本程序使用了hde32反汇编引擎,所以性能更加稳定!





#pragma once

#include <ntddk.h>





NTSYSAPI

NTSTATUS

NTAPI

NtCreateSection(OUT PHANDLE SectionHandle,

        IN ACCESS_MASK DesiredAccess,

        IN POBJECT_ATTRIBUTES ObjectAttributes,

        IN PLARGE_INTEGER SectionSize OPTIONAL,

        IN ULONG Protect,

        IN ULONG Attributes,

        IN HANDLE FileHandle);





NTSTATUS

DetourNtCreateSection(OUT PHANDLE SectionHandle,

            IN ACCESS_MASK DesiredAccess,

            IN POBJECT_ATTRIBUTES ObjectAttributes,

            IN PLARGE_INTEGER SectionSize OPTIONAL,

            IN ULONG Protect,

            IN ULONG Attributes,

            IN HANDLE FileHandle);





VOID

TrueCellUnload(IN PDRIVER_OBJECT DriverObject);





BOOLEAN

HookFunc(BOOLEAN IsHook);





NTSTATUS

DriverEntry(IN PDRIVER_OBJECT DriverObject,IN PUNICODE_STRING RegistryPath);





NTSTATUS

IoQueryFileDosDeviceName(IN PFILE_OBJECT  FileObject,

            OUT POBJECT_NAME_INFORMATION  *ObjectNameInformation );









#include "Ncs.h"

#include "hde32.h"





#pragma comment(lib, "hde32.lib")









UCHAR OriFuncHead[12]={0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90,0x90};//假设目标函数头部有12个字节

UCHAR NewFuncHead[5]={0xE9,0x00,0x00,0x00,0x00};//jmp [相对偏移] 的字节码——奇妙的地方

ULONG ulHeadLen=0;





NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,IN PUNICODE_STRING RegistryPath){

    KdPrint(("[TrueCell] Driver Entry!\r\n"));

    DriverObject->DriverUnload=TrueCellUnload;

    return HookFunc(TRUE)?STATUS_SUCCESS:STATUS_UNSUCCESSFUL;

}





VOID TrueCellUnload(IN PDRIVER_OBJECT DriverObject){

    HookFunc(FALSE);

    KdPrint(("[TrueCell] Driver Unload!\r\n"));

}









_declspec(naked) NTSTATUS

GoNtCreateSection(OUT PHANDLE SectionHandle,

    IN ACCESS_MASK DesiredAccess,

    IN POBJECT_ATTRIBUTES ObjectAttributes,

    IN PLARGE_INTEGER SectionSize OPTIONAL,

    IN ULONG Protect,

    IN ULONG Attributes,

    IN HANDLE FileHandle){//跳板

    _asm{

        nop;//    \   

        nop;//    |

        nop;//    |

        nop;//    |

        nop;//    |

        nop;//    |   

        nop;//    >开辟足够大的空间来容纳NtCreateSection开头的ulHeadlen个字节的机器码

        nop;//    |

        nop;//    |

        nop;//    |

        nop;//    |

        nop;//    /

        mov        eax,NtCreateSection;

        add     eax,ulHeadLen;

        jmp     eax

    }

}





NTSTATUS

DetourNtCreateSection(OUT PHANDLE SectionHandle,

            IN ACCESS_MASK DesiredAccess,

            IN POBJECT_ATTRIBUTES ObjectAttributes,

            IN PLARGE_INTEGER SectionSize OPTIONAL,

            IN ULONG Protect,

            IN ULONG Attributes,

            IN HANDLE FileHandle){//代理函数

    PFILE_OBJECT    FileObject;

    POBJECT_NAME_INFORMATION wcFilePath;

