監控應用層通訊_hook_kifastcallentry(系統服務呼叫)

阿新 • • 發佈：2019-02-19

#include"ntddk.h"
#pragma pack(1) //寫這個記憶體以一位元組對齊 如果不寫是以4位元組的對齊的    
typedef struct ServiceDescriptorEntry {//這個結構就是為了管理這個陣列而來的 核心api所在的陣列 才有這個結構的 這個是ssdt    
	unsigned int *ServiceTableBase;//就是ServiceTable ssdt陣列    
	unsigned int *ServiceCounterTableBase; //僅適用於checked build版本 無用    
	unsigned int NumberOfServices;//(ServiceTableBase)陣列中有多少個元素 有多少個項    
	unsigned char *ParamTableBase;//引數表基址 我們層傳過來的api的引數 佔用多少位元組 多大    
} ServiceDescriptorTableEntry_t, *PServiceDescriptorTableEntry_t;
#pragma pack(1)    
_declspec(dllimport) ServiceDescriptorTableEntry_t KeServiceDescriptorTable;//(名字不要寫錯)  //匯入ssdt表  
ULONG sosuohookdiandizhi();
void yebaohuguanbi();
void yebaohukaiqi();
unsigned int lao_ntopenfile;//老的ntopenfile函式的地址
ULONG dizhi1 = 0;//KiFasetCallEntry彙編程式碼中的 (call ntcreatefile)下一句的地址
ULONG dizhi2 = 0;//KiFasetCallEntry彙編程式碼中要hook的地址
typedef  NTSTATUS(*hanshuzhizhen1)(
	__out PHANDLE FileHandle,
	__in ACCESS_MASK DesiredAccess,
	__in POBJECT_ATTRIBUTES ObjectAttributes,
	__out PIO_STATUS_BLOCK IoStatusBlock,
	__in_opt PLARGE_INTEGER AllocationSize,
	__in ULONG FileAttributes,
	__in ULONG ShareAccess,
	__in ULONG CreateDisposition,
	__in ULONG CreateOptions,
	__in_bcount_opt(EaLength) PVOID EaBuffer,
	__in ULONG EaLength
	);
VOID xiezai1(PDRIVER_OBJECT qudongduixiang)
{
	yebaohuguanbi();//頁保護關閉    
	KeServiceDescriptorTable.ServiceTableBase[66] = (unsigned int)lao_ntopenfile;//還原ntcreatefile
	yebaohukaiqi();//頁保護開啟    
	UCHAR tezhengma[5] = { 0x2b, 0xe1, 0xc1, 0xe9, 0x02 };
	yebaohuguanbi();//頁保護關閉    
	RtlCopyMemory((PVOID)dizhi2, tezhengma, 5);//還原kifastcallentry 
	yebaohukaiqi();//頁保護開啟    
	KdPrint(("已經執行到驅動解除安裝歷程\n"));
}
void yebaohuguanbi()//頁保護關閉    
{
	__asm{//去掉記憶體保護    
		cli
			mov  eax, cr0
			and  eax, not 10000h
			mov  cr0, eax
	}
}
void yebaohukaiqi()//頁保護開啟    
{
	__asm{//恢復記憶體保護      
		mov  eax, cr0
			or   eax, 10000h
			mov  cr0, eax
			sti
	}
}

