本程序使用了hde32反汇编引擎,所以性能更加稳定!





#pragma once

#include <ntddk.h>





NTSYSAPI

NTSTATUS

NTAPI

NtCreateSection(OUT PHANDLE SectionHandle,

        IN ACCESS_MASK DesiredAccess,

        IN POBJECT_ATTRIBUTES ObjectAttributes,

        IN PLARGE_INTEGER SectionSize OPTIONAL,

        IN ULONG Protect,

        IN ULONG Attributes,

        IN HANDLE FileHandle);





NTSTATUS

DetourNtCreateSection(OUT PHANDLE SectionHandle,

            IN ACCESS_MASK DesiredAccess,

            IN POBJECT_ATTRIBUTES ObjectAttributes,

            IN PLARGE_INTEGER SectionSize OPTIONAL,

            IN ULONG Protect,

            IN ULONG Attributes,

            IN HANDLE FileHandle);





VOID

TrueCellUnload(IN PDRIVER_OBJECT DriverObject);





BOOLEAN

HookFunc(BOOLEAN IsHook);





NTSTATUS

DriverEntry(IN PDRIVER_OBJECT DriverObject,IN PUNICODE_STRING RegistryPath);





NTSTATUS

IoQueryFileDosDeviceName(IN PFILE_OBJECT  FileObject,

            OUT POBJECT_NAME_INFORMATION  *ObjectNameInformation );









#include "Ncs.h"

#include "hde32.h"





#pragma comment(lib, "hde32.lib")









UCHAR OriFuncHead[12]={0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90};//假设目标函数头部有12个字节

UCHAR NewFuncHead[5]={0xE9,0x00,0x00,0x00,0x00};//jmp [相对偏移] 的字节码——奇妙的地方

ULONG ulHeadLen=0;





NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,IN PUNICODE_STRING RegistryPath){

    KdPrint(("[TrueCell] Driver Entry!\r\n"));

    DriverObject->DriverUnload=TrueCellUnload;

    return HookFunc(TRUE)?STATUS_SUCCESS:STATUS_UNSUCCESSFUL;

}





VOID TrueCellUnload(IN PDRIVER_OBJECT DriverObject){

    HookFunc(FALSE);

    KdPrint(("[TrueCell] Driver Unload!\r\n"));

}









_declspec(naked) NTSTATUS

GoNtCreateSection(OUT PHANDLE SectionHandle,

    IN ACCESS_MASK DesiredAccess,

    IN POBJECT_ATTRIBUTES ObjectAttributes,

    IN PLARGE_INTEGER SectionSize OPTIONAL,

    IN ULONG Protect,

    IN ULONG Attributes,

    IN HANDLE FileHandle){//跳板

    _asm{

        nop;//    \   

        nop;//    |

        nop;//    |

        nop;//    |

        nop;//    |

        nop;//    |   

        nop;//    >开辟足够大的空间来容纳NtCreateSection开头的ulHeadlen个字节的机器码

        nop;//    |

        nop;//    |

        nop;//    |

        nop;//    |

        nop;//    /

        mov        eax,NtCreateSection;

        add     eax,ulHeadLen;

        jmp     eax

    }

}





NTSTATUS

DetourNtCreateSection(OUT PHANDLE SectionHandle,

            IN ACCESS_MASK DesiredAccess,

            IN POBJECT_ATTRIBUTES ObjectAttributes,

            IN PLARGE_INTEGER SectionSize OPTIONAL,

            IN ULONG Protect,

            IN ULONG Attributes,

            IN HANDLE FileHandle){//代理函数

    PFILE_OBJECT    FileObject;

    POBJECT_NAME_INFORMATION wcFilePath;

    //由Protect判断当前Section是否可执行:一般将要执行的DLL和EXE的都是Section可执行的

    if (Protect & (PAGE_EXECUTE|PAGE_EXECUTE_READ|PAGE_EXECUTE_READWRITE|PAGE_EXECUTE_WRITECOPY) ){

        //获取FileHandle对应的FILE_OBJEC——其有我们感兴趣的成员和作用

        if (NT_SUCCESS(ObReferenceObjectByHandle(FileHandle,0,NULL,KernelMode,&FileObject,NULL))){//获取文件对象       