    //由Protect判断当前Section是否可执行:一般将要执行的DLL和EXE的都是Section可执行的

    if (Protect & (PAGE_EXECUTE|PAGE_EXECUTE_READ|PAGE_EXECUTE_READWRITE|PAGE_EXECUTE_WRITECOPY) ){

        //获取FileHandle对应的FILE_OBJEC——其有我们感兴趣的成员和作用

        if (NT_SUCCESS(ObReferenceObjectByHandle(FileHandle,0,NULL,KernelMode,&FileObject,NULL))){//获取文件对象       

        //获取FileObject对应的文件全路径

            if (IoQueryFileDosDeviceName(FileObject,&wcFilePath)==STATUS_SUCCESS){//获取文件对象所对应的文件Dos设备名称,即是全路径

               

                DbgPrint("[TrueCell] %ws\r\n",wcFilePath->Name.Buffer);

                ExFreePool(wcFilePath);//IoQueryFileDosDeviceName获取的OBJECT_NAME_INFORMATION 需要手动释放

            }

            ObDereferenceObject(FileObject);//放弃对FileObject的引用

        }       

    }

    //“返回”到真正的“跳板”处,完成Hook过程

    return GoNtCreateSection(SectionHandle,DesiredAccess,ObjectAttributes,SectionSize,Protect,Attributes,FileHandle);   

}





BOOLEAN HookFunc(BOOLEAN IsHook){

    ULONG  Offset;

    KIRQL  Irql;   

    ULONG  CR0Value;

    hde32s hs;

    PUCHAR code_pos;





    if (IsHook==FALSE && ulHeadLen==0){

        return FALSE;

    }

    KdPrint(("[TrueCell] %s\r\n",IsHook?"Hook":"UnHook"));





    Irql=KeRaiseIrqlToDpcLevel();

    if (IsHook){

        Offset=(ULONG)DetourNtCreateSection-(ULONG)NtCreateSection-5;

        RtlCopyMemory(NewFuncHead+1,(PUCHAR)&Offset,4);       





        code_pos=(PUCHAR )NtCreateSection;

        while (ulHeadLen<5){//利用反汇编引擎HDE,解析目标函数位置头部能容纳Hook跳转指令所需空间的大小

            RtlZeroMemory(&hs,sizeof(hs));

            ulHeadLen+=hde32_disasm(code_pos,&hs);

            code_pos+=ulHeadLen;

        }

        RtlCopyMemory(OriFuncHead,(PUCHAR)NtCreateSection,ulHeadLen);

        RtlCopyMemory(GoNtCreateSection,(PUCHAR)NtCreateSection,ulHeadLen);//将目标函数位置头部的指令复制到踏板函数体内

    }   

    _asm{//关闭写保护

        cli;

        push eax;   

        mov eax,cr0;

        mov CR0Value,eax;

        and eax,0xfffeffff;

        mov cr0,eax;

        pop eax;

    }

    if (IsHook){

        RtlMoveMemory((PUCHAR)NtCreateSection,NewFuncHead,5);

    }else{

        RtlMoveMemory((PUCHAR)NtCreateSection,OriFuncHead,ulHeadLen);

    }

    _asm{//重启写保护

        push eax;

        mov eax,CR0Value;

        mov cr0,eax;

        pop eax;

        sti;

    }

    KeLowerIrql(Irql);





    return TRUE;

}

HOOK NtCreateSection的更多相关文章

  1. 内核级HOOK的几种实现与应用

    实现内核级 HOOK 对于拦截.分析.跟踪系统内核起着致关重要的作用.实现的方法不同意味着应用侧重点的不同.如想要拦截 NATIVE API 那么可能常用的就是 HOOK SERVICE TABLE  ...

  2. 【旧文章搬运】分析了一下360安全卫士的HOOK

    原文发表于百度空间及看雪论坛,2009-10-08 看雪论坛地址:https://bbs.pediy.com/thread-99128.htm 看时间,09年的国庆节基本上就搞这玩意儿了...==== ...

  3. Hook exe 和 file

    c#拦截程序的运行 EasyHook  + win7 64位 LocalHook.GetProcAddress("Kernel32.dll", "CreateProces ...

