Hook Npfs驅動對象Dispatch過濾創建和打開管道

原創 FFE4 2020-05-12 18:30

通過Hook Npfs對象的Dispatch的IRP回調函數,達到過濾命名管道的需求,這種方式測試了WinXPsp3-win10_1909 都非常穩定!
效果圖:
在這裏插入圖片描述

代碼:

#include <ntifs.h>
#include <ntstrsafe.h>
#include <ntddkbd.h>


// Propertys
// ==============================================================================
extern POBJECT_TYPE* IoDriverObjectType;

NTKERNELAPI UCHAR* NTAPI PsGetProcessImageFileName(PEPROCESS process);

NTSTATUS ObReferenceObjectByName(
	PUNICODE_STRING ObjectName,
	ULONG Attributes,
	PACCESS_STATE AccessState,
	ACCESS_MASK DesiredAccess,
	POBJECT_TYPE ObjectType,
	KPROCESSOR_MODE AccessMode,
	PVOID ParseContext,
	PVOID* Object
);

#define DELAY_ONE_MICROSECOND (-10)
#define DELAY_ONE_MILLISECOND (DELAY_ONE_MICROSECOND*1000)
#define DELAY_ONE_SECOND (DELAY_ONE_MILLISECOND*1000);


// The Target Driver Object Name 
#define TARGET_DRIVER_NAME L"\\FileSystem\\Npfs"
PDRIVER_OBJECT g_pNpfs = NULL;

BOOLEAN IsHooked = FALSE;

PDRIVER_DISPATCH g_OriginalCreate = NULL;
PDRIVER_DISPATCH g_OriginalCreateNamedPipe = NULL;

NTSTATUS MyCreate(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp)
{
	PIO_STACK_LOCATION pStack = IoGetCurrentIrpStackLocation(Irp);
	DbgPrint("Openning NamedPipe:%wZ\n", &pStack->FileObject->FileName);
	return g_OriginalCreate(DeviceObject,Irp);
}

NTSTATUS MyCreateNamedPipe(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp)
{
	PIO_STACK_LOCATION pStack = IoGetCurrentIrpStackLocation(Irp);
	DbgPrint("Creating NamedPipe:%wZ\n", &pStack->FileObject->FileName);

	return g_OriginalCreateNamedPipe(DeviceObject, Irp);
}

// 卸載函數
VOID DriverUnload(PDRIVER_OBJECT pDriverObject)
{
	if (g_pNpfs)
	{
		InterlockedExchangePointer(&g_pNpfs->MajorFunction[IRP_MJ_CREATE], g_OriginalCreate);
		InterlockedExchangePointer(&g_pNpfs->MajorFunction[IRP_MJ_CREATE_NAMED_PIPE], g_OriginalCreateNamedPipe);
		ObDereferenceObject(g_pNpfs);
		DbgPrint("Restore hook!\n");
	}
	KdPrint(("Driver unloaded!!!\n"));
}

//
NTSTATUS DriverEntry(_In_ PDRIVER_OBJECT pDriverObject, _In_ PUNICODE_STRING RegistryPath)
{

	NTSTATUS status;
	KdPrint(("Enter DriverEntry!!\n"));

	pDriverObject->DriverUnload = DriverUnload;

	UNICODE_STRING uniNtNameString = {0};
	RtlInitUnicodeString(&uniNtNameString, TARGET_DRIVER_NAME);
	status = ObReferenceObjectByName(&uniNtNameString, OBJ_CASE_INSENSITIVE, NULL, 0, *IoDriverObjectType, KernelMode, NULL, &g_pNpfs);
	if (!NT_SUCCESS(status))
	{
		KdPrint(("Couldn't get the NPFS driver object \n"));
		return STATUS_UNSUCCESSFUL;
	}
	else
	{
		// Start Hooking
		g_OriginalCreate = InterlockedExchangePointer(&g_pNpfs->MajorFunction[IRP_MJ_CREATE],MyCreate);
		g_OriginalCreateNamedPipe = InterlockedExchangePointer(&g_pNpfs->MajorFunction[IRP_MJ_CREATE_NAMED_PIPE],MyCreateNamedPipe);
		DbgPrint("Hook: HOOK driver object! Success\n");
	}

	return status;
}
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

linux 實時時鐘(RTC)驅動

        這個是linux內核文檔關於rtc實時時鐘部分的說明,此文檔主要描述了rtc實時時鐘的作用和編程接口,分別介紹了老的rtc接口和新的rtc類架構。並給出了一個測試rtc驅動的程序。     linux 實時時鐘(RTC)驅

窗外云天 2020-06-26 13:22:06

神祕的藍屏代碼0xc000007e

之前一直使用vs2013進行開發,最近換了vs2019,剛寫好的helloworld驅動項目,在win7虛擬機中加載就藍屏,錯誤碼是0xc000007e,開始還以爲是我用cpp來寫驅動導致的,後面改成c版本還是藍屏,同樣的錯誤碼!