void lisaisaide_guolvhanshu(ULONG ServiceTableBase, ULONG NumberOfServices)//李賽賽的過濾函式 注意不要在這裡加 __declspec (naked)這個不是彙編程式碼 注意傳過來的引數是ulong型別
{
	//KdPrint(("進入到我的的過濾函式來了 歐耶 可以監控應用層傳過來的請求(呼叫nt函式的資訊)\n"));
	if (ServiceTableBase == (ULONG)KeServiceDescriptorTable.ServiceTableBase)
	{
		if (NumberOfServices==190)
		{
	KdPrint(("看那些進入KiFasetCallEntry呼叫ntopenkey程序名是%s\n", (char*)PsGetCurrentProcess() + 0x16c));
		}
	}
}
__declspec (naked)
VOID lisaisaide_KiFasetCallEntry()//李賽賽的KiFasetCallEntry
{
	__asm
	{
		pushad 
		pushfd
		push eax
		push edi 
		call lisaisaide_guolvhanshu //呼叫我們的過濾函式
		popfd
		popad
		pop eax
		sub esp,ecx         //call lisaisaide_KiFasetCallEntry 替換掉的5個位元組的程式碼
		shr ecx,2
		jmp eax
	}
}
VOID hook_KiFasetCallEntry()//inlinehookKiFasetCallEntry
{
	ULONG  pianyi1 = 0;
	UCHAR tezhengma[5];
	pianyi1 = (ULONG)lisaisaide_KiFasetCallEntry - 5 - dizhi2;
	tezhengma[0] = 0xe8;
	*(ULONG*)&tezhengma[1] = pianyi1;
	//KdPrint(("李賽賽的KiFasetCallEntry地址%x  計算出來的 偏移%x\n", (ULONG)lisaisaide_KiFasetCallEntry, pianyi1));
	yebaohuguanbi();//頁保護關閉   
	RtlCopyMemory((PVOID)dizhi2, tezhengma, 5);//inlinehook_KiFasetCallEntry
	yebaohukaiqi();//頁保護開啟  
}
NTSTATUS lisaisaide_NtCreateFile(    //李賽賽的_NtCreateFile函式
	__out PHANDLE FileHandle,
	__in ACCESS_MASK DesiredAccess,
	__in POBJECT_ATTRIBUTES ObjectAttributes,
	__out PIO_STATUS_BLOCK IoStatusBlock,
	__in_opt PLARGE_INTEGER AllocationSize,
	__in ULONG FileAttributes,
	__in ULONG ShareAccess,
	__in ULONG CreateDisposition,
	__in ULONG CreateOptions,
	__in_bcount_opt(EaLength) PVOID EaBuffer,
	__in ULONG EaLength
	)
{
	__asm
	{
		pushad
		mov eax, [ebp + 0x4]
		mov dizhi1, eax
		popad
	}
	//KdPrint(("通過核心棧得到地址call ebx下一句的地址%x\n", dizhi1));//得到地址正確
	sosuohookdiandizhi();//搜尋hook KiFastCallEntry 
	//yebaohuguanbi();//頁保護關閉    
	//KeServiceDescriptorTable.ServiceTableBase[66] = (unsigned int)lao_ntopenfile;//還原ntcreatefile
	//yebaohukaiqi();//頁保護開啟    
	hook_KiFasetCallEntry(); //開始hook
	return   ((hanshuzhizhen1)lao_ntopenfile)(FileHandle, DesiredAccess, ObjectAttributes, IoStatusBlock, AllocationSize, FileAttributes, ShareAccess, CreateDisposition, CreateOptions, EaBuffer, EaLength);
}
ULONG sosuohookdiandizhi()//搜尋hook KiFastCallEntry 
{
	UCHAR *p = (UCHAR *)dizhi1;
	for (ULONG i = 0; i < 300;i++)
	{
		if (*p==0x2b&&*(p+1)==0xe1&&*(p+2)==0xc1&&*(p+3)==0xe9&&*(p+4)==0x02)
		{
			//KdPrint(("找到地址kifastcallentry的hook點地址  %x\n",(ULONG)p));
			dizhi2 = (ULONG)p;
			return (ULONG)p;
		}
		p--;
	}
	//KdPrint(("沒有找到hook點的地址%x 是錯誤的", (ULONG)p));
	return 0;
}
NTSTATUS DriverEntry(PDRIVER_OBJECT qudongduixiang,PUNICODE_STRING zhucebiao)
{
	lao_ntopenfile = KeServiceDescriptorTable.ServiceTableBase[66];//儲存老的ntopenfile函式地址
	yebaohuguanbi();//頁保護關閉    
	KeServiceDescriptorTable.ServiceTableBase[66] = (unsigned int)lisaisaide_NtCreateFile;//ssdthook_ntopenfile 屬於ssdthook
	yebaohukaiqi();//頁保護開啟    
	qudongduixiang->DriverUnload = xiezai1;
	return STATUS_SUCCESS;
}

監控應用層通訊_hook_kifastcallentry(系統服務呼叫)

#include"ntddk.h" #pragma pack(1) //寫這個記憶體以一位元組對齊如果不寫是以4位元組的對齊的 typedef struct ServiceDescriptorEntry {//這個結構就是為了管理這個陣列而來的核心api所在的陣

Android------------------系統服務呼叫的學習

一、ServiceManager的方法：此方法getService，用於根據名稱獲取當前的IBinder的代理（並沒有直接獲取服務），　　　　　　　　　　　　　　服務提供的功能是依靠IBinder間接呼叫的(返回值IBinder) 　// 在真機的環境中是有此類: android.os.Service

netlink實現驅動和應用層通訊

1、netlink及相關介面說明說到驅動和應用層進行資料通訊，很多人就會想到使用傳統的ioctl，誠然，很多時候應用層呼叫驅動進行引數配置和引數獲取使用的也正是ioctl的方式，但這種方式有一種

APM監控--（一）分散式系統服務跟蹤技術選型參考

選型目的隨著公司業務的與日俱增，各個系統也越來越複雜，服務間的呼叫，服務的依賴，以及分析服務的效能問題也越棘手，因此引入服務追蹤系統尤為重要。現有的服務追蹤體系，基本都是參考Google的Dapper的體系來做的。通過跟蹤請求的處理過程，來對應用系統在前後端處

計算機網路應用層之域名系統DNS

一、為什麼存在DNS 就像我們寄信需要一個地址一樣，我們需要向網路上的某臺主機通訊，也要知道我們的主機的地址。我們知道，這個地址就是IP地址，它是一個可以在因特網上唯一標識一臺主機的地址。然而就如我們知道的那樣，IP地址只是4個十進位制數字，並不符合人們的記憶和使用，而人們