        //获取FileObject对应的文件全路径

            if (IoQueryFileDosDeviceName(FileObject,&wcFilePath)==STATUS_SUCCESS){//获取文件对象所对应的文件Dos设备名称,即是全路径

               

                DbgPrint("[TrueCell] %ws\r\n",wcFilePath->Name.Buffer);

                ExFreePool(wcFilePath);//IoQueryFileDosDeviceName获取的OBJECT_NAME_INFORMATION 需要手动释放

            }

            ObDereferenceObject(FileObject);//放弃对FileObject的引用

        }       

    }

    //“返回”到真正的“跳板”处,完成Hook过程

    return GoNtCreateSection(SectionHandle,DesiredAccess,ObjectAttributes,SectionSize,Protect,Attributes,FileHandle);   

}





BOOLEAN HookFunc(BOOLEAN IsHook){

    ULONG  Offset;

    KIRQL  Irql;   

    ULONG  CR0Value;

    hde32s hs;

    PUCHAR code_pos;





    if (IsHook==FALSE && ulHeadLen==0){

        return FALSE;

    }

    KdPrint(("[TrueCell] %s\r\n",IsHook?"Hook":"UnHook"));





    Irql=KeRaiseIrqlToDpcLevel();

    if (IsHook){

        Offset=(ULONG)DetourNtCreateSection-(ULONG)NtCreateSection-5;

        RtlCopyMemory(NewFuncHead+1,(PUCHAR)&Offset,4);       





        code_pos=(PUCHAR )NtCreateSection;

        while (ulHeadLen<5){//利用反汇编引擎HDE,解析目标函数位置头部能容纳Hook跳转指令所需空间的大小

            RtlZeroMemory(&hs,sizeof(hs));

            ulHeadLen+=hde32_disasm(code_pos,&hs);

            code_pos+=ulHeadLen;

        }

        RtlCopyMemory(OriFuncHead,(PUCHAR)NtCreateSection,ulHeadLen);

        RtlCopyMemory(GoNtCreateSection,(PUCHAR)NtCreateSection,ulHeadLen);//将目标函数位置头部的指令复制到踏板函数体内

    }   

    _asm{//关闭写保护

        cli;

        push eax;   

        mov eax,cr0;

        mov CR0Value,eax;

        and eax,0xfffeffff;

        mov cr0,eax;

        pop eax;

    }

    if (IsHook){

        RtlMoveMemory((PUCHAR)NtCreateSection,NewFuncHead,5);

    }else{

        RtlMoveMemory((PUCHAR)NtCreateSection,OriFuncHead,ulHeadLen);

    }

    _asm{//重启写保护

        push eax;

        mov eax,CR0Value;

        mov cr0,eax;

        pop eax;

        sti;

    }

    KeLowerIrql(Irql);





    return TRUE;

}

HOOK NtCreateSection的更多相关文章

  1. 内核级HOOK的几种实现与应用

    实现内核级 HOOK 对于拦截.分析.跟踪系统内核起着致关重要的作用.实现的方法不同意味着应用侧重点的不同.如想要拦截 NATIVE API 那么可能常用的就是 HOOK SERVICE TABLE  ...

  2. 【旧文章搬运】分析了一下360安全卫士的HOOK

    原文发表于百度空间及看雪论坛,2009-10-08 看雪论坛地址:https://bbs.pediy.com/thread-99128.htm 看时间,09年的国庆节基本上就搞这玩意儿了...==== ...

  3. Hook exe 和 file

    c#拦截程序的运行 EasyHook  + win7 64位 LocalHook.GetProcAddress("Kernel32.dll", "CreateProces ...

  4. svnserver hook python

    在使用中可能会遇到的错误排除 :1.Error: svn: 解析"D:\www\test"出错,或svn: E020024: Error resolving case of 'D: ...

