鱼C论坛

 找回密码
 立即注册
查看: 2722|回复: 4

Hook NtOpenProcess,一个小小的进步

[复制链接]
发表于 2018-6-29 09:33:23 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能^_^

您需要 登录 才可以下载或查看,没有账号?立即注册

x
昨晚写的一个驱动

QQ图片20180629092126.jpg

评分

参与人数 1鱼币 +3 收起 理由
康小泡 + 3 鱼C有你更精彩^_^

查看全部评分

想知道小甲鱼最近在做啥?请访问 -> ilovefishc.com
回复

使用道具 举报

发表于 2018-6-29 11:19:29 | 显示全部楼层
可以放点代码什么的,这样也方便别的鱼油学习
想知道小甲鱼最近在做啥?请访问 -> ilovefishc.com
回复 支持 反对

使用道具 举报

发表于 2018-8-14 09:50:58 | 显示全部楼层
XP还是WIN7 10,7 10好像不支持XUERT之类的
想知道小甲鱼最近在做啥?请访问 -> ilovefishc.com
回复 支持 反对

使用道具 举报

发表于 2024-3-29 15:26:53 | 显示全部楼层
很简单的,修改cr0或者映射都行
NTSTATUS installhook()
{
       
        //Curaddr = GetCurrentAddr();//获取当前openprocess函数在ssdt表里的地址
        ULONG* addr=KeServiceDescriptorTable->funcaddr;
        PHYSICAL_ADDRESS physicaladdr = MmGetPhysicalAddress(addr);
        ULONG* g_functable = MmMapIoSpace(physicaladdr, PAGE_SIZE, MmNonCached);
        g_functable[0xBE] = (ULONG)MyNtOpenProcess;

        return STATUS_SUCCESS;
       
}
NTSTATUS uninstallhook()
{
        UNICODE_STRING old_NtOpenProcess = RTL_CONSTANT_STRING(L"NtOpenProcess");
        ULONG* oldaddr = (ULONG*)MmGetSystemRoutineAddress(&old_NtOpenProcess);
        ULONG* addr = KeServiceDescriptorTable->funcaddr;
        PHYSICAL_ADDRESS physicaladdr= MmGetPhysicalAddress(addr);
        ULONG* g_functable = MmMapIoSpace(physicaladdr, PAGE_SIZE, MmNonCached);
        g_functable[0xBE] = (ULONG)oldaddr;

        return STATUS_SUCCESS;

}
想知道小甲鱼最近在做啥?请访问 -> ilovefishc.com
回复 支持 反对

使用道具 举报

发表于 2024-3-29 15:33:06 | 显示全部楼层
        //if (Curaddr == oldaddr)
        //{
        //        BYTE hookcode[5] = { 0xe9,0,0,0,0};
        //        ULONG res=oldaddr - Curaddr - 5;
        //        memcpy(&hookcode[1], &res, 4);
        //        __asm
        //        {
        //                        cli;//避免执行指令时候被打扰
        //                        mov eax, cr0;
        //                        and eax,0xFFFFEFFF;
        //                        mov cr0, eax;       
        //                        //保存指令
        //                        lea ebx, Curaddr;
        //                        lea ecx, oldcode;
        //                        mov al, byte ptr[ebx];
        //                        mov byte ptr[ecx], al;
        //                        mov eax, dword ptr[ebx + 1];
        //                        mov dword ptr[ecx + 1],  eax;

        //                        //开始hook
        //                        lea ebx, Curaddr;
        //                        lea ecx, hookcode;
        //                        mov al, byte ptr [ecx];//e9
        //                        mov byte ptr[ebx], al;
        //                        mov eax, [ecx + 1];
        //                        mov dword ptr[ebx+1], eax;

        //                        mov eax, cr0;
        //                        or eax, 0x10000;
        //                        mov cr0, eax;
        //                        sti;
        //        }
        //        //跳转
        //}
修改cr0
想知道小甲鱼最近在做啥?请访问 -> ilovefishc.com
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|手机版|Archiver|鱼C工作室 ( 粤ICP备18085999号-1 | 粤公网安备 44051102000585号)

GMT+8, 2024-12-21 23:06

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表