HOOK-NtReadFile 实现驱动与应用程序通信

ffycxyw2274436 · 发表于 2022-1-28 21:04:20

测试环境:Windows XP SP3
本质:通过InlineHOOK,NtReadFile,判断参数来判断是否是自己的暗号
Ring3(应用)代码:
#include "stdio.h"#include "windows.h"void main(){ char buf[20] = {0}; ReadFile(-1,buf,0,0,0); getchar(); return;}Ring0(驱动)头文件
#pragma once#include "ntifs.h"typedef NTSTATUS(*p)( HANDLE          FileHandle , HANDLE          Event , PIO_APC_ROUTINE  ApcRoutine , PVOID          ApcContext , PIO_STATUS_BLOCK IoStatusBlock , PVOID          Buffer , ULONG          Length , PLARGE_INTEGER ByteOffset , PULONG          Key );//获取NtReadFile函数地址unsigned int GetNtReadFileAddr();//改回原来的数据void cancel();//修改成jmp到自己的函数void Modify();//原始数据保留extern UCHAR buf[10];Ring0(驱动)主函数
#include "Tools.h"VOID DriverUnload(PDRIVER_OBJECT driver) { cancel(); DbgPrint("firts:Our driver is unloading!!\r\n");}extern "C" NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject,PUNICODE_STRING RegistryPath){ DriverObject->DriverUnload = DriverUnload; DbgPrint("first : hello ,load server!!\n"); DbgPrint("NtReadFile:%x\n" , GetNtReadFileAddr()); //保留原始数据 for(size_t i = 0; i < 10; i++) {       buf = *(unsigned char*) (GetNtReadFileAddr() + i); } Modify(); return STATUS_SUCCESS;}Ring0(驱动)实现
#include "Tools.h"UCHAR buf[10] = { 0 };unsigned int GetNtReadFileAddr() { unsigned int* SericeTable; _asm {       mov eax , fs:[0x124];       mov eax , [eax + 0xe0];       mov[SericeTable] , eax; } return *(unsigned int*) (*SericeTable + 0xb7 * 4);}NTSTATUS MyNtReadFile( HANDLE          FileHandle , HANDLE          Event , PIO_APC_ROUTINE  ApcRoutine , PVOID          ApcContext , PIO_STATUS_BLOCK IoStatusBlock , PVOID          Buffer , ULONG          Length , PLARGE_INTEGER ByteOffset , PULONG          Key) { if(-1 == (unsigned int) FileHandle) {       if(NULL != Buffer) {          LPSTR str = (LPSTR) Buffer;          strcpy(str , "Hello World!\n");       }       DbgPrint("成功捕捉!\n"); } p NtReadFile = (p) GetNtReadFileAddr(); cancel(); NTSTATUS ret = NtReadFile(FileHandle , Event , ApcRoutine , ApcContext , IoStatusBlock , Buffer , Length , ByteOffset , Key); Modify(); return ret;}void Modify() { unsigned int NtReadFile = GetNtReadFileAddr(); *(UCHAR*) NtReadFile = 0xe9; *(unsigned int*) (NtReadFile + 1) = (unsigned int) &MyNtReadFile - GetNtReadFileAddr() - 5;}void cancel() { for(size_t i = 0; i < 10; i++) {       *(unsigned char*) (GetNtReadFileAddr() + i) = buf; }}
来源：http://www.12558.net
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！

		自动登录	找回密码
密码			立即注册

游戏名称	游戏描述	开服状态	运营商	游戏链接
攻城掠地-仿官	全新玩法，觉醒武将，觉醒技能	每周新区	经典复古版本，长久稳定	进入游戏
巅峰新版攻	攻城掠地公益服	攻城掠地SF	新兵种、新武将（兵种）	进入游戏
攻城掠地公	散人玩家的天堂	新开		进入游戏
改版攻城掠	上线即可国战PK	稳定新区	全新改版，功能强大	进入游戏
少年江山	高福利高爆率	刚开一秒	江湖水落潜蛟龙	进入游戏
太古封魔录	开服送10亿钻石	福利多多	不用充钱也可升级	进入游戏
神魔之道	签到送元宝	稳定开新区	送豪华签到奖励	进入游戏
神奇三国	统帅三军，招揽名将	免费玩新区	激情国战，征战四方	进入游戏
龙符	三日豪礼领到爽	天天开新区	助你征战无双	进入游戏
王者之师	免费领豪华奖励	免费玩新区	6元送6888元宝	进入游戏
三国霸业	战车-珍宝-觉醒-攻城掠地SF-全新玩法	免费玩新区	攻城掠地私服	进入游戏
手游私服盒子	各类免费游戏	0.1折送海量资源	各类手游私服	进入游戏
皇家MU2	《奇迹 2：传奇》韩国网禅公司《奇迹》正统续作。	3D锁视角Mmrpg	暗黑3+传奇+流放之路+奇迹	进入游戏

HOOK-NtReadFile 实现驱动与应用程序通信

本帖子中包含更多资源