FFE4 2020-06-21 18:04:34

error MSB4057: 該項目中不存在目標“Deploy”

使用vs2013創建一個驅動項目時,自動創建對應的解決方案。 然後在驅動的解決方案下面再創建一個控制檯項目,調試控制檯項目時,彈出窗口 error MSB4057: 該項目中不存在目標“Deploy”。 解決辦法: 首先把當前項

FFE4 2020-06-21 18:04:33

windbg調試符號下載不了

微軟符號服務器已經很久沒ping通了,掛上全局代理可以下載符號,但是又不想總是開着全局代理。 後來找到一種替代方案,可以通過設置系統環境變量,來讓下載符號的流量走代理服務器 _NT_SYMBOL_PROXY 設置好代理後,再下載

FFE4 2020-06-21 17:23:25

內核中訪問HKCU註冊表

在內核中如果要訪問HKEY_LOCAL_MACHINE下面的註冊表子健,可以用\Registry\Machine代替。 例如,應用層要想訪問HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft這個註冊表, 對

FFE4 2020-06-21 17:23:25

內核字符串操作遇到的一些坑

1) RtlDowncaseUnicodeString 這個函數可以將UNICODE_STRING類型的字符串全部轉爲小寫字符,比較坑的是,轉換後的字符串長度,並不帶NULL結束符。 使用以下代碼進行測試 UNICODE_STR

FFE4 2020-06-21 17:23:25

KbdClass鍵盤過濾驅動以及書中幾處錯誤

《寒江獨釣》這本書中的鍵盤過濾驅動例子中,照着書上的例子抄完,代碼有些錯誤的地方! 書上的例子有3處錯誤,分別如下: 1)對象類型聲明錯誤 extern POBJECT_TYPE IoDriverObjectType; 修改爲以

FFE4 2020-06-21 17:23:25

內核中獲取操作系統安裝盤路徑

NTSTATUS GetSystemRootPath(PUNICODE_STRING pusSystemRoot) { NTSTATUS status = STATUS_UNSUCCESSFUL; PFILE_OBJECT p

FFE4 2020-06-21 17:23:25

串口測試代碼

    #include     <stdio.h>      /*標準輸入輸出定義*/     #include     <stdlib.h>     /*標準函數庫定義*/     #include     <unistd.h>  

如果可以不需要长大 2020-06-19 05:10:36

/boot/grub/menu.lst詳解

基本概念menu.lst有時候也叫grub.conf,但是/boot/grub/下會有一個名叫menu.lst的符號鏈接指向它。它是grub引導系統的配置文件。基本選項default 0timeout 10hidemenucolor wh

如果可以不需要长大 2020-06-19 03:55:31

導出函數和未導出函數

導出函數,非導出函數,公開函數,非公開函數 導出函數:顧名思義,出現在導出表(EAT)裏面的函數,可以給外部調用的函數,驗證是否爲導出函數的方法,熟悉逆向的朋友可以使用LordPE之類的工具查看,當然也可以使用GetProcAddr

jjjyu123 2020-06-16 07:28:53

【閱讀總結】Improving IPC by kernel design

  該篇文章由Jochen liedtke所寫,他發現自己L3操作系統還有很多可以提升的地方,主要就是IPC的效率提升,所以寫了此文。該篇文章的確是引導做研究的好文章,在整體結構上,該篇文章首先拋出了IPC困境,IPC提升了操作系

墨汁儿 2020-06-13 16:54:01

kobject之禪翻譯

文章目錄簡介嵌入在其他結構中的kobjects(Embedding kobjects)kobject的初始化引用計數Reference counts與sysfs綁定ktypes和release方法ksets子系統Kobject i

墨汁儿 2020-06-13 16:54:01

sysfs學習(Talking to the Kernel through Sysfs)

文章目錄背景與簡介深入sys文件系統sysfs's originsysfs's datastructuresysfs的目錄操作Sysfs的kobject的引用計數sysfs中的文件sysfs中的設備驅動接口Sysfs 中對象的關係

墨汁儿 2020-06-13 16:54:01

內核態如何分析空閒頁,空閒內存available memory in kernel

文章目錄問題背景stackoverflow提問翻譯小節及重要補充 問題背景   由於學習需要,需要在內核態下獲得有關內存的信息,一開始的想法是直接去取proc文件下的meminfo就好了,但是想到既然已經是內核態了,爲什麼不看看m

墨汁儿 2020-06-13 16:54:01