设为首页收藏本站
开启辅助访问 账号注册教程邀请码点此注册账号投放广告切换到宽版

挂海论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
 友情提示:文字/图片广告均非网站意见,请担保交易勿直接付款,由此产生的责任自负
挂海论坛»挂海论坛 其他编程论坛 .NET/Java/Web 编程乐园 在HS下可读写内存的驱动
玩游戏来117游戏网(H5不下载也能玩手游传奇,吃鸡,竞技都有)不懂社区·好资源不错过·各位资源站大佬欢迎来采集搬运IOS签名/udid证书出售/送证书加群1040456405 ██【我要租此广告位】██
... .
返回列表 发新帖
查看: 10216|回复: 7
打印 上一主题 下一主题

[转载] 在HS下可读写内存的驱动

[复制链接]
wodeao
4中级会员
320/600

320

积分

110

主题

6

听众
已帮网友解决0 个问题
好评
0
贡献
210
海币
2942
交易币
0
跳转到指定楼层
楼主
发表于 2015-2-13 21:41:21 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
提醒:若下载的软件是收费的"请不要付款",可能是骗子,请立即联系本站举报,执意要付款被骗后本站概不负责。(任何交易请走第三方中介,请勿直接付款交易以免被骗!切记).

友情提示:文字/图片广告均非本站意见,请担保交易勿直接付款,由此产生的责任自负!!!↑↑

  1. #include<ntddk.h>
  2. /*
  3. 初学驱动  参读堕落天才ssdt hook 对抗inline hook
  4. 哪里有错或者有比这个还简单的方法还请大神指点一下 好让我从中得到启发 thx
  5.                                               By Bleach=darkmax
  6. */
  7. typedef unsigned char BYTE;




  12. typedef struct _SYSTEM_MODULE_INFORMATION {
  13.     ULONG reserved[2];
  14.     PVOID Base;
  15.     ULONG Size;
  16.     ULONG Flags;
  17.     USHORT Index;
  18.     USHORT Unknown;
  19.     USHORT LoadCount;
  20.     USHORT ModuleNameOffset;            
  21.     CHAR ImageName[255];  
  22. } SYSTEM_MODULE_INFORMATION, *PSYSTEM_MODULE_INFORMATION;  // ZwQuerySystemInformation需要的数据结构

  24. NTSYSAPI NTSTATUS NTAPI ZwQuerySystemInformation(
  25.   ULONG num,
  26.   PVOID SystemInformation,
  27.   ULONG SystemInformationLength,
  28.   PULONG ReturnLength
  29. );



  33. typedef struct _SERVICE_DESCRIPTOR_TABLE
  34. {
  35.   PVOID   ServiceTableBase;
  36.   PULONG  ServiceCounterTableBase;
  37.   ULONG   NumberOfService;
  38.   ULONG   ParamTableBase;
  39. }SERVICE_DESCRIPTOR_TABLE,*PSERVICE_DESCRIPTOR_TABLE; //由于KeServiceDescriptorTable只有一项,这里就简单点了
  40. extern PSERVICE_DESCRIPTOR_TABLE    KeServiceDescriptorTable;//KeServiceDescriptorTable为导出函数

  42. /////////////////////////////////////
  43. VOID Hook();
  44. VOID Unhook();
  45. VOID OnUnload(IN PDRIVER_OBJECT DriverObject);
  46. //////////////////////////////////////
  47. ULONG JmpAddress;//跳转到NtOpenProcess里的地址
  48. ULONG JmpAddress1;
  49. ULONG JmpAddress2;
  50. ULONG OldServiceAddress;//原来NtOpenProcess的服务地址
  51. ULONG OldServiceAddress1;
  52. ULONG OldServiceAddress2;
  53. BYTE dthq[4]={0};
  54. BYTE hqdt[4]={0};
  55. BYTE dthq1[1]={0};
  56. BYTE hqdt1[4]={0};
  57. BYTE dthq2[1]={0};
  58. BYTE hqdt2[4]={0};

