[求助]钩子问题大家帮帮忙-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]钩子问题大家帮帮忙

发表于: 2009-2-5 12:25 4097

[求助]钩子问题大家帮帮忙

keaigt

2009-2-5 12:25

4097

对ZwCreateFile进行hook 代码如下

NTSTATUS HookZwCreateFile(OUT PHANDLE FileHandle,
    IN ACCESS_MASK DesiredAccess,
    IN POBJECT_ATTRIBUTES ObjectAttributes,
    OUT PIO_STATUS_BLOCK IoStatusBlock,
    IN PLARGE_INTEGER AllocationSize OPTIONAL,
    IN ULONG FileAttributes,
    IN ULONG ShareAccess,
    IN ULONG CreateDisposition,
    IN ULONG CreateOptions,
    IN PVOID EaBuffer OPTIONAL,
    IN ULONG EaLength) 
{ 
	UNICODE_STRING Path;
	RtlInitUnicodeString(&Path,L"\\??\\D:\\1.txt");
	if(RtlCompareUnicodeString(&Path,ObjectAttributes->ObjectName,TRUE)==0);
	{
		dprintf("%wZ",&Path);
		return STATUS_SUCCESS;
	}
	return RealZwCreateFile(FileHandle,DesiredAccess,ObjectAttributes,IoStatusBlock,
	AllocationSize OPTIONAL,FileAttributes,ShareAccess,CreateDisposition,CreateOptions,
	EaBuffer OPTIONAL,EaLength);	
}

这样写为什么会把所有的创建都拦截下来

[课程]Linux pwn 探索篇！

收藏・0

免费・0

支持

最新回复 (3)
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 2 楼 if(RtlCompareUnicodeString(&Path,ObjectAttributes->ObjectName,TRUE)==0); == 打个什么分号 2009-2-5 13:34 0
hyp 雪币： 371 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 137 粉丝 0 关注私信	hyp 3 楼真隐蔽的错误...(记得考二级C的时候也考过这样的题目) 2009-2-5 13:40 0
keaigt 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 33 粉丝 0 关注私信	keaigt 4 楼我晕了没看见... 2009-2-5 20:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

keaigt

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 2 楼 if(RtlCompareUnicodeString(&Path,ObjectAttributes->ObjectName,TRUE)==0); == 打个什么分号 2009-2-5 13:34 0
hyp 雪币： 371 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 137 粉丝 0 关注私信	hyp 3 楼真隐蔽的错误...(记得考二级C的时候也考过这样的题目) 2009-2-5 13:40 0
keaigt 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 33 粉丝 0 关注私信	keaigt 4 楼我晕了没看见... 2009-2-5 20:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[求助]钩子问题 大家帮帮忙

[求助]钩子问题大家帮帮忙