  5. Android Hook技术

    原文:http://blog.csdn.net/u011068702/article/details/53208825 附:Android Hook 全面入侵监听器 第一步.先爆项目demo照片,代码 ...

  6. Frida HOOK微信实现骰子作弊

    由于微信摇骰子的功能在本地进行随机后在发送,所以存在可以hook掉判断骰子数的方法进行修改作弊. 1.frida实现hook java层函数1)写个用来测试的demo,当我们点击按钮的时候会弹出窗口显 ...

  7. java的关闭钩子(Shutdown Hook)

    Runtime.getRuntime().addShutdownHook(shutdownHook);    这个方法的含义说明:        这个方法的意思就是在jvm中增加一个关闭的钩子,当jv ...

  8. IDT HOOK思路整理

    IDT(中断描述符表)分为IRQ(真正的硬件中断)和软件中断(又叫异常). HOOK的思路为,替换键盘中断处理的函数地址为自己的函数地址.这样在键盘驱动和过滤驱动之前就可以截获键盘输入. 思路确定之后 ...

  9. Android Hook 借助Xposed

    主要就是使用到了Xposed中的两个比较重要的方法,handleLoadPackage获取包加载时候的回调并拿到其对应的classLoader:findAndHookMethod对指定类的方法进行Ho ...

随机推荐

  1. Python从入门到精通视频(全60集)✍✍✍

    Python从入门到精通视频(全60集)  整个课程都看完了,这个课程的分享可以往下看,下面有链接,之前做java开发也做了一些年头,也分享下自己看这个视频的感受,单论单个知识点课程本身没问题,大家看 ...

  2. numpy基本函数

    在学习python的时候常常需要numpy这个库,每次都是用一个查一个,这个,终于见到一个完整的总结了http://blog.csdn.net/blog_empire/article/details/ ...

  3. C++之赋值、比较、逻辑运算符

    赋值运算符 **作用:**用于将表达式的值赋给变量 赋值运算符包括以下几个符号: int main() { //赋值运算符 // = ; a = ; cout << "a = & ...

  4. 面向XX程序设计到底是个啥

    面向过程编程:面向(对着)-->过程(流程步骤)-->编程(码代码) IPO是啥 input(输入)-->process(过程处理)-->output(输出) 未来码代码的目的 ...

  5. amaze UI(mark)

    为移动而生 Amaze UI 以移动优先(Mobile first)为理念,从小屏逐步扩展到大屏,最终实现所有屏幕适配,适应移动互联潮流. 组件丰富,模块化 Amaze UI 含近 20 个 CSS ...

  6. Nacos v0.7.0:对接CMDB,实现基于标签的服务发现能力

    Nacos近期发布了0.7.0版本,该版本支持对接第三方CMDB获取CMDB数据.使用Selector机制来配置服务的路由类型.支持单机模式使用MySQL数据库.上线Node.js客户端,并修复了一些 ...

  7. bfs+dfs乱搞+类似拓扑排序——cf1182D

    代码不知道上了多少补丁..终于过了 用类似拓扑排序的办法收缩整棵树得到x,然后找到x直连的最远的和最近的点 只有这三个点可能是根,依次判一下即可 另外题解的第一种方法时找直径,然后判两端点+重心+所有 ...

  8. 莫比乌斯反演——hdu6390推公式

    /*首先要把原始化简成 k/phi[k] 的格式,然后把有关k的sigma提出来,后面就是求gcd(i,j)==k的莫比乌斯反演这里要用整除分块加下速*/#include<bits/stdc++ ...

  9. hdu多校第四场 1007 (hdu6620) Just an Old Puzzle 逆序对

    题意: 给你一个数字拼图,问你数字拼图能否能复原成原来的样子. 题解: 数字拼图的性质是,逆序数奇偶相同时,可以互相转化,逆序数奇偶不同,不能互相转化. 因此统计逆序对即可. #include< ...

  10. 不能scp到本地mac,mac打开ssh服务

    设置->共享->远程登录->所有用户