Hook NtOpenProcess,一个小小的进步

yoyodj · 发表于 2018-6-29 09:33:23

马上注册，结交更多好友，享用更多功能^_^

您需要登录才可以下载或查看，没有账号？立即注册

x

昨晚写的一个驱动

康小泡 · 发表于 2018-6-29 11:19:29

可以放点代码什么的，这样也方便别的鱼油学习

彩色旗子 · 发表于 2018-8-14 09:50:58

XP还是WIN7 10，7 10好像不支持XUERT之类的

阿倍仲麻吕 · 发表于 2024-3-29 15:26:53

很简单的，修改cr0或者映射都行
NTSTATUS installhook()
{

//Curaddr = GetCurrentAddr();//获取当前openprocess函数在ssdt表里的地址
ULONG* addr=KeServiceDescriptorTable->funcaddr;
PHYSICAL_ADDRESS physicaladdr = MmGetPhysicalAddress(addr);
ULONG* g_functable = MmMapIoSpace(physicaladdr, PAGE_SIZE, MmNonCached);
g_functable[0xBE] = (ULONG)MyNtOpenProcess;

return STATUS_SUCCESS;

}
NTSTATUS uninstallhook()
{
UNICODE_STRING old_NtOpenProcess = RTL_CONSTANT_STRING(L"NtOpenProcess");
ULONG* oldaddr = (ULONG*)MmGetSystemRoutineAddress(&old_NtOpenProcess);
ULONG* addr = KeServiceDescriptorTable->funcaddr;
PHYSICAL_ADDRESS physicaladdr= MmGetPhysicalAddress(addr);
ULONG* g_functable = MmMapIoSpace(physicaladdr, PAGE_SIZE, MmNonCached);
g_functable[0xBE] = (ULONG)oldaddr;

return STATUS_SUCCESS;

}

阿倍仲麻吕 · 发表于 2024-3-29 15:33:06

//if (Curaddr == oldaddr)
//{
// BYTE hookcode[5] = { 0xe9,0,0,0,0};
// ULONG res=oldaddr - Curaddr - 5;
// memcpy(&hookcode[1], &res, 4);
// __asm
// {
// cli;//避免执行指令时候被打扰
// mov eax, cr0;
// and eax,0xFFFFEFFF;
// mov cr0, eax;
// //保存指令
// lea ebx, Curaddr;
// lea ecx, oldcode;
// mov al, byte ptr[ebx];
// mov byte ptr[ecx], al;
// mov eax, dword ptr[ebx + 1];
// mov dword ptr[ecx + 1], eax;

// //开始hook
// lea ebx, Curaddr;
// lea ecx, hookcode;
// mov al, byte ptr [ecx];//e9
// mov byte ptr[ebx], al;
// mov eax, [ecx + 1];
// mov dword ptr[ebx+1], eax;

// mov eax, cr0;
// or eax, 0x10000;
// mov cr0, eax;
// sti;
// }
// //跳转
//}
修改cr0

账号		自动登录	找回密码
密码			立即注册

Hook NtOpenProcess,一个小小的进步

马上注册，结交更多好友，享用更多功能^_^

评分