[分享]inline hook NtQueryDirectoryFile-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (15)
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 2 楼这种方法学习是不错....但用于隐藏文件????不太行啊 2008-5-8 20:14 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 3 楼写地不错啊。 2008-5-8 20:32 0
hfyy 雪币： 235 活跃值： (23) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 122 粉丝 2 关注私信	hfyy 2 4 楼为什么啊 2008-5-8 23:23 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 56 关注私信	combojiang 26 5 楼 __asm { forwArd: call bAck } 这句写的精彩。 2008-5-9 09:00 0
百折不挠雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 139 粉丝 0 关注私信	百折不挠 6 楼 BOOL hook后面少了个分号， if(NT_SUCCESS(Check())) { DbgPrint(" check SUCCESS"); write(); hook=true; //这里好象不能用小写的，hook定义的是BOOL.而不是bool, } 2008-5-9 10:01 0
hfyy 雪币： 235 活跃值： (23) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 122 粉丝 2 关注私信	hfyy 2 7 楼谢谢提醒我改了那句其实是后加的没经编译的 2008-5-9 10:58 0
百折不挠雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 139 粉丝 0 关注私信	百折不挠 8 楼我修改了隐藏的文件名，改成一个目录，在XPDDK下编译后，一旦访问到隐藏的目录就蓝屏重启了。比如，隐藏了目录ABC,一旦在地址栏里输入ABC就BOSD了。还有令我不解的是： //return rc; __asm { popad mov esp,ebp pop ebp mov eax,rc ret 0x2C } 为什么不用 return rc; 呢？ NtQueryDirectoryFile函数和zwQueryDirectoryFile谁是最底层？感觉两个函数都一样啊。 2008-5-9 15:09 0
hfyy 雪币： 235 活跃值： (23) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 122 粉丝 2 关注私信	hfyy 2 9 楼第一个问题我不知道还在考虑第二个问题因为是nake func 堆栈都要自己平衡第三个问题 NtQueryDirectoryFile 2008-5-9 15:37 0
yoli 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	yoli 10 楼为什么会出现这个 warning 那： 'MyNtQueryDirectoryFile' : function should return a value; 'void' return type assumed 因为这个warning .sys 没有被生成。我用的是 DDKWizard 的编译环境, 2003 DDK。 2008-5-9 15:53 0
hfyy 雪币： 235 活跃值： (23) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 122 粉丝 2 关注私信	hfyy 2 11 楼直接用ddk编译试试 2008-5-9 16:02 0
hfyy 雪币： 235 活跃值： (23) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 122 粉丝 2 关注私信	hfyy 2 12 楼给你我的sys 上传的附件： 1.rar （1.70kb，39次下载） 2008-5-9 16:05 0
yoli 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	yoli 13 楼环境好了。谢谢LZ 的帮助及分享。 2008-5-9 16:42 0
yoli 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	yoli 14 楼不好意思，还得问一下。这个驱动怎么用那。我试了一下： "RtlInitAnsiString(&HideDirFile,"c:\\Test");" 和 "RtlInitAnsiString(&HideDirFile,"c:\\Test\\Test.txt");" 怎么没有隐藏成功。有什么不对的地方么？ 2008-5-9 16:53 0
百折不挠雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 139 粉丝 0 关注私信	百折不挠 15 楼这样写： RtlInitAnsiString(&HideDirFile,"Test"); 就可以隐藏任何test目录了。不能带路径。我用OD试了一下，在调用NtQueryDirectoryFile函数时，会把上级目录放在FileName参数里， NTAPI NtQueryDirectoryFile( IN HANDLE FileHandle, IN HANDLE Event OPTIONAL, IN PIO_APC_ROUTINE ApcRoutine OPTIONAL, IN PVOID ApcContext OPTIONAL, OUT PIO_STATUS_BLOCK IoStatusBlock, OUT PVOID FileInformation, IN ULONG Length, IN FILE_INFORMATION_CLASS FileInformationClass, IN BOOLEAN ReturnSingleEntry, IN PUNICODE_STRING FileName OPTIONAL, //上级目录 IN BOOLEAN RestartScan ); 我要对此参数进行过滤要怎么做？比如：当FileName="c:\test"就函数直接反回。我试了N次都是因为FileName的数据类型不能强制转换而不能通过。 UNICODE_STRING uniFileNamenew; ANSI_STRING FileNamenew; RtlInitUnicodeString(&uniFileNamenew,FileName); RtlUnicodeStringToAnsiString(&FileNamenew,&uniFileNamenew,TRUE); if(RtlCompareMemory(FileNamenew.Buffer,HideDirFile.Buffer,HideDirFile.Length ) == HideDirFile.Length) { rc=0; __asm { popad mov esp,ebp pop ebp mov eax,rc ret 0x2C } } 大概意思就是上面这段代码，我知道肯定不简单，我C++的数据类型转换不熟，请hfyy大哥看看要怎么改？ 2008-5-9 17:18 0
hfyy 雪币： 235 活跃值： (23) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 122 粉丝 2 关注私信	hfyy 2 16 楼如果你不做什么操作返回的rc就是原谅调用NtQueryDirectoryFile返回的NTSTATUS 我想根本看不出什么区别吧 2008-5-10 16:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (15)
