strcmp((char*)(nEProcess+EPROCESS_IMAGE_NAME),szName)==0)
  {
   return 1;
  }
 }
 return 0;
}




int EProcessIsMineA(PEPROCESS pProcess)//判断EProcess是否在白名单
{
 ULONG i;
 char *pName;
 if(pProcess==NULL||!MmIsAddressValid(pProcess))
 {
  return 0;
 }
 pName = (char*)((int)pProcess + EPROCESS_IMAGE_NAME);
 if(MmIsAddressValid(pName))
 {
  for(i=0;i<ulNum;i++)
  {
   if(!strcmp(ulName[i],pName))
   {
    return 1;
   }
  }
 }
 return 0;
}
 


//自己的NtCreateFile
NTSTATUS MyNtCreateFile(
     OUT PHANDLE FileHandle,
     IN ACCESS_MASK DesiredAccess,
     IN POBJECT_ATTRIBUTES ObjectAttributes,
     OUT PIO_STATUS_BLOCK IoStatusBlock,
     IN PLARGE_INTEGER AllocationSize OPTIONAL,
     IN ULONG FileAttributes,
     IN ULONG ShareAccess,
     IN ULONG CreateDisposition,
     IN ULONG CreateOptions,
     IN PVOID EaBuffer OPTIONAL,
     IN ULONG EaLength       
     )
{
 WCHAR *pFileName;
 WCHAR ch = L'\\'; 
 ULONG i;
 
 if(DetermineProcessName("explorer.exe"))//判断是不是系统调用
 {
  return ((NTCREATEFILE)OldNtCreateFile)(FileHandle,DesiredAccess,ObjectAttributes,IoStatusBlock,
   AllocationSize,FileAttributes,ShareAccess,CreateDisposition,CreateOptions,EaBuffer,EaLength);
 }
 if(EProcessIsMineA(PsGetCurrentProcess()))//判断是不是自己的进程调用
 {  
  return ((NTCREATEFILE)OldNtCreateFile)(FileHandle,DesiredAccess,ObjectAttributes,IoStatusBlock,
   AllocationSize,FileAttributes,ShareAccess,CreateDisposition,CreateOptions,EaBuffer,EaLength);
 }
 
 if(MmIsAddressValid(ObjectAttributes))
 {
  if(MmIsAddressValid(ObjectAttributes->ObjectName))
  {
   if(MmIsAddressValid((ObjectAttributes->ObjectName)->Buffer))
   {
    pFileName = wcsrchr((ObjectAttributes->ObjectName)->Buffer,ch) + 1;//文件路径中获取文件名字
   
    if(MmIsAddressValid(pFileName))
    {
     
     for(i=0;i<ulNum;i++)//判断打开的文件是不是要保护的文件
     {
      if(!wcscmp(ulNameW[i], pFileName))//ulNameW[i]
      { 
       return 0xC0000024;
      }
     }
    }
   }
  }
 }
 
 return ((NTCREATEFILE)OldNtCreateFile)(FileHandle,DesiredAccess,ObjectAttributes,IoStatusBlock,
  AllocationSize,FileAttributes,ShareAccess,CreateDisposition,CreateOptions,EaBuffer,EaLength); 
}

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

#系统底层

收藏・2

免费・0

支持

最新回复 (2)
简单选择雪币： 5 活跃值： (127) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 73 粉丝 0 关注私信	简单选择 2 楼 Hook后不会直接死机 10个小时左右运气好的话 12个小时。。。每次必死机无一幸免。。。兄弟们帮忙看看是怎么回事 2015-4-24 15:21 0
sysercn 雪币： 116 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 169 粉丝 1 关注私信	sysercn 3 楼 ObjectAttributes->ObjectName)->Buffer 不一定是L'\0'结尾自己把字符串复制出来构造一个带\0结尾符的 2015-4-25 09:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

简单选择

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
简单选择雪币： 5 活跃值： (127) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 73 粉丝 0 关注私信	简单选择 2 楼 Hook后不会直接死机 10个小时左右运气好的话 12个小时。。。每次必死机无一幸免。。。兄弟们帮忙看看是怎么回事 2015-4-24 15:21 0
sysercn 雪币： 116 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 169 粉丝 1 关注私信	sysercn 3 楼 ObjectAttributes->ObjectName)->Buffer 不一定是L'\0'结尾自己把字符串复制出来构造一个带\0结尾符的 2015-4-25 09:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复