亚洲欧美日韩专区,国外成人免费视频,欧美在线视频二区

Hook API監(jiān)視驅(qū)動(dòng)的加載

				;**************************************************************************************************
;Author:dge/D哥
;Date  :2006.7.20
;**************************************************************************************************
;f:\masm32\bin\ml /nologo /c /coff HookAPI.asm
;C:\>f:\masm32\bin\link /nologo /driver /base:0x10000 /align:32 /out:HookAPI.sys /subsystem:native HookAPI.obj


.386

.
model flat
,
 stdcall
option casemap
:
none

;**************************************************************************************************

include f:\masm32\include\w2k\ntstatus.inc
include f:\masm32\include\w2k\ntddk.inc
include f:\masm32\include\w2k\ntoskrnl.inc
includelib f:\masm32\lib\w2k\ntoskrnl.lib
include f:\masm32\Macros\Strings.mac
;**************************************************************************************************
.data
;保存地址
dwOldNtLoadDriver   dd            ?
dwAddr              dd            ?
dwDriverName        ANSI_STRING  <?>
.const
CCOUNTED_UNICODE_STRING "\\Device\\devHookApi", g_usDeviceName, 4
CCOUNTED_UNICODE_STRING "\\??\\slHookApi", g_usSymbolicLinkName, 4
CCOUNTED_UNICODE_STRING "ZwLoadDriver", g_usRoutineAddr, 4
;**************************************************************************************************
.code
;讓這個(gè)函數(shù)在NtLoadDriver的調(diào)用時(shí)被執(zhí)行以實(shí)現(xiàn)監(jiān)視
NewNtLoadDriver     proc  lpDriverName:PUNICODE_STRING
pushad
;      int 3
;                   invoke DbgPrint, $CTA0("\nEntry into NEW\n")
      invoke RtlUnicodeStringToAnsiString, addr dwDriverName, lpDriverName,TRUE
invoke DbgPrint, $CTA0("\nDriverName: %s.sys\n"), dwDriverName.Buffer
popad
;調(diào)用原函數(shù)
      push   lpDriverName
call   dwOldNtLoadDriver
ret
NewNtLoadDriver     endp
;**************************************************************************************************
HookFunction        proc

                    pushad
;      int 3
;      invoke DbgPrint, $CTA0("\nEntry into hoookfunction\n")
;下面是用KeServiceDescriptorTabled導(dǎo)出符號(hào)獲得數(shù)組的基地址，這個(gè)數(shù)組中包含有NtXXXX函數(shù)的入口地址。
      mov eax, KeServiceDescriptorTable
mov esi, [eax]
mov esi, [esi]
;用MmGetSystemRoutineAddress來獲得函數(shù)ZwLoadDriver的地址。并從這個(gè)函數(shù)地址后面的第2個(gè)字節(jié)中取得服務(wù)號(hào)。從而
;獲得以服務(wù)號(hào)為下標(biāo)的數(shù)組元素。
             invoke MmGetSystemRoutineAddress,addr g_usRoutineAddr
inc eax
movzx ecx,byte ptr[eax]
sal ecx,2
      add esi,ecx
mov dwAddr,esi
      mov edi,dword ptr[esi]
;保存舊的函數(shù)地址。
      mov dwOldNtLoadDriver,edi
mov edi,offset NewNtLoadDriver
;修改入口地址
      cli
      mov dword ptr[esi],edi
sti
popad
mov eax, STATUS_SUCCESS
ret
HookFunction     endp
;**************************************************************************************************
DispatchCreateClose proc pDeviceObject:PDEVICE_OBJECT, pIrp:PIRP
mov eax, pIrp
assume eax:ptr _IRP
mov [eax].IoStatus.Status, STATUS_SUCCESS
and [eax].IoStatus.Information, 0
assume eax:nothing 

             invoke  IoCompleteRequest, pIrp, IO_NO_INCREMENT
mov eax, STATUS_SUCCESS
ret
DispatchCreateClose endp
;**************************************************************************************************
DriverUnload        proc pDriverObject:PDRIVER_OBJECT
;必須保存環(huán)境，否則后果很嚴(yán)重。在這個(gè)函數(shù)中恢復(fù)被修改的地址。

                   pushad
;             int 3
;                   invoke DbgPrint, $CTA0("\nEntry into DriverUnload \n")
                    mov esi,dwAddr
mov eax,dwOldNtLoadDriver
cli
mov dword ptr[esi],eax
sti
invoke IoDeleteSymbolicLink, addr g_usSymbolicLinkName
mov eax,pDriverObject
invoke IoDeleteDevice, (DRIVER_OBJECT PTR [eax]).DeviceObject
             popad

             ret
DriverUnload endp
;**************************************************************************************************
DriverEntry         proc pDriverObject:PDRIVER_OBJECT, pusRegistryPath:PUNICODE_STRING
local status:NTSTATUS
local pDeviceObject:PDEVICE_OBJECT
;                   int 3
;             invoke DbgPrint, $CTA0("\nEntry into DriverEntry\n")
             mov status, STATUS_DEVICE_CONFIGURATION_ERROR
invoke IoCreateDevice, pDriverObject, 0, addr g_usDeviceName, FILE_DEVICE_UNKNOWN, 0, FALSE, addr pDeviceObject
.if eax == STATUS_SUCCESS
invoke IoCreateSymbolicLink, addr g_usSymbolicLinkName, addr g_usDeviceName
.if eax == STATUS_SUCCESS
mov eax, pDriverObject
assume eax:ptr DRIVER_OBJECT
mov [eax].DriverUnload,            offset DriverUnload
mov [eax].MajorFunction[IRP_MJ_CREATE*(sizeof PVOID)],        offset DispatchCreateClose
mov [eax].MajorFunction[IRP_MJ_CLOSE*(sizeof PVOID)],         offset DispatchCreateClose
assume eax:nothing
                                          invoke HookFunction
mov status, STATUS_SUCCESS
.else
invoke IoDeleteDevice, pDeviceObject
.endif
.endif
             mov eax, status
ret
DriverEntry         endp

end DriverEntry
;**************************************************************************************************

posted on 2007-12-13 11:37 葉子閱讀(1571) 評(píng)論(0) 編輯收藏引用所屬分類: 驅(qū)動(dòng)開發(fā)

只有注冊(cè)用戶登錄后才能發(fā)表評(píng)論。
【推薦】100%開源！大型工業(yè)跨平臺(tái)軟件C++源碼提供，建模，組態(tài)！

相關(guān)文章: 使用Virtual PC進(jìn)行Windows內(nèi)核調(diào)試的詳細(xì)過程 The KLOG Rootkit:A Walk-through 利用鉤子技術(shù)控制進(jìn)程創(chuàng)建驅(qū)動(dòng)程序安裝-INF Hook API監(jiān)視驅(qū)動(dòng)的加載文件過濾驅(qū)動(dòng)開發(fā)輔助工具集本地目錄的只讀控制（禁止寫、刪除、新建））文件加密標(biāo)識(shí) －隱藏文件頭的黑客代碼 Windows 文件過濾驅(qū)動(dòng)經(jīng)驗(yàn)總結(jié)

網(wǎng)站導(dǎo)航: 博客園 IT新聞 BlogJava 博問 Chat2DB 管理

elva

Hook API監(jiān)視驅(qū)動(dòng)的加載

導(dǎo)航

統(tǒng)計(jì)信息

News

常用鏈接

留言簿(19)

隨筆分類

隨筆檔案

相冊(cè)

Links

搜索

最新評(píng)論