• <ins id="pjuwb"></ins>
    <blockquote id="pjuwb"><pre id="pjuwb"></pre></blockquote>
    <noscript id="pjuwb"></noscript>
          <sup id="pjuwb"><pre id="pjuwb"></pre></sup>
            <dd id="pjuwb"></dd>
            <abbr id="pjuwb"></abbr>

            elva

            Hook API監視驅動的加載

            				;**************************************************************************************************
            ;Author:dge/D哥
            ;Date :2006.7.20
            ;**************************************************************************************************
            ;f:\masm32\bin\ml /nologo /c /coff HookAPI.asm
            ;C:\>f:\masm32\bin\link /nologo /driver /base:0x10000 /align:32 /out:HookAPI.sys /subsystem:native HookAPI.obj
            .386 . model flat , stdcall
            option casemap
            : none ;************************************************************************************************** include f:\masm32\include\w2k\ntstatus.inc include f:\masm32\include\w2k\ntddk.inc include f:\masm32\include\w2k\ntoskrnl.inc includelib f:\masm32\lib\w2k\ntoskrnl.lib include f:\masm32\Macros\Strings.mac ;************************************************************************************************** .data ;保存地址 dwOldNtLoadDriver dd ? dwAddr dd ? dwDriverName ANSI_STRING <?>
            .
            const CCOUNTED_UNICODE_STRING "\\Device\\devHookApi", g_usDeviceName, 4 CCOUNTED_UNICODE_STRING "\\??\\slHookApi", g_usSymbolicLinkName, 4 CCOUNTED_UNICODE_STRING "ZwLoadDriver", g_usRoutineAddr, 4 ;************************************************************************************************** .code ;讓這個函數在NtLoadDriver的調用時被執行以實現監視 NewNtLoadDriver proc lpDriverName:PUNICODE_STRING pushad ; int 3 ; invoke DbgPrint, $CTA0("\nEntry into NEW\n") invoke RtlUnicodeStringToAnsiString, addr dwDriverName, lpDriverName,TRUE invoke DbgPrint, $CTA0("\nDriverName: %s.sys\n"), dwDriverName.Buffer popad ;調用原函數 push lpDriverName call dwOldNtLoadDriver ret NewNtLoadDriver endp ;************************************************************************************************** HookFunction proc

            pushad
            ; int 3 ; invoke DbgPrint, $CTA0("\nEntry into hoookfunction\n") ;下面是用KeServiceDescriptorTabled導出符號獲得數組的基地址,這個數組中包含有NtXXXX函數的入口地址。 mov eax, KeServiceDescriptorTable mov esi, [eax] mov esi, [esi] ;用MmGetSystemRoutineAddress來獲得函數ZwLoadDriver的地址。并從這個函數地址后面的第2個字節中取得服務號。從而 ;獲得以服務號為下標的數組元素。 invoke MmGetSystemRoutineAddress,addr g_usRoutineAddr inc eax movzx ecx,byte ptr[eax] sal ecx,2
            add
            esi,ecx mov dwAddr,esi
            mov
            edi,dword ptr[esi] ;保存舊的函數地址。 mov dwOldNtLoadDriver,edi mov edi,offset NewNtLoadDriver ;修改入口地址 cli
            mov
            dword ptr[esi],edi sti popad mov eax, STATUS_SUCCESS ret HookFunction endp ;************************************************************************************************** DispatchCreateClose proc pDeviceObject:PDEVICE_OBJECT, pIrp:PIRP mov eax, pIrp assume eax:ptr _IRP mov [eax].IoStatus.Status, STATUS_SUCCESS and [eax].IoStatus.Information, 0 assume eax:nothing

            invoke
            IoCompleteRequest, pIrp, IO_NO_INCREMENT mov eax, STATUS_SUCCESS ret DispatchCreateClose endp ;************************************************************************************************** DriverUnload proc pDriverObject:PDRIVER_OBJECT ;必須保存環境,否則后果很嚴重。在這個函數中恢復被修改的地址。
            pushad
            ; int 3 ; invoke DbgPrint, $CTA0("\nEntry into DriverUnload \n") mov esi,dwAddr mov eax,dwOldNtLoadDriver cli mov dword ptr[esi],eax sti invoke IoDeleteSymbolicLink, addr g_usSymbolicLinkName mov eax,pDriverObject invoke IoDeleteDevice, (DRIVER_OBJECT PTR [eax]).DeviceObject
            popad

            ret
            DriverUnload endp ;************************************************************************************************** DriverEntry proc pDriverObject:PDRIVER_OBJECT, pusRegistryPath:PUNICODE_STRING local status:NTSTATUS local pDeviceObject:PDEVICE_OBJECT ; int 3 ; invoke DbgPrint, $CTA0("\nEntry into DriverEntry\n") mov status, STATUS_DEVICE_CONFIGURATION_ERROR invoke IoCreateDevice, pDriverObject, 0, addr g_usDeviceName, FILE_DEVICE_UNKNOWN, 0, FALSE, addr pDeviceObject .if eax == STATUS_SUCCESS invoke IoCreateSymbolicLink, addr g_usSymbolicLinkName, addr g_usDeviceName .if eax == STATUS_SUCCESS mov eax, pDriverObject assume eax:ptr DRIVER_OBJECT mov [eax].DriverUnload, offset DriverUnload mov [eax].MajorFunction[IRP_MJ_CREATE*(sizeof PVOID)], offset DispatchCreateClose mov [eax].MajorFunction[IRP_MJ_CLOSE*(sizeof PVOID)], offset DispatchCreateClose assume eax:nothing
            invoke
            HookFunction mov status, STATUS_SUCCESS .else invoke IoDeleteDevice, pDeviceObject .endif .endif
            mov
            eax, status ret DriverEntry endp

            end
            DriverEntry ;**************************************************************************************************

            posted on 2007-12-13 11:37 葉子 閱讀(1563) 評論(0)  編輯 收藏 引用 所屬分類: 驅動開發

            久久狠狠色狠狠色综合| 99精品久久久久久久婷婷| 人妻精品久久久久中文字幕69| 国产呻吟久久久久久久92| 中文精品久久久久国产网址| 久久国产精品99精品国产987| 激情久久久久久久久久| 一本色道久久综合狠狠躁篇| 久久精品国产2020| 中文精品久久久久国产网址 | 欧美精品丝袜久久久中文字幕| 久久中文字幕精品| 国产精品一区二区久久不卡| 久久国产V一级毛多内射| 99精品国产免费久久久久久下载| av无码久久久久不卡免费网站| 久久福利片| 国产精品久久久久久吹潮| 色婷婷久久综合中文久久一本| www.久久热.com| 伊人色综合久久天天人守人婷 | 99久久99这里只有免费费精品| 久久AAAA片一区二区| 久久久亚洲欧洲日产国码二区| 久久久久噜噜噜亚洲熟女综合| 亚洲国产精品成人久久| 久久久久亚洲AV成人网人人软件| 国产精品久久久久无码av| 国产激情久久久久久熟女老人| 国产成人精品久久一区二区三区av| 久久亚洲精品成人无码网站| 久久国产一片免费观看| 久久综合久久综合九色| 亚洲AV乱码久久精品蜜桃| 久久精品视频一| 久久青青草原精品国产软件| 国产精品一区二区久久精品无码 | 久久精品中文字幕有码| 精品一区二区久久| 久久午夜电影网| 国产精品xxxx国产喷水亚洲国产精品无码久久一区 |