[Windows] 如何將應用程式註冊為系統服務

將任何應用程式註冊成後臺服務程式，即：系統啟動後該程式可以自動啟動，並且在前臺不要出現執行視窗。解決辦法：需要使用Windows提供的兩個工具instsrv.exe和srvany.exe。（Windows 2003資源工具包帶有） instsrv：把win32程式變成系

基於Minifilter的檔案過濾驅動以及與應用層通訊（付程式碼）

前一段時間在做一個檔案過濾系統，為了配合公司的產品使用，希望對指定目錄禁止訪問。一開始使用的是sfilter的框架，很多事情需要自己做，建立過濾驅動的控制裝置，建立符號連結，設定IRP例程，設定FAST I/O例程，用這個框架做了一半，與應用層通訊比較麻煩，就

將普通應用程式新增到系統服務 windows server2003

http://blog.csdn.net/lisq037/article/details/12496091 windows 新增應用程式到服務注意:sc create 服務名 binpath= "路徑" (binpath= 和其它引數的"="後面一定要有一個空格)如

使用Java程式碼在應用層獲取Android系統屬性

之前使用Native程式碼的property_get()/property_set()來獲取Android系統屬性，現在需要改寫到Java上面，但是System.getProperty() / System.setProperty()所操作的屬性與上面的是不同的東西，而在an

android4.2系統，實現應用層呼叫乙太網/3G網絡卡

android開發的SDK中，沒有提供3G網絡卡和乙太網的操作方法，但是有些裝置（包括平板和手機）可以在設定中開啟“乙太網”功能，就可以利用usb介面轉網線，或者3G網絡卡連線上網。也就是說系統中提供了Ethern

應用層拒絕服務攻擊

數據庫 coo bsp 源地址 http post 方法 fields 實現 exp DOS：Denial Of Service DDOS：Distributed Denial Of Service（利用僵屍網絡——由“肉雞”組成，發起 DoS 攻擊）常見的 DDOS 攻

跟後臺打印程序系統服務通訊時出現錯誤。請打開服務管理單元，確認後臺打印程序服務是否在運行。

term tab 日期 system ice 停用 blog spooler 警告一：問題描述：【錯誤】跟後臺打印程序系統服務通訊時出現錯誤。請打開服務管理單元，確認後臺打印程序服務是否在運行。事件類型:警告事件來源:TermServD

zabbix自定義自動發現服務(low-level-discovery)監控系統服務

51cto 觸發機器相關信息 agentd 格式 int lse 監控一、概述由於工作關系很久沒有更新博客了，本文基於生產配置，是zabbix系列的另一補充；本次要講的是zabbix Low-level discovery簡稱（LLD），我們在配置items（監控項

第六篇-以隱式意圖（Implicit Intent）呼叫系統服務

一、新建一個layout5.xml，同樣換為constriant模式。二、拖動兩個Button到預覽介面，第一個按鈕名字改為DISPLAY WEBPAGE，第二個按鈕名字改為MAKE A CALL。第一個按鈕連線上左右。width改為match。第二個按鈕連線左右，上方連第一個按鈕的下方。width改為m

第9章應用層（1）_域名系統DNS

1. 域名系統DNS 1.1 主機名和域名的關係（1）完全限定域名（Fully Qualified Domain Name, FQDN） = 主機名 + 域名　　①一個域名下可以有多個伺服器/主機（如上圖中有3臺伺服器/主機）。　　②主機名更多的代表一個服務或應用，它物理

android系統功能呼叫（Notification、廣播開機自啟動、A應用啟動B應用）

首先，我來一個整體概括：新建一個app，設定開機自動啟動，然後建立一個notification，當用戶點選notification時，啟動另一個應用程式，好了，廢話多說，讓我們來看程式碼吧！ java文件 private Button button; int

【Linux】新增web應用（jar包）為系統服務

為了可以將jar包新增成Linux的系統服務，需要做以下幾樣準備： ①啟動指令碼start.sh #!/bin/bash export JAVA_HOME=/usr/local/jdk1.8.0_171

linux 在核心模組呼叫應用層程式

核心模組程式碼 #include <linux/module.h> #include <linux/init.h> #include <linux/kernel.h> #include <linux/types.h> #include <li

套介面層之socket系統呼叫實現

這篇筆記記錄了AF_INET協議族在套介面層對scoket()系統呼叫的實現，注意這裡只介紹了套介面層的實現，相比於完整的socket()系統呼叫實現，這裡缺少兩部分內容：檔案系統相關的部分，比如檔案描述符的分配等；傳輸層的實現，套接字的建立肯定是要傳輸層

服務通訊之遠端過程呼叫（RPI）

背景您已應用微服務架構模式。服務必須處理來自應用程式客戶端的請求。此外，服務有時必須協作處理這些請求。他們必須使用程序間通訊協議。解決方案使用RPI進行服務間通訊。客戶端使用基於請求/回覆的協議向服務發出請求。例子 RPI技術有很多例子 REST GRP

監控應用層通訊_hook_kifastcallentry(系統服務呼叫)

相關推薦