這是我在http://www.codeproject.com .學習時看到的一個驅動程序,學習后對其整理的筆記

下面這個驅動程序的作用：監控準備運行的可執行文件。（由用戶決定是不是讓它運行）所以我們要做以下工作：

首先是修改（NtCreateSection）SSDT索引號，（索引號從用戶程序中得到）HOOK NtCreateSection()這個函數，然后通過文件句柄獲得文件名，判斷它是不是可執行文件，檢測其屬性與判斷用戶是否允許它執行，如果允許就運行原來NtCreateSection這個函數，否則返回STATUS_ACCESS_DENIED。

如果我們截獲一個NtCreateSection()的請求，該請求要求映射可執行文件作為SEC_IMAGE屬性，通過結合頁保護屬性，我們能夠知道進程將要執行了，因此我們在這個時候作出決定：是否讓其執行。如果不想讓它執行，EAX 返回值為STATUS_ACCESS_DENIED。

因為調用是從ntdll. dll 以一條 MOV EAX, ServiceIndex五字節指令開始的，第一個字節是MOV EAX，后四字節是索引號，所以我們可以得到索引號（后四字節）然后將它進行修改成我們自己的函數索引。當然在修改之前要將原服務函數地址保存在全局變量中。


if(loc->Parameters.DeviceIoControl.IoControlCode==1000)
{
buff=(UCHAR*)Irp->AssociatedIrp.SystemBuffer;

// hook service dispatch table
memmove(&Index,buff,4);//所有的調用都是從ntdll.dll以一條五字節指令MOV EAX, ServiceIndex開始，四字節是索引號
a=4*Index+(ULONG)KeServiceDescriptorTable->ServiceTable;//從用戶程序中得到索引號，a指向服務函數地址

base=(ULONG)MmMapIoSpace(MmGetPhysicalAddress((void*)a),4,0);//將物理地址映射到非分頁池，因此可以進行讀寫，減少讀寫服務表保護屬性的麻煩
a=(ULONG)&Proxy;//a指向Proxy函數的地址

_asm
{
mov eax,base

mov ebx,dword ptr[eax]

mov RealCallee,ebx//將原服務函數地址保存在全局變量中
mov ebx,a

mov dword ptr[eax],ebx//Proxy函數地址寫進服務函數表中
}

memmove(&a,&buff[4],4);
output=(char*)MmMapIoSpace(MmGetPhysicalAddress((void*)a),256,0);
}


下面是我們自己函數的實現：
//這個函數決定是否 NtCreateSection() 被成功調用
ULONG __stdcall check(PULONG arg)//獲得指向服務參數指針
{

?? HANDLE hand=0;PFILE_OBJECT file=0;

?? POBJECT_HANDLE_INFORMATION info=0;ULONG a;char*buff;
?? ANSI_STRING str; LARGE_INTEGER li;li.QuadPart=-10000;

if((arg[4]&0xf0)==0)return 1;//檢測標志
if((arg[5]&0x01000000)==0)return 1;//檢測屬性


//通過文件句柄獲得文件名
hand=(HANDLE)arg[6];//獲得執行文件句柄

ObReferenceObjectByHandle(hand,0,0,KernelMode,&file,info);//&file獲得對象體指針
if(!file)return 1;

RtlUnicodeStringToAnsiString(&str,&file->FileName,1);

a=str.Length;buff=str.Buffer;

while(1)//通過循環判斷是不是有". "標志
{
??
if(buff[a]=='.')
{a++;break;}

?? a--;

}
ObDereferenceObject(file);


if(_stricmp(&buff[a],"exe")){RtlFreeAnsiString(&str);return 1;}//判斷是否為可執行文件



KeWaitForSingleObject(&event,Executive,KernelMode,0,0);//將當前線程置于等待狀態知道信號態


strcpy(&output[8],buff);//將string復制進buff
RtlFreeAnsiString(&str);

a=1;//用戶的決定通過a的制來反映
memmove(&output[0],&a,4);
while(1)
{
KeDelayExecutionThread(KernelMode,0,&li);//在一個固定時間間隔內當前線程處于等待狀態
memmove(&a,&output[0],4);
if(!a)break;
}
memmove(&a,&output[4],4);

KeSetEvent(&event,0,0);

return a;
}



//保存執行文件上下文，調用check()函數
_declspec(naked) Proxy()
{

_asm{

pushfd
pushad
mov ebx,esp

add ebx,40
push ebx

call check

cmp eax,1//由check()的返回值判斷是否讓可執行文件繼續執行
jne block


popad
popfd
jmp RealCallee//通過，調用ntcreatesection


block:popad
mov ebx, dword ptr[esp+8]

mov dword ptr[ebx],0
mov eax,0xC0000022L//不讓其通過，返回STATUS_ACCESS_DENIED
popfd
ret 32

}
}

到此，驅動程序的工作基本完成，所以在用戶程序中用到一個線程來等待驅動的判斷結果。
char*name=(char*)&outputbuff[8];

???????? for(x=0;x<stringcount;x++)

???????? {
???????????? if(!stricmp(name,strings[x])){a=1;goto skip;}

???????? }
???????? strcpy(msgbuff, "Do you want to run ");
???????? strcat(msgbuff,&outputbuff[8]);

????????
???????? if(IDYES==MessageBox(0, msgbuff,"WARNING",
??????????? MB_YESNO|MB_ICONQUESTION|0x00200000L))

???????? {a=1; strings[stringcount]=_strdup(name);stringcount++;}
???????? else a=0;
????
???????? // write response to the buffer, and driver will get it
???????? skip:memmove(&outputbuff[4],&a,4);

???????? //讓驅動繼續
???????? a=0;
???????? memmove(&outputbuff[0],&a,4);