  4. svnserver hook python

    在使用中可能会遇到的错误排除 :1.Error: svn: 解析"D:\www\test"出错,或svn: E020024: Error resolving case of 'D: ...

  5. Android Hook技术

    原文:http://blog.csdn.net/u011068702/article/details/53208825 附:Android Hook 全面入侵监听器 第一步.先爆项目demo照片,代码 ...

  6. Frida HOOK微信实现骰子作弊

    由于微信摇骰子的功能在本地进行随机后在发送,所以存在可以hook掉判断骰子数的方法进行修改作弊. 1.frida实现hook java层函数1)写个用来测试的demo,当我们点击按钮的时候会弹出窗口显 ...

  7. java的关闭钩子(Shutdown Hook)

    Runtime.getRuntime().addShutdownHook(shutdownHook);    这个方法的含义说明:        这个方法的意思就是在jvm中增加一个关闭的钩子,当jv ...

  8. IDT HOOK思路整理

    IDT(中断描述符表)分为IRQ(真正的硬件中断)和软件中断(又叫异常). HOOK的思路为,替换键盘中断处理的函数地址为自己的函数地址.这样在键盘驱动和过滤驱动之前就可以截获键盘输入. 思路确定之后 ...

  9. Android Hook 借助Xposed

    主要就是使用到了Xposed中的两个比较重要的方法,handleLoadPackage获取包加载时候的回调并拿到其对应的classLoader:findAndHookMethod对指定类的方法进行Ho ...

随机推荐

  1. js用document.getElementById时要注意!

    <!DOCTYPE html> <html lang="en"> <head> <script src="http://code ...

  2. ## jvm知识点零碎整理

    1.初始化VM options配置 idea安装目录\bin\idea.exe.vmoptions 和 idea64.exe.vmoptions可以看到初始配置: -Xms128m  (设置初始化堆内 ...

  3. Qt5 linux下的配置

    对于用Qt开发图形界面,Qt会用到openGL的相关库文件和头文件.虽然绝大多数的linux发行版中都没有预置安装这些开发工具,但是要安装它们,也是非常简单的.用一行安装命令即可安装完毕. Debia ...

  4. NPE问题

    “防止 NPE,是程序员的基本修养.”NPE(Null Pointer Exception) 参考: https://www.jianshu.com/p/9915f2e34a13

  5. UVALive7461 - Separating Pebbles 判断两个凸包相交

    //UVALive7461 - Separating Pebbles 判断两个凸包相交 #include <bits/stdc++.h> using namespace std; #def ...

  6. WifiManager Wifi 管理器&&知识点

    WifiManager 主要使用的技术: SimpleWifi,MahaApp.Metro控件 一 网卡设置 1.获取所有网卡(NetWorkAdapter类) 方法A 通过API SELECT * ...

  7. 【JZOJ6384】珂学家

    description analysis 注意配出来的饮料不可以再配成其他饮料,所以肯定有\(O(n^2)\)的枚举 而且可口度两两互不相同,搞得我以为这是神仙题 考虑把两个试剂\([l_1,r_1] ...

  8. 计算几何——判线段规范相交+最短路zoj1721

    枚举每个端点,然后i点j点连线作为一条路径,逐一判断这条路径是否可行即可 注意的地方:判一条线段是否可行,需要判其余线段是否和其相交,但是这个相交比较难判(因为会不规范相交),所以将问题转化为墙以外的 ...

  9. 尚学linux课程---7、linux系统管理命令

    尚学linux课程---7.linux系统管理命令 一.总结 一句话总结: 查网络:netstat -ntpl 查进程:ps 1.需要下载163yum源(从外部源同步仓库)里面的所有rpm文件? re ...

  10. echarts 默认柱状图每根柱子显示不同颜色(随机显示和定制显示)

    series: [{ name: '请求数', type: 'bar', //barGap: 60, barWidth: 140,//柱图宽度 //stack: 'sum',//堆叠效果 itemSt ...