[讨论]C与C++开始驱动的区别！钩子。。-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (13)
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 2 楼堆栈乱了吧 .... 2009-1-14 16:37 0
suisuisui 雪币： 229 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 37 粉丝 0 关注私信	suisuisui 3 楼代码问题，跟用什么语言没关系 2009-1-14 16:58 0
ezme 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 35 粉丝 0 关注私信	ezme 4 楼我从来都是用c++,怎么没出过问题,我好幸运啊 2009-1-14 17:12 0
twoseconds 雪币： 112 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 152 粉丝 0 关注私信	twoseconds 5 楼我的部分代码，也是出问题的代码。 _declspec(naked) NTSTATUS HookZwOpenProcess( OUT PHANDLE ProcessHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes, IN PCLIENT_ID ClientId ) { if((ClientId != NULL)) { if((ULONG)ClientId->UniqueProcess==548) //阻止pid为548的进程被结束 { DbgPrint( "PID 548 has been accessed,need forbidden"); ProcessHandle = 0; //返回无效句柄 __asm { mov eax,0C0000022h ret 10h } // return STATUS_ACCESS_DENIED; //返回禁止访问 } } __asm { push ClientId push ObjectAttributes push DesiredAccess push ProcessHandle call RealZwOpenProcess ret 10h } // return (NTSTATUS)(REALZWOPENPROCESS)RealZwOpenProcess( ProcessHandle, DesiredAccess, ObjectAttributes, ClientId ); } VOID MyHook_thread(IN PVOID Context) { m_OFF(); __asm { push eax push ecx push edx mov eax,dword ptr [ZwOpenProcess] mov ecx,dword ptr [KeServiceDescriptorTable] mov eax,[eax+1] mov ecx,[ecx] mov edx,[ecx+eax4] mov g_Oldhook,edx mov dword ptr[ecx+eax4],offset HookZwOpenProcess pop eax pop ecx pop edx } m_ON(); } //对不起，大家。。 2009-1-14 17:18 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 6 楼 _declspec(naked) 裸函数需要自己平衡堆栈, 你的代码里面怎么没有啊... 2009-1-14 17:47 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 7 楼 __stdcall 2009-1-14 17:51 0
twoseconds 雪币： 112 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 152 粉丝 0 关注私信	twoseconds 8 楼 //我这个函数不是有吗？还有哪里要加啊。。不好意思，，错了。 _declspec(naked) NTSTATUS HookZwOpenProcess( OUT PHANDLE ProcessHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes, IN PCLIENT_ID ClientId ) 2009-1-14 18:08 0
twoseconds 雪币： 112 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 152 粉丝 0 关注私信	twoseconds 9 楼这个。。刚刚试过也不行。。不好意思，各位，刚刚本人发错了。。 _declspec(naked) NTSTATUS HookZwOpenProcess( OUT PHANDLE ProcessHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes, IN PCLIENT_ID ClientId ) { __asm pushad; if((ClientId != NULL)) { if((ULONG)ClientId->UniqueProcess==548) //阻止pid为548的进程被结束 { DbgPrint( "PID 548 has been accessed,need forbidden"); ProcessHandle = 0; //返回无效句柄 __asm{ popad mov eax,0C0000022h ret 10h } // return STATUS_ACCESS_DENIED; //返回禁止访问 } } __asm { popad push ClientId push ObjectAttributes push DesiredAccess push ProcessHandle call RealZwOpenProcess ret 10h } // return (NTSTATUS)(REALZWOPENPROCESS)RealZwOpenProcess( ProcessHandle, DesiredAccess, ObjectAttributes, ClientId ); } //希望能再次指点。。 2009-1-14 18:13 0
suisuisui 雪币： 229 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 37 粉丝 0 关注私信	suisuisui 10 楼 Hook ZwOpenProcess，为什么要用_declspec(naked)，不用这么麻烦吧直接自己定义一个不行？ 2009-1-14 18:27 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 11 楼用IDA打开看. 你会发现编译器又帮你压了3个寄存器. push edi push ebx push esi 所以返回的时候都要弹出来啊~~ 总之,是堆栈问题. 弄到windbg里一调,就知道了~ 2009-1-14 18:47 0
DazzleJ 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 55 粉丝 0 关注私信	DazzleJ 12 楼用C写驱动的飘过......... 用naked就直接全asm的再次飘过......... 2009-1-14 18:53 0
twoseconds 雪币： 112 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 152 粉丝 0 关注私信	twoseconds 13 楼在这先谢谢了，小弟先去调调看。 2009-1-14 18:57 0
twoseconds 雪币： 112 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 152 粉丝 0 关注私信	twoseconds 14 楼谢谢各位大侠，问题解决了。。 2009-1-14 20:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (13)
