[求助]Hook ZwDeviceIoControlFile后如果过滤?-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
hangweapon 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 29 粉丝 0 关注私信	hangweapon 2 楼自己顶等人，指点 2009-8-6 22:47 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 3 楼 IoGetDeviceObjectPointer是通过对象名而不是对象句柄来获取对象指针。通过对象句柄来获取对象指针应该使用ObReferenceObjectByHandle 这里ZwDeviceIoControlFile传入的就是一个Handle，一般是代表Device的FileObject的句柄，使用ObReferenceObjectByHandle得到其指针后再进一步得到DeviceObject。 2009-8-6 22:58 0
hangweapon 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 29 粉丝 0 关注私信	hangweapon 4 楼谢谢，小聪大大指点！ 2009-8-6 23:35 0
hangweapon 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 29 粉丝 0 关注私信	hangweapon 5 楼 NTSTATUS NewZwDeviceIoControlFile( IN HANDLE FileHandle, IN HANDLE Event OPTIONAL, IN PIO_APC_ROUTINE ApcRoutine OPTIONAL, IN PVOID ApcContext OPTIONAL, OUT PIO_STATUS_BLOCK IoStatusBlock, IN ULONG IoControlCode, IN PVOID InputBuffer OPTIONAL, IN ULONG InputBufferLength, OUT PVOID OutputBuffer OPTIONAL, IN ULONG OutputBufferLength ) { // LONG numconn; // LONG i; NTSTATUS rc; PFILE_OBJECT pFile; PDEVICE_OBJECT pDev; PDRIVER_OBJECT pDrv; rc = InstallTCPDriverHook(); if(NT_SUCCESS(rc)) { rc =ObReferenceObjectByHandle(FileHandle,0,IoFileObjectType, KernelMode,(PVOID)&pFile,0); if(NT_SUCCESS(rc)) { pDev = pFile->DeviceObject; pDrv= pDev->DriverObject; DbgPrint("转换句柄Rc:%08x,句柄:%08x,DEVICE:%08x!\n",pDrv,pDrv_tcpip,pDev); if(pDrv_tcpip == pDrv) { DbgPrint("找到句柄!\n"); } // else{ // DbgPrint("句柄没有找到!\n"); // } } } rc = ((ZWDEVICEIOCONTROLFILE)(OldZwDeviceIoControlFile)) (FileHandle, Event, ApcRoutine, ApcContext, IoStatusBlock, IoControlCode, InputBuffer, InputBufferLength, OutputBuffer, OutputBufferLength ); return rc; } 这样写对不对呢？ 2009-8-7 22:28 0
hangweapon 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 29 粉丝 0 关注私信	hangweapon 6 楼其中pDrv_tcpip我是这样获取的 ntStatus = IoGetDeviceObjectPointer(&deviceTCPUnicodeString, FILE_READ_DATA, &pFile_tcp, &pDev_tcp); if(!NT_SUCCESS(ntStatus)) { DbgPrint("查找失败！\n"); return ntStatus; } pDrv_tcpip = pDev_tcp->DriverObject; 2009-8-7 22:30 0
hangweapon 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 29 粉丝 0 关注私信	hangweapon 7 楼自己顶上去，等高手回答！ 2009-8-9 11:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
hangweapon 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 29 粉丝 0 关注私信	hangweapon 2 楼自己顶等人，指点 2009-8-6 22:47 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 3 楼 IoGetDeviceObjectPointer是通过对象名而不是对象句柄来获取对象指针。通过对象句柄来获取对象指针应该使用ObReferenceObjectByHandle 这里ZwDeviceIoControlFile传入的就是一个Handle，一般是代表Device的FileObject的句柄，使用ObReferenceObjectByHandle得到其指针后再进一步得到DeviceObject。 2009-8-6 22:58 0
hangweapon 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 29 粉丝 0 关注私信	hangweapon 4 楼谢谢，小聪大大指点！ 2009-8-6 23:35 0
hangweapon 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 29 粉丝 0 关注私信	hangweapon 5 楼 NTSTATUS NewZwDeviceIoControlFile( IN HANDLE FileHandle, IN HANDLE Event OPTIONAL, IN PIO_APC_ROUTINE ApcRoutine OPTIONAL, IN PVOID ApcContext OPTIONAL, OUT PIO_STATUS_BLOCK IoStatusBlock, IN ULONG IoControlCode, IN PVOID InputBuffer OPTIONAL, IN ULONG InputBufferLength, OUT PVOID OutputBuffer OPTIONAL, IN ULONG OutputBufferLength ) { // LONG numconn; // LONG i; NTSTATUS rc; PFILE_OBJECT pFile; PDEVICE_OBJECT pDev; PDRIVER_OBJECT pDrv; rc = InstallTCPDriverHook(); if(NT_SUCCESS(rc)) { rc =ObReferenceObjectByHandle(FileHandle,0,IoFileObjectType, KernelMode,(PVOID)&pFile,0); if(NT_SUCCESS(rc)) { pDev = pFile->DeviceObject; pDrv= pDev->DriverObject; DbgPrint("转换句柄Rc:%08x,句柄:%08x,DEVICE:%08x!\n",pDrv,pDrv_tcpip,pDev); if(pDrv_tcpip == pDrv) { DbgPrint("找到句柄!\n"); } // else{ // DbgPrint("句柄没有找到!\n"); // } } } rc = ((ZWDEVICEIOCONTROLFILE)(OldZwDeviceIoControlFile)) (FileHandle, Event, ApcRoutine, ApcContext, IoStatusBlock, IoControlCode, InputBuffer, InputBufferLength, OutputBuffer, OutputBufferLength ); return rc; } 这样写对不对呢？ 2009-8-7 22:28 0
hangweapon 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 29 粉丝 0 关注私信	hangweapon 6 楼其中pDrv_tcpip我是这样获取的 ntStatus = IoGetDeviceObjectPointer(&deviceTCPUnicodeString, FILE_READ_DATA, &pFile_tcp, &pDev_tcp); if(!NT_SUCCESS(ntStatus)) { DbgPrint("查找失败！\n"); return ntStatus; } pDrv_tcpip = pDev_tcp->DriverObject; 2009-8-7 22:30 0
hangweapon 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 29 粉丝 0 关注私信	hangweapon 7 楼自己顶上去，等高手回答！ 2009-8-9 11:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [求助]Hook ZwDeviceIoControlFile后如果过滤? 0.00雪花