• <ins id="pjuwb"></ins>
    <blockquote id="pjuwb"><pre id="pjuwb"></pre></blockquote>
    <noscript id="pjuwb"></noscript>
          <sup id="pjuwb"><pre id="pjuwb"></pre></sup>
            <dd id="pjuwb"></dd>
            <abbr id="pjuwb"></abbr>

            elva

            Hook API監視驅動的加載

            				;**************************************************************************************************
            ;Author:dge/D哥
            ;Date :2006.7.20
            ;**************************************************************************************************
            ;f:\masm32\bin\ml /nologo /c /coff HookAPI.asm
            ;C:\>f:\masm32\bin\link /nologo /driver /base:0x10000 /align:32 /out:HookAPI.sys /subsystem:native HookAPI.obj
            .386 . model flat , stdcall
            option casemap
            : none ;************************************************************************************************** include f:\masm32\include\w2k\ntstatus.inc include f:\masm32\include\w2k\ntddk.inc include f:\masm32\include\w2k\ntoskrnl.inc includelib f:\masm32\lib\w2k\ntoskrnl.lib include f:\masm32\Macros\Strings.mac ;************************************************************************************************** .data ;保存地址 dwOldNtLoadDriver dd ? dwAddr dd ? dwDriverName ANSI_STRING <?>
            .
            const CCOUNTED_UNICODE_STRING "\\Device\\devHookApi", g_usDeviceName, 4 CCOUNTED_UNICODE_STRING "\\??\\slHookApi", g_usSymbolicLinkName, 4 CCOUNTED_UNICODE_STRING "ZwLoadDriver", g_usRoutineAddr, 4 ;************************************************************************************************** .code ;讓這個函數在NtLoadDriver的調用時被執行以實現監視 NewNtLoadDriver proc lpDriverName:PUNICODE_STRING pushad ; int 3 ; invoke DbgPrint, $CTA0("\nEntry into NEW\n") invoke RtlUnicodeStringToAnsiString, addr dwDriverName, lpDriverName,TRUE invoke DbgPrint, $CTA0("\nDriverName: %s.sys\n"), dwDriverName.Buffer popad ;調用原函數 push lpDriverName call dwOldNtLoadDriver ret NewNtLoadDriver endp ;************************************************************************************************** HookFunction proc

            pushad
            ; int 3 ; invoke DbgPrint, $CTA0("\nEntry into hoookfunction\n") ;下面是用KeServiceDescriptorTabled導出符號獲得數組的基地址,這個數組中包含有NtXXXX函數的入口地址。 mov eax, KeServiceDescriptorTable mov esi, [eax] mov esi, [esi] ;用MmGetSystemRoutineAddress來獲得函數ZwLoadDriver的地址。并從這個函數地址后面的第2個字節中取得服務號。從而 ;獲得以服務號為下標的數組元素。 invoke MmGetSystemRoutineAddress,addr g_usRoutineAddr inc eax movzx ecx,byte ptr[eax] sal ecx,2
            add
            esi,ecx mov dwAddr,esi
            mov
            edi,dword ptr[esi] ;保存舊的函數地址。 mov dwOldNtLoadDriver,edi mov edi,offset NewNtLoadDriver ;修改入口地址 cli
            mov
            dword ptr[esi],edi sti popad mov eax, STATUS_SUCCESS ret HookFunction endp ;************************************************************************************************** DispatchCreateClose proc pDeviceObject:PDEVICE_OBJECT, pIrp:PIRP mov eax, pIrp assume eax:ptr _IRP mov [eax].IoStatus.Status, STATUS_SUCCESS and [eax].IoStatus.Information, 0 assume eax:nothing

            invoke
            IoCompleteRequest, pIrp, IO_NO_INCREMENT mov eax, STATUS_SUCCESS ret DispatchCreateClose endp ;************************************************************************************************** DriverUnload proc pDriverObject:PDRIVER_OBJECT ;必須保存環境,否則后果很嚴重。在這個函數中恢復被修改的地址。
            pushad
            ; int 3 ; invoke DbgPrint, $CTA0("\nEntry into DriverUnload \n") mov esi,dwAddr mov eax,dwOldNtLoadDriver cli mov dword ptr[esi],eax sti invoke IoDeleteSymbolicLink, addr g_usSymbolicLinkName mov eax,pDriverObject invoke IoDeleteDevice, (DRIVER_OBJECT PTR [eax]).DeviceObject
            popad

            ret
            DriverUnload endp ;************************************************************************************************** DriverEntry proc pDriverObject:PDRIVER_OBJECT, pusRegistryPath:PUNICODE_STRING local status:NTSTATUS local pDeviceObject:PDEVICE_OBJECT ; int 3 ; invoke DbgPrint, $CTA0("\nEntry into DriverEntry\n") mov status, STATUS_DEVICE_CONFIGURATION_ERROR invoke IoCreateDevice, pDriverObject, 0, addr g_usDeviceName, FILE_DEVICE_UNKNOWN, 0, FALSE, addr pDeviceObject .if eax == STATUS_SUCCESS invoke IoCreateSymbolicLink, addr g_usSymbolicLinkName, addr g_usDeviceName .if eax == STATUS_SUCCESS mov eax, pDriverObject assume eax:ptr DRIVER_OBJECT mov [eax].DriverUnload, offset DriverUnload mov [eax].MajorFunction[IRP_MJ_CREATE*(sizeof PVOID)], offset DispatchCreateClose mov [eax].MajorFunction[IRP_MJ_CLOSE*(sizeof PVOID)], offset DispatchCreateClose assume eax:nothing
            invoke
            HookFunction mov status, STATUS_SUCCESS .else invoke IoDeleteDevice, pDeviceObject .endif .endif
            mov
            eax, status ret DriverEntry endp

            end
            DriverEntry ;**************************************************************************************************

            posted on 2007-12-13 11:37 葉子 閱讀(1563) 評論(0)  編輯 收藏 引用 所屬分類: 驅動開發

            久久99精品国产一区二区三区| 国产午夜久久影院| 精品久久久无码21p发布| 久久精品国产久精国产一老狼| 无码人妻久久一区二区三区免费丨| 日韩精品久久无码人妻中文字幕| 国产精品岛国久久久久| 久久久久亚洲精品天堂久久久久久| 日本精品久久久久久久久免费| 人妻少妇久久中文字幕一区二区| 久久青青草原综合伊人| 久久免费视频1| 国产成人无码精品久久久久免费 | 久久国产色AV免费观看| 亚洲午夜久久影院| 中文字幕久久精品无码| 国内精品久久久久久久涩爱| 欧美午夜精品久久久久免费视 | 久久精品无码一区二区WWW| 久久婷婷久久一区二区三区| 亚洲第一极品精品无码久久| 久久久久99精品成人片牛牛影视 | 综合久久久久久中文字幕亚洲国产国产综合一区首 | 美女久久久久久| 91精品日韩人妻无码久久不卡| 久久国产劲爆AV内射—百度| 狠狠色丁香婷婷综合久久来来去| 国产综合久久久久久鬼色| 狠狠色狠狠色综合久久| 一级a性色生活片久久无| 一级女性全黄久久生活片免费| 久久996热精品xxxx| 国产成人99久久亚洲综合精品| 99久久精品午夜一区二区| 久久久久99精品成人片欧美| 久久久国产打桩机| 午夜精品久久久久久久| 久久久久久精品成人免费图片| 久久只有这精品99| 99蜜桃臀久久久欧美精品网站| 久久夜色精品国产亚洲|