本程序使用了hde32反汇编引擎,所以性能更加稳定!





#pragma once

#include <ntddk.h>





NTSYSAPI

NTSTATUS

NTAPI

NtCreateSection(OUT PHANDLE SectionHandle,

        IN ACCESS_MASK DesiredAccess,

        IN POBJECT_ATTRIBUTES ObjectAttributes,

        IN PLARGE_INTEGER SectionSize OPTIONAL,

        IN ULONG Protect,

        IN ULONG Attributes,

        IN HANDLE FileHandle);





NTSTATUS

DetourNtCreateSection(OUT PHANDLE SectionHandle,

            IN ACCESS_MASK DesiredAccess,

            IN POBJECT_ATTRIBUTES ObjectAttributes,

            IN PLARGE_INTEGER SectionSize OPTIONAL,

            IN ULONG Protect,

            IN ULONG Attributes,

            IN HANDLE FileHandle);





VOID

TrueCellUnload(IN PDRIVER_OBJECT DriverObject);





BOOLEAN

HookFunc(BOOLEAN IsHook);





NTSTATUS

DriverEntry(IN PDRIVER_OBJECT DriverObject,IN PUNICODE_STRING RegistryPath);





NTSTATUS

IoQueryFileDosDeviceName(IN PFILE_OBJECT  FileObject,

            OUT POBJECT_NAME_INFORMATION  *ObjectNameInformation );









#include "Ncs.h"

#include "hde32.h"





#pragma comment(lib, "hde32.lib")









UCHAR OriFuncHead[12]={0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90};//假设目标函数头部有12个字节

UCHAR NewFuncHead[5]={0xE9,0x00,0x00,0x00,0x00};//jmp [相对偏移] 的字节码——奇妙的地方

ULONG ulHeadLen=0;





NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,IN PUNICODE_STRING RegistryPath){

    KdPrint(("[TrueCell] Driver Entry!\r\n"));

    DriverObject->DriverUnload=TrueCellUnload;

    return HookFunc(TRUE)?STATUS_SUCCESS:STATUS_UNSUCCESSFUL;

}





VOID TrueCellUnload(IN PDRIVER_OBJECT DriverObject){

    HookFunc(FALSE);

    KdPrint(("[TrueCell] Driver Unload!\r\n"));

}









_declspec(naked) NTSTATUS

GoNtCreateSection(OUT PHANDLE SectionHandle,

    IN ACCESS_MASK DesiredAccess,

    IN POBJECT_ATTRIBUTES ObjectAttributes,

    IN PLARGE_INTEGER SectionSize OPTIONAL,

    IN ULONG Protect,

    IN ULONG Attributes,

    IN HANDLE FileHandle){//跳板

    _asm{

        nop;//    \   

        nop;//    |

        nop;//    |

        nop;//    |

        nop;//    |

        nop;//    |   

        nop;//    >开辟足够大的空间来容纳NtCreateSection开头的ulHeadlen个字节的机器码

        nop;//    |

        nop;//    |

        nop;//    |

        nop;//    |

        nop;//    /

        mov        eax,NtCreateSection;

        add     eax,ulHeadLen;

        jmp     eax

    }

}





NTSTATUS

DetourNtCreateSection(OUT PHANDLE SectionHandle,

            IN ACCESS_MASK DesiredAccess,

            IN POBJECT_ATTRIBUTES ObjectAttributes,

            IN PLARGE_INTEGER SectionSize OPTIONAL,

            IN ULONG Protect,

            IN ULONG Attributes,

            IN HANDLE FileHandle){//代理函数

    PFILE_OBJECT    FileObject;

    POBJECT_NAME_INFORMATION wcFilePath;

    //由Protect判断当前Section是否可执行:一般将要执行的DLL和EXE的都是Section可执行的

    if (Protect & (PAGE_EXECUTE|PAGE_EXECUTE_READ|PAGE_EXECUTE_READWRITE|PAGE_EXECUTE_WRITECOPY) ){

        //获取FileHandle对应的FILE_OBJEC——其有我们感兴趣的成员和作用

        if (NT_SUCCESS(ObReferenceObjectByHandle(FileHandle,0,NULL,KernelMode,&FileObject,NULL))){//获取文件对象       

        //获取FileObject对应的文件全路径

            if (IoQueryFileDosDeviceName(FileObject,&wcFilePath)==STATUS_SUCCESS){//获取文件对象所对应的文件Dos设备名称,即是全路径

               

                DbgPrint("[TrueCell] %ws\r\n",wcFilePath->Name.Buffer);

                ExFreePool(wcFilePath);//IoQueryFileDosDeviceName获取的OBJECT_NAME_INFORMATION 需要手动释放

            }

            ObDereferenceObject(FileObject);//放弃对FileObject的引用

        }       

    }

    //“返回”到真正的“跳板”处,完成Hook过程

    return GoNtCreateSection(SectionHandle,DesiredAccess,ObjectAttributes,SectionSize,Protect,Attributes,FileHandle);   

}





BOOLEAN HookFunc(BOOLEAN IsHook){

    ULONG  Offset;

    KIRQL  Irql;   

    ULONG  CR0Value;

    hde32s hs;

    PUCHAR code_pos;





    if (IsHook==FALSE && ulHeadLen==0){

        return FALSE;

    }

    KdPrint(("[TrueCell] %s\r\n",IsHook?"Hook":"UnHook"));





    Irql=KeRaiseIrqlToDpcLevel();

    if (IsHook){

        Offset=(ULONG)DetourNtCreateSection-(ULONG)NtCreateSection-5;