  60. PVOID newop=0;
  61. PVOID newop1=0;
  62. PVOID newop2=0;
  63. PVOID newop3=0;
  64. PVOID newop4=0;
  65. PVOID newop5=0;

  67. ULONG getid=0;


  70. PVOID GetFuncAddress()
  71. {
  72.     ULONG size,index;
  73.     PULONG buf;
  74.     ULONG i;
  75.     PSYSTEM_MODULE_INFORMATION module;
  76.     PVOID driverAddress = 0;
  77.     ULONG ntosknlBase;
  78.     ULONG ntosknlEnd;
  79.     ULONG curAddr;
  80.     NTSTATUS status;
  81.     ULONG k;
  82.     ULONG retAddr;
  83.     ULONG code_1 = 0x00a16480, code_2 = 0x50000000, code_3 = 0x1024448b,
  84.           code_4 = 0x10246c89;  //定义特征码,通过Windbg的dd来找

  86.     ZwQuerySystemInformation(11,&size,0,&size);  // 第一个参数其实是个enum,11 - SystemModuleInformation,为了保持简洁,我可耻的没放出定义。
  87.     buf = (PULONG) ExAllocatePool(PagedPool,size);
  88.     if(buf == NULL)
  89.         return NULL;
  90.     status = ZwQuerySystemInformation(11,buf,size,0); // 上一次调用得到大小,此次得到数据。
  91.     if(!NT_SUCCESS(status))
  92.     {
  93.         return NULL;
  94.     }
  95.     module = (PSYSTEM_MODULE_INFORMATION)((PULONG)buf + 1);
  96.     ntosknlEnd = (ULONG)module->Base + (ULONG)module->Size;
  97.     ntosknlBase = (ULONG)module->Base;    //ntosknl的基地址
  98.     curAddr = ntosknlBase;
  99.     ExFreePool(buf);
  100.     for(i = curAddr; i<=ntosknlEnd; i++) //从头开始搜,当然,如果知道未导出函数前一个函数和后一个函数的信息,就可以减小范围,详见pediy的sysnap的方法。
  101.     {

  103.         if( (*((ULONG*)i)) == code_1      &&
  104.             (*((ULONG*)(i+4)) == code_2) &&
  105.             (*((ULONG*)(i+8)) == code_3) &&
  106.             (*((ULONG*)(i+12)) == code_4) )
  107.             {
  108.                 retAddr = i;
  109.                 //DbgPrint("Target Found! Address: 0x%08x\n",retAddr);
  110.                 return retAddr;
  111.             }
  112.     }
  113. }
  114. //////////////////////////////////////

  116. __declspec(naked) NTSTATUS __stdcall MyNtOpenProcess(PHANDLE ProcessHandle,
  117.                ACCESS_MASK DesiredAccess,
  118.                POBJECT_ATTRIBUTES ObjectAttributes,
  119.                PCLIENT_ID ClientId)
  120. {
  121. // DbgPrint("NtOpenProcess() called");
  122.   
  123. __asm
  124. {
  125.    push [dthq]
  126.    push [hqdt]
  127.    call [getid]
  128.    jmp  [JmpAddress]  
  129. }
  130. }
  131. ///////////////////////////////////////////////////
  132. __declspec(naked) NTSTATUS __stdcall MyNtReadVirtualMemory(  
  133.   IN HANDLE               ProcessHandle,
  134.   IN PVOID                BaseAddress,
  135.   OUT PVOID               Buffer,
  136.   IN ULONG                NumberOfBytesToRead,
  137.   OUT PULONG              NumberOfBytesReaded OPTIONAL)
  138. {
  139.    __asm{
  140.    push [dthq1]
  141.    push [hqdt1]
  142.    call [getid]
  143.      jmp     [JmpAddress1]
  144.         }  
  145. }
  146. //===================================================
  147. __declspec(naked) NTSTATUS __stdcall MyNtWriteVirtualMemory(
  148.   IN HANDLE               ProcessHandle,
  149.   IN PVOID                BaseAddress,
  150.   IN PVOID                Buffer,
  151.   IN ULONG                BufferLength,
  152.   OUT PULONG              ReturnLength OPTIONAL)
  153. {
  154.    __asm{
  155.    push [dthq2]
  156.    push [hqdt2]
  157.    call [getid]
  158.    jmp [JmpAddress2]
  159.         }

