[inline hook]HOOK NtCreateFile 实现文件无法打开

迷雾少年

继上次发了SSDT HOOK 后 现在来发个inline hook 同样是hook   inline hook是修改了原函数体  SSDT HOOK 只是修改SSDT表的地址

看图 原始函数地址和当前函数地址不一样就是被HOOK了
inline hook也有好多种的 jmp hook是最简单的  下次写个call hook吧

1. [hide]#include <ntddk.h>
   
2. #include "Header.h"
   
3. 
   
4. //NtOpenKey的前5字节
   
5. UCHAR NtCreateFileHeader[5] = {NULL};
   
6. //UCHAR Jmp[5] = {233,0,0,0,0};
   
7. 
   
8. void PageProtectOn()
   
9. {
   
10.         __asm
    
11.         {
    
12.                 mov eax, cr0;
    
13.                 or eax, 10000h;
    
14.                 mov cr0, eax;
    
15.                 sti
    
16.         }
    
17. }
    
18. void PageProtectOff() //关闭
    
19. {
    
20.         __asm
    
21.         {
    
22.                 cli
    
23.                         mov eax, cr0;
    
24.                 and eax, not 10000h;
    
25.                 mov cr0, eax;
    
26.         }
    
27. }
    
28. 
    
29. VOID Hook_Stop();
    
30. VOID Hook_Start();
    
31. 
    
32. /* NtCreateFile原形  */
    
33. NTSTATUS   NtCreateFile(
    
34.        PHANDLE            FileHandle,
    
35.        ACCESS_MASK        DesiredAccess,
    
36.        POBJECT_ATTRIBUTES ObjectAttributes,
    
37.        PIO_STATUS_BLOCK   IoStatusBlock,
    
38.        PLARGE_INTEGER     AllocationSize,
    
39.        ULONG              FileAttributes,
    
40.        ULONG              ShareAccess,
    
41.        ULONG              CreateDisposition,
    
42.        ULONG              CreateOptions,
    
43.        PVOID              EaBuffer,
    
44.        ULONG              EaLength
    
45. 
    
46. )
    
47. {
    
48.         NTSTATUS status;
    
49.         /*
    
50.         __asm
    
51.         {
    
52.                 mov edi,edi
    
53.                 push ebp
    
54.                 mov ebp,esp
    
55.                 mov eax,KeServiceDescriptorTable.ServiceTableBase[119]
    
56.                 add eax,5
    
57.                 jmp eax
    
58.         }
    
59.         */
    
60. 
    
61.         /* 停止HOOK */
    
62.         Hook_Stop();
    
63. 
    
64.         DbgPrint("目录:%ws",ObjectAttributes->ObjectName->Buffer);
    
65.         /* 在文件名中寻找字符串 -> fishc    中文可能DbgView 不支持 */
    
66.         if(wcsstr(ObjectAttributes->ObjectName->Buffer,L"fishc"))  
    
67.         {
    
68.         /* 修改返回值有不一样的结果 */
    
69.         status =  STATUS_OBJECT_NAME_NOT_FOUND;
    
70.         }
    
71.         else
    
72.         {
    
73.         /* 把参数传 给zwcreatefile 并保存返回值 */
    
74.         status = ZwCreateFile(FileHandle,DesiredAccess,ObjectAttributes,IoStatusBlock,AllocationSize,FileAttributes,ShareAccess,CreateDisposition,CreateOptions,EaBuffer,EaLength);
    
75.         }
    
76.         Hook_Start();
    
77.         return status;
    
78. }
    
79. 
    
80. 
    
81. VOID Hook_Start()
    
82. {
    
83.         /* 局部变量 */
    
84.        
    
85.         UINT32 *Address   = NULL;   //
    
86.         UINT32 Desaddress = NULL;  //偏移地址
    
87.        
    
88.         //关闭内存保护
    
89.         PageProtectOff();
    
90.         //写前保存前5字节
    
91.         RtlCopyMemory((VOID*)&NtCreateFileHeader,(VOID*)KeServiceDescriptorTable.ServiceTableBase[37],5);
    
92. 
    
93.         /* 计算偏移地址  公式 = 目标地址 - 原地址 - 5 */
    
94.         Desaddress = (ULONG)&NtCreateFile - (ULONG)KeServiceDescriptorTable.ServiceTableBase[37] - 5;
    
95.         *((UCHAR*)(KeServiceDescriptorTable.ServiceTableBase[37]))  =  233;               //JMP
    
96.         *((unsigned int*)(KeServiceDescriptorTable.ServiceTableBase[37]+1)) = Desaddress; //地址
    
97. 
    
98.        
    
99. 
    
100.         //恢复内存保护
     
101.         PageProtectOn();
     
102. }
     
103. 
     
104. VOID Hook_Stop()
     
105. {
     
106.         PageProtectOff();
     
107.        
     
108. 
     
109.         /* 恢复HOOK */
     
110.         RtlCopyMemory((VOID*)KeServiceDescriptorTable.ServiceTableBase[37],(VOID*)NtCreateFileHeader,5);
     
111.        
     
112.         PageProtectOn();
     
113. }
     
114. 
     
115. VOID DriverUnload(PDRIVER_OBJECT pDriverObject)
     
116. {
     
117.         DbgPrint("Driver Unload!");
     
118.         /* 停止HOOK */
     
119.         Hook_Stop();
     
120. }
     
121. 
     
122. 
     
123. NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject, PUNICODE_STRING RegistryPath)
     
124. {
     
125. 
     
126.         DbgPrint("Hello! Driver! Driver Entry\n");
     
127. 
     
128.         DbgPrint("NtOpenKey address:0x%x\n",(unsigned int)KeServiceDescriptorTable.ServiceTableBase[37]);
     
129. 
     
130.         pDriverObject->DriverUnload = DriverUnload;
     
131. 
     
132.         /* 开始HOOK */
     
133.         Hook_Start();
     
134.         return STATUS_SUCCESS;
     
135. }[/hide]

复制代码

Windows7  Visual Stdio 2012 编译通过
虚拟机 XP 系统测试




这里显示SSDT HOOK 是因为QQ的驱动已经比我们先实现 SSDT HOOK 了 但你可以看到我在QQ驱动的那个函数开头有个JMP XX

把QQ卸载重启后再安装启动驱动




inline  hook

就这样 如果还有不懂的可以Q我 回复帖子也可以  秒回

效果图

迷雾少年

注意哈  我编译的是 free xp  32 版   NtCreateFile SSDT索引是37 请自己修改编译再测试

迷雾少年

这次没有和ring0通信  如果想和ring0通信请看我发的上一个帖子

无名侠

楼主大神啦！

zhang99844

楼主厉害

为梦而生

这么好的的帖子，这么高的技术含量，必须顶一个啊

lewisyixin

感谢分享

洗脚水煮饺子

楼主牛 我是做单片机的  只会简单的arm汇编 哈哈