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 2 楼堆栈乱了吧 .... 2009-1-14 16:37 0
suisuisui 雪币： 229 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 37 粉丝 0 关注私信	suisuisui 3 楼代码问题，跟用什么语言没关系 2009-1-14 16:58 0
ezme 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 35 粉丝 0 关注私信	ezme 4 楼我从来都是用c++,怎么没出过问题,我好幸运啊 2009-1-14 17:12 0
twoseconds 雪币： 112 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 152 粉丝 0 关注私信	twoseconds 5 楼我的部分代码，也是出问题的代码。 _declspec(naked) NTSTATUS HookZwOpenProcess( OUT PHANDLE ProcessHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes, IN PCLIENT_ID ClientId ) { if((ClientId != NULL)) { if((ULONG)ClientId->UniqueProcess==548) //阻止pid为548的进程被结束 { DbgPrint( "PID 548 has been accessed,need forbidden"); ProcessHandle = 0; //返回无效句柄 __asm { mov eax,0C0000022h ret 10h } // return STATUS_ACCESS_DENIED; //返回禁止访问 } } __asm { push ClientId push ObjectAttributes push DesiredAccess push ProcessHandle call RealZwOpenProcess ret 10h } // return (NTSTATUS)(REALZWOPENPROCESS)RealZwOpenProcess( ProcessHandle, DesiredAccess, ObjectAttributes, ClientId ); } VOID MyHook_thread(IN PVOID Context) { m_OFF(); __asm { push eax push ecx push edx mov eax,dword ptr [ZwOpenProcess] mov ecx,dword ptr [KeServiceDescriptorTable] mov eax,[eax+1] mov ecx,[ecx] mov edx,[ecx+eax4] mov g_Oldhook,edx mov dword ptr[ecx+eax4],offset HookZwOpenProcess pop eax pop ecx pop edx } m_ON(); } //对不起，大家。。 2009-1-14 17:18 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 6 楼 _declspec(naked) 裸函数需要自己平衡堆栈, 你的代码里面怎么没有啊... 2009-1-14 17:47 0
Isaiah 雪币： 331 活跃值： (56) 能力值： ( LV13，RANK：410 ) 在线值：发帖 68 回帖 1293 粉丝 2 关注私信	Isaiah 10 7 楼 __stdcall 2009-1-14 17:51 0
twoseconds 雪币： 112 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 152 粉丝 0 关注私信	twoseconds 8 楼 //我这个函数不是有吗？还有哪里要加啊。。不好意思，，错了。 _declspec(naked) NTSTATUS HookZwOpenProcess( OUT PHANDLE ProcessHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes, IN PCLIENT_ID ClientId ) 2009-1-14 18:08 0
twoseconds 雪币： 112 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 152 粉丝 0 关注私信	twoseconds 9 楼这个。。刚刚试过也不行。。不好意思，各位，刚刚本人发错了。。 _declspec(naked) NTSTATUS HookZwOpenProcess( OUT PHANDLE ProcessHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes, IN PCLIENT_ID ClientId ) { __asm pushad; if((ClientId != NULL)) { if((ULONG)ClientId->UniqueProcess==548) //阻止pid为548的进程被结束 { DbgPrint( "PID 548 has been accessed,need forbidden"); ProcessHandle = 0; //返回无效句柄 __asm{ popad mov eax,0C0000022h ret 10h } // return STATUS_ACCESS_DENIED; //返回禁止访问 } } __asm { popad push ClientId push ObjectAttributes push DesiredAccess push ProcessHandle call RealZwOpenProcess ret 10h } // return (NTSTATUS)(REALZWOPENPROCESS)RealZwOpenProcess( ProcessHandle, DesiredAccess, ObjectAttributes, ClientId ); } //希望能再次指点。。 2009-1-14 18:13 0
suisuisui 雪币： 229 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 37 粉丝 0 关注私信	suisuisui 10 楼 Hook ZwOpenProcess，为什么要用_declspec(naked)，不用这么麻烦吧直接自己定义一个不行？ 2009-1-14 18:27 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 11 楼用IDA打开看. 你会发现编译器又帮你压了3个寄存器. push edi push ebx push esi 所以返回的时候都要弹出来啊~~ 总之,是堆栈问题. 弄到windbg里一调,就知道了~ 2009-1-14 18:47 0
DazzleJ 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 55 粉丝 0 关注私信	DazzleJ 12 楼用C写驱动的飘过......... 用naked就直接全asm的再次飘过......... 2009-1-14 18:53 0
twoseconds 雪币： 112 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 152 粉丝 0 关注私信	twoseconds 13 楼在这先谢谢了，小弟先去调调看。 2009-1-14 18:57 0
twoseconds 雪币： 112 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 152 粉丝 0 关注私信	twoseconds 14 楼谢谢各位大侠，问题解决了。。 2009-1-14 20:58 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复