  161. }
  162. //////////////////////////////////////////////
  163. NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,PUNICODE_STRING RegistryPath)
  164. {
  165.   DriverObject->DriverUnload = OnUnload;
  166.   DbgPrint("Unhooker load");
  167.   Hook();
  168.   return STATUS_SUCCESS;
  169. }
  170. /////////////////////////////////////////////////////
  171. VOID OnUnload(IN PDRIVER_OBJECT DriverObject)
  172. {
  173.   DbgPrint("Unhooker unload!");
  174.   Unhook();
  175. }
  176. /////////////////////////////////////////////////////
  177. VOID Hook()
  178. {
  179.   ULONG  Address,Address1,Address2;

  181.   Address = (ULONG)KeServiceDescriptorTable->ServiceTableBase + 0x7A * 4;//0x7A为NtOpenProcess服务ID
  182.   Address1 = (ULONG)KeServiceDescriptorTable->ServiceTableBase + 0xBA * 4;
  183.   Address2 = (ULONG)KeServiceDescriptorTable->ServiceTableBase + 0x115 * 4;
  184.   DbgPrint("Address:0x%08X",Address);

  186.   OldServiceAddress = *(ULONG*)Address;//保存原来NtOpenProcess的地址
  187.   OldServiceAddress1 = *(ULONG*)Address1;//保存原来NtOpenProcess的地址
  188.   OldServiceAddress2 = *(ULONG*)Address2;//保存原来NtOpenProcess的地址  

  190. newop=(ULONG)NtOpenProcess+1;
  191. newop1=(ULONG)NtOpenProcess+6;

  193. newop2=OldServiceAddress1+1;
  194. newop3=OldServiceAddress1+3;

  196. newop4=OldServiceAddress2+1;
  197. newop5=OldServiceAddress2+3;

  199. memcpy(dthq,newop,sizeof(dthq));
  200. memcpy(hqdt,newop1,sizeof(hqdt));

  202. memcpy(dthq1,newop2,sizeof(dthq1));
  203. memcpy(hqdt1,newop3,sizeof(hqdt1));

  205. memcpy(dthq2,newop4,sizeof(dthq2));
  206. memcpy(hqdt2,newop5,sizeof(hqdt2));

  208. getid=(ULONG)GetFuncAddress()-4;

  210. JmpAddress = (ULONG)NtOpenProcess + 15; //跳转到NtOpenProcess函数头+15的地方,这样在其前面写的JMP都失效了
  211.   JmpAddress1 = OldServiceAddress1 + 12; //跳转到NtOpenProcess函数头+15的地方,这样在其前面写的JMP都失效了
  212.   JmpAddress2 = OldServiceAddress2 + 12; //跳转到NtOpenProcess函数头+15的地方,这样在其前面写的JMP都失效了
  213.   DbgPrint("JmpAddress:0x%08X",JmpAddress);
  214.     
  215.   __asm{//去掉内存保护
  216.     cli
  217.     mov  eax,cr0
  218.     and  eax,not 10000h
  219.     mov  cr0,eax
  220.   }

  222.   *((ULONG*)Address) = (ULONG)MyNtOpenProcess;//HOOK SSDT
  223.   *((ULONG*)Address1) = (ULONG)MyNtReadVirtualMemory;//HOOK SSDT
  224.   *((ULONG*)Address2) = (ULONG)MyNtWriteVirtualMemory;
  225.   __asm{//恢复内存保护  
  226.     mov  eax,cr0
  227.     or   eax,10000h
  228.     mov  cr0,eax
  229.     sti
  230.   }
  231. }
  232. //////////////////////////////////////////////////////
  233. VOID Unhook()
  234. {
  235. ULONG  Address,Address1,Address2;
  236.   Address = (ULONG)KeServiceDescriptorTable->ServiceTableBase + 0x7A * 4;
  237.   Address1 = (ULONG)KeServiceDescriptorTable->ServiceTableBase + 0xBA * 4;
  238. Address2 = (ULONG)KeServiceDescriptorTable->ServiceTableBase + 0x115 * 4;