        RtlCopyMemory(NewFuncHead+1,(PUCHAR)&Offset,4);       





        code_pos=(PUCHAR )NtCreateSection;

        while (ulHeadLen<5){//利用反汇编引擎HDE,解析目标函数位置头部能容纳Hook跳转指令所需空间的大小

            RtlZeroMemory(&hs,sizeof(hs));

            ulHeadLen+=hde32_disasm(code_pos,&hs);

            code_pos+=ulHeadLen;

        }

        RtlCopyMemory(OriFuncHead,(PUCHAR)NtCreateSection,ulHeadLen);

        RtlCopyMemory(GoNtCreateSection,(PUCHAR)NtCreateSection,ulHeadLen);//将目标函数位置头部的指令复制到踏板函数体内

    }   

    _asm{//关闭写保护

        cli;

        push eax;   

        mov eax,cr0;

        mov CR0Value,eax;

        and eax,0xfffeffff;

        mov cr0,eax;

        pop eax;

    }

    if (IsHook){

        RtlMoveMemory((PUCHAR)NtCreateSection,NewFuncHead,5);

    }else{

        RtlMoveMemory((PUCHAR)NtCreateSection,OriFuncHead,ulHeadLen);

    }

    _asm{//重启写保护

        push eax;

        mov eax,CR0Value;

        mov cr0,eax;

        pop eax;

        sti;

    }

    KeLowerIrql(Irql);





    return TRUE;

}

HOOK NtCreateSection的更多相关文章

  1. 内核级HOOK的几种实现与应用

    实现内核级 HOOK 对于拦截.分析.跟踪系统内核起着致关重要的作用.实现的方法不同意味着应用侧重点的不同.如想要拦截 NATIVE API 那么可能常用的就是 HOOK SERVICE TABLE  ...

  2. 【旧文章搬运】分析了一下360安全卫士的HOOK

    原文发表于百度空间及看雪论坛,2009-10-08 看雪论坛地址:https://bbs.pediy.com/thread-99128.htm 看时间,09年的国庆节基本上就搞这玩意儿了...==== ...

  3. Hook exe 和 file

    c#拦截程序的运行 EasyHook  + win7 64位 LocalHook.GetProcAddress("Kernel32.dll", "CreateProces ...

  4. svnserver hook python

    在使用中可能会遇到的错误排除 :1.Error: svn: 解析"D:\www\test"出错,或svn: E020024: Error resolving case of 'D: ...

  5. Android Hook技术

    原文:http://blog.csdn.net/u011068702/article/details/53208825 附:Android Hook 全面入侵监听器 第一步.先爆项目demo照片,代码 ...

  6. Frida HOOK微信实现骰子作弊

    由于微信摇骰子的功能在本地进行随机后在发送,所以存在可以hook掉判断骰子数的方法进行修改作弊. 1.frida实现hook java层函数1)写个用来测试的demo,当我们点击按钮的时候会弹出窗口显 ...

  7. java的关闭钩子(Shutdown Hook)

    Runtime.getRuntime().addShutdownHook(shutdownHook);    这个方法的含义说明:        这个方法的意思就是在jvm中增加一个关闭的钩子,当jv ...

  8. IDT HOOK思路整理

    IDT(中断描述符表)分为IRQ(真正的硬件中断)和软件中断(又叫异常). HOOK的思路为,替换键盘中断处理的函数地址为自己的函数地址.这样在键盘驱动和过滤驱动之前就可以截获键盘输入. 思路确定之后 ...

  9. Android Hook 借助Xposed

    主要就是使用到了Xposed中的两个比较重要的方法,handleLoadPackage获取包加载时候的回调并拿到其对应的classLoader:findAndHookMethod对指定类的方法进行Ho ...

随机推荐

  1. Android读取logcat信息

    测试的时候,经常遇到开发需要logcat分析定位bug,今天简单记录一下获取logcat的方法 前提条件:电脑中要安装好Android SDK 1.cmd 进入到这个界面 2.电脑连上手机,手机记得打 ...

  2. hive sparksession查询只显示defalt库问题

    1.spark环境记得拷贝进hive.xml 2.SparkSession.builder().enableHiveSupport()记得加上enableHiveSupport 3.window记得w ...

  3. Spark应用程序

  4. TFS 忽略 文件

    原文链接:http://ju.outofmemory.cn/entry/258689 让TFS忽略packages文件夹的更改 很多时候我们需要使用 Nuget 进行包管理,这时在我们的解决方案文件夹 ...

  5. PHP算法之统计全为 1 的正方形子矩阵

    在一个由 0 和 1 组成的二维矩阵内,找到只包含 1 的最大正方形,并返回其面积. 示例: 输入: 1 0 1 0 01 0 1 1 11 1 1 1 11 0 0 1 0 输出: 4 来源:力扣( ...

  6. JS随机产生颜色

    <script> function selectForm(lowerValue,upperValue){ var choices=upperValue-lowerValue+1; retu ...

  7. Android开发 SeekBar开发记录

    前言 开发记录博客不是讲解使用博客,更多的是各种功能与点子的记录 基本使用 <SeekBar android:layout_width="match_parent" andr ...

  8. arc098E Range Minimum Queries

    题意:给你一个n个数的数组,每次能够选取连续的长度为K的子序列,取出其中任意一个最小元素. 一共操作Q次.问取出的元素中Max-Min最小是多少? 标程: #include<bits/stdc+ ...

  9. 为什么串行传输时总是LSB在前?

    https://superuser.com/questions/1104212/why-do-serial-ports-send-data-least-significant-bit-first 其实 ...

  10. Mac+VS Code+Git+Github

    https://blog.csdn.net/qq_37747262/article/details/81750417