设为首页收藏本站
切换到窄版

 找回密码
 加入我们

QQ登录

只需一步,快速开始

搜索
紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛»论坛广场 置顶区 WINDOWS核心编程 [疑惑]X64 hook NtOpenProcess
返回列表 发新帖
查看: 8223|回复: 4

[疑惑]X64 hook NtOpenProcess

  [复制链接]
wenh7788

17

主题

89

回帖

0

精华

铜牌会员

积分
250
发表于 2012-3-1 11:53:54 | 显示全部楼层 |阅读模式
首先感谢TA大大公开源码~
下面是我代码


  3. ULONG64   ullSSDTBaseAddress;
  4. ULONG64   ullSSDTNtOpAddress;
  5. ULONG64          RealSSDTNtOpAddress;

  7. typedef NTSTATUS (__stdcall *NTOPENPROCESS)(
  8.         __out PHANDLE  ProcessHandle,
  9.         __in ACCESS_MASK  DesiredAccess,
  10.         __in POBJECT_ATTRIBUTES  ObjectAttributes,
  11.         __in_opt PCLIENT_ID  ClientId
  12.         );

  14. NTOPENPROCESS  RealNtOpenProcess;

  16. NTSTATUS __stdcall MyNtOpenProcess(
  17.                                                                    PHANDLE  ProcessHandle,
  18.                                                                    ACCESS_MASK  DesiredAccess,
  19.                                                                    POBJECT_ATTRIBUTES  ObjectAttributes,
  20.                                                                    PCLIENT_ID  ClientId
  21.                                                                    )
  22. {
  23.         NTSTATUS rc;
  24.         //ULONG PID;
  25.         DbgPrint( "NtOpenProcess() called.\n" );
  26.         KdPrint(( "NtOpenProcess() called.\n" ));
  27.         rc = (NTSTATUS)(NTOPENPROCESS)RealNtOpenProcess(
  28.                         ProcessHandle,
  29.                         DesiredAccess,
  30.                         ObjectAttributes,
  31.                         ClientId
  32.                         );
  33.         return rc;
  34. }

  36. KIRQL WPOFFx64()
  37. {
  38.         KIRQL irql=KeRaiseIrqlToDpcLevel();
  39.         ULONG64 Cr0=0;
  40.         Cr0=__readcr0();
  41.         Cr0 &=0xFFFFFFFFFFFEFFFF;
  42.         __writecr0(Cr0);
  43.         _disable();
  44.         return irql;
  45. }

  47. VOID WPONx64(KIRQL irql)
  48. {
  49.         ULONG64 Cr0=0;
  50.         Cr0=__readcr0();
  51.         Cr0 |=0x10000;
  52.         _enable();
  53.         __writecr0(Cr0);
  54.         KeLowerIrql(irql);
  55. }

  57. VOID HookNtOpenProcess()
  58. {
  59.         KIRQL irql;
  60.         ULONG64 Address;
  61.         ULONG64 ulSSDTValue;
  62.         ulSSDTValue=*(ULONG64*)ullSSDTBaseAddress;  //0xfffff800`03c7fb00  
  63.         Address=(ULONG64)(ulSSDTValue + 0x23*4);    //0xfffff800`03c7fb8c
  64.         RealSSDTNtOpAddress=ulSSDTValue+(((DWORD)(*(ULONG64*)Address))>> 4); //
  65.         RealNtOpenProcess=(NTOPENPROCESS)RealSSDTNtOpAddress;
  66.         irql=WPOFFx64();

  68.         *(ULONG64*)Address= (ULONG64)MyNtOpenProcess;    ×××××××这句代码怎么写?

  70.         WPONx64(irql);
  71. }

复制代码
因为计算的方法变化了,我反而不会写了。经过蓝屏多次查看之后无果,只好出来献丑了。请大侠们指点,谢谢!

说白了hook 地方的代码应该怎么写?
回复

举报

Tesla.Angela

857

主题

2632

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36130
发表于 2012-3-1 15:45:16 | 显示全部楼层
呵呵,这个就不解释了。。。你自己慢慢研究吧,研究通了发代码我给你加精华。。。
我的一些与WINDOWS驱动开发相关的PoC(列表)
回复

举报

wenh7788

17

主题

89

回帖

0

精华

铜牌会员

积分
250
 楼主| 发表于 2012-3-1 18:39:18 | 显示全部楼层
老大真心的没有搞懂,给点提示好吗?
按照道理说没有错啊。可是总是蓝屏的
回复

举报

iloveqqp

0

主题

126

回帖

0

精华

铜牌会员

积分
226
发表于 2012-3-8 01:15:09 | 显示全部楼层
給力阿~{:soso_e116:}
回复

举报

kk1025

7

主题

414

回帖

1

精华

铂金会员

积分
2173
发表于 2013-4-12 11:11:35 | 显示全部楼层
Tesla.Angela 发表于 2012-3-1 15:45
呵呵,这个就不解释了。。。你自己慢慢研究吧,研究通了发代码我给你加精华。。。 ...

努力學習中
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

快速回复 返回顶部 返回列表