  240.   __asm{
  241.     cli
  242.           mov  eax,cr0
  243.     and  eax,not 10000h
  244.     mov  cr0,eax
  245.   }

  247. *((ULONG*)Address) = (ULONG)OldServiceAddress;//还原SSDT
  248. *((ULONG*)Address1) = (ULONG)OldServiceAddress1;
  249. *((ULONG*)Address2) = (ULONG)OldServiceAddress2;

  251.   __asm{  
  252.          mov  eax,cr0
  253.     or   eax,10000h
  254.     mov  cr0,eax
  255.     sti
  256.   }

  258.   DbgPrint("Unhook");
  259. }
复制代码


hs.rar (2.06 KB, 下载次数: 84)

联系我时,请说是在 挂海论坛 上看到的,谢谢!



上一篇:DebugPort一直被清零如何简单的处理
下一篇:发个另类的D3D hook
免责声明:
1、本主题所有言论和图片纯属会员个人意见,与本论坛立场无关。一切关于该内容及资源商业行为与www.52ghai.com无关。

2、本站提供的一切资源内容信息仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。

3、本站信息来自第三方用户,非本站自制,版权归原作者享有,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

4、如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵犯你版权的,请邮件与我们联系删除(邮箱:xhzlw@foxmail.com),本站将立即改正。

回复

使用道具 举报

juanzi
3正式会员
171/300

171

积分

37

主题

4

听众
已帮网友解决0 个问题
好评
0
贡献
134
海币
1981
交易币
0
沙发
发表于 2015-3-6 01:46:21 | 只看该作者
锄禾日当午,发帖真辛苦。谁知坛中餐,帖帖皆辛苦!
回复 支持 反对

使用道具 举报

______唯你懂我訫

0

积分

0

主题

2

听众
已帮网友解决0 个问题
好评
0
贡献
0
海币
5
交易币
0
板凳
发表于 2015-4-19 16:15:10 | 只看该作者
顶,楼主v5
回复 支持 反对

使用道具 举报

fzjiaoliu

37

积分

1

主题

5

听众
已帮网友解决0 个问题
好评
0
贡献
36
海币
105
交易币
0
地板
发表于 2015-4-19 16:15:43 | 只看该作者
谢谢楼主分享,支持 海论坛
回复 支持 反对

使用道具 举报

zeng83122

1

积分

0

主题

4

听众
已帮网友解决0 个问题
好评
0
贡献
1
海币
2
交易币
0
5#
发表于 2015-5-28 21:03:22 | 只看该作者
必须顶一个啊
回复 支持 反对

使用道具 举报

zeng83122

1

积分

0

主题

4

听众
已帮网友解决0 个问题
好评
0
贡献
1
海币
2
交易币
0
6#
发表于 2015-5-28 21:03:40 | 只看该作者
顶顶顶顶大大的等等等等等等等等等等等等
回复 支持 反对

使用道具 举报

俊俊

34

积分

2

主题

4

听众
已帮网友解决0 个问题
好评
0
贡献
32
海币
200
交易币
0
7#
发表于 2015-10-31 15:37:03 | 只看该作者
回复

使用道具 举报

西门

5

积分

1

主题

4

听众
已帮网友解决0 个问题
好评
0
贡献
4
海币
14
交易币
0
8#
发表于 2017-8-14 20:59:57 | 只看该作者
学习
回复

使用道具 举报

返回列表 发新帖
  高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

免责声明|Archiver|手机版|小黑屋|挂海论坛

GMT+8, 2025-4-5 06:08 , Processed in 0.094414 second(s), 35 queries , Gzip On.

Powered by Discuz! X3.2

本站资源来自互联网用户收集发布,如有侵权请邮件与我们联系处理。xhzlw@foxmail.com

快速回复 返回顶部 返回列表