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 2 楼这种方法学习是不错....但用于隐藏文件????不太行啊 2008-5-8 20:14 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 3 楼写地不错啊。 2008-5-8 20:32 0
hfyy 雪币： 235 活跃值： (23) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 122 粉丝 2 关注私信	hfyy 2 4 楼为什么啊 2008-5-8 23:23 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 56 关注私信	combojiang 26 5 楼 __asm { forwArd: call bAck } 这句写的精彩。 2008-5-9 09:00 0
百折不挠雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 139 粉丝 0 关注私信	百折不挠 6 楼 BOOL hook后面少了个分号， if(NT_SUCCESS(Check())) { DbgPrint(" check SUCCESS"); write(); hook=true; //这里好象不能用小写的，hook定义的是BOOL.而不是bool, } 2008-5-9 10:01 0
hfyy 雪币： 235 活跃值： (23) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 122 粉丝 2 关注私信	hfyy 2 7 楼谢谢提醒我改了那句其实是后加的没经编译的 2008-5-9 10:58 0
百折不挠雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 139 粉丝 0 关注私信	百折不挠 8 楼我修改了隐藏的文件名，改成一个目录，在XPDDK下编译后，一旦访问到隐藏的目录就蓝屏重启了。比如，隐藏了目录ABC,一旦在地址栏里输入ABC就BOSD了。还有令我不解的是： //return rc; __asm { popad mov esp,ebp pop ebp mov eax,rc ret 0x2C } 为什么不用 return rc; 呢？ NtQueryDirectoryFile函数和zwQueryDirectoryFile谁是最底层？感觉两个函数都一样啊。 2008-5-9 15:09 0
hfyy 雪币： 235 活跃值： (23) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 122 粉丝 2 关注私信	hfyy 2 9 楼第一个问题我不知道还在考虑第二个问题因为是nake func 堆栈都要自己平衡第三个问题 NtQueryDirectoryFile 2008-5-9 15:37 0
yoli 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	yoli 10 楼为什么会出现这个 warning 那： 'MyNtQueryDirectoryFile' : function should return a value; 'void' return type assumed 因为这个warning .sys 没有被生成。我用的是 DDKWizard 的编译环境, 2003 DDK。 2008-5-9 15:53 0
hfyy 雪币： 235 活跃值： (23) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 122 粉丝 2 关注私信	hfyy 2 11 楼直接用ddk编译试试 2008-5-9 16:02 0
hfyy 雪币： 235 活跃值： (23) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 122 粉丝 2 关注私信	hfyy 2 12 楼给你我的sys 上传的附件： 1.rar （1.70kb，39次下载） 2008-5-9 16:05 0
yoli 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	yoli 13 楼环境好了。谢谢LZ 的帮助及分享。 2008-5-9 16:42 0
yoli 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	yoli 14 楼不好意思，还得问一下。这个驱动怎么用那。我试了一下： "RtlInitAnsiString(&HideDirFile,"c:\\Test");" 和 "RtlInitAnsiString(&HideDirFile,"c:\\Test\\Test.txt");" 怎么没有隐藏成功。有什么不对的地方么？ 2008-5-9 16:53 0
百折不挠雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 139 粉丝 0 关注私信	百折不挠 15 楼这样写： RtlInitAnsiString(&HideDirFile,"Test"); 就可以隐藏任何test目录了。不能带路径。我用OD试了一下，在调用NtQueryDirectoryFile函数时，会把上级目录放在FileName参数里， NTAPI NtQueryDirectoryFile( IN HANDLE FileHandle, IN HANDLE Event OPTIONAL, IN PIO_APC_ROUTINE ApcRoutine OPTIONAL, IN PVOID ApcContext OPTIONAL, OUT PIO_STATUS_BLOCK IoStatusBlock, OUT PVOID FileInformation, IN ULONG Length, IN FILE_INFORMATION_CLASS FileInformationClass, IN BOOLEAN ReturnSingleEntry, IN PUNICODE_STRING FileName OPTIONAL, //上级目录 IN BOOLEAN RestartScan ); 我要对此参数进行过滤要怎么做？比如：当FileName="c:\test"就函数直接反回。我试了N次都是因为FileName的数据类型不能强制转换而不能通过。 UNICODE_STRING uniFileNamenew; ANSI_STRING FileNamenew; RtlInitUnicodeString(&uniFileNamenew,FileName); RtlUnicodeStringToAnsiString(&FileNamenew,&uniFileNamenew,TRUE); if(RtlCompareMemory(FileNamenew.Buffer,HideDirFile.Buffer,HideDirFile.Length ) == HideDirFile.Length) { rc=0; __asm { popad mov esp,ebp pop ebp mov eax,rc ret 0x2C } } 大概意思就是上面这段代码，我知道肯定不简单，我C++的数据类型转换不熟，请hfyy大哥看看要怎么改？ 2008-5-9 17:18 0
hfyy 雪币： 235 活跃值： (23) 能力值： ( LV6，RANK：90 ) 在线值：发帖 14 回帖 122 粉丝 2 关注私信	hfyy 2 16 楼如果你不做什么操作返回的rc就是原谅调用NtQueryDirectoryFile返回的NTSTATUS 我想根本看不出什么区别吧 2008-5-10 16:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复