1. 爱易网页
  2. Windows教程
  3. xp上hook IofCallDriver出错

xp上hook IofCallDriver出错

日期:2014-05-17  浏览次数:20713 次

xp下hook IofCallDriver出错
本帖最后由 lionxyes 于 2011-10-22 10:48:22 编辑
先向将要帮助我的人表示感谢.
问题是这样的:我根据《天书夜读》上的思路做了一个xp下hook IofCallDriver的小程序,当总是出错,用WinDbg单步调试时,最终的蓝屏代码为DRIVER_IRQL_NOT_LESS_OR_EQUAL,另外当不调试直接在OS中运行时,最终蓝屏代码为PAGE_FAULT_IN_NONPAGED
下面是关键的代码


//driver.h

typedef PCHAR PBYTE;	//不想在一个一个替换了,so...

typedef NTSTATUS  (__fastcall *PIOFCALLDRIVER)(PDEVICE_OBJECT,PIRP);



typedef struct _DEVICE_EXTENSION {

	PDEVICE_OBJECT pDevice;

	UNICODE_STRING ustrDeviceName;	//设备名称

	UNICODE_STRING ustrSymLinkName;	//符号链接名

	PIOFCALLDRIVER nativerIofCallDriver;	//保存系统的IofCallDriver的地址

} DEVICE_EXTENSION, *PDEVICE_EXTENSION;





//driver.cpp

#include "Driver.h"



ULONG g_uCR0;	//保存我们修改CRP寄存器之前的它的值

KSPIN_LOCK SDTSpinLock;



NTSTATUS FASTCALL MyIofCallDriver(IN PDEVICE_OBJECT,IN OUT PIRP);	//我们的IofCallDriver;

PIOFCALLDRIVER HookIofCallDriver(IN PIOFCALLDRIVER,

								 IN BOOLEAN );	//Hook IofCallDriver or unhook

VOID WPOFF();		//

VOID WPON();	//



#pragma PAGEDCODE

VOID WPOFF()

{

	

    ULONG uAttr;

	

    _asm

    {

        push eax;

        mov eax, cr0;

        mov uAttr, eax;

        and eax, 0FFFEFFFFh; // CR0 16 BIT = 0

        mov cr0, eax;

        pop eax;

        cli

    };



	g_uCR0=uAttr;

}

VOID WPON()

{

	

    _asm

    {

        sti

		push eax;

        mov eax, g_uCR0; //恢復原有 CR0 屬性

        mov cr0, eax;

        pop eax;

    };	

}



#pragma PAGEDCODE 

NTSTATUS FASTCALL MyIofCallDriver(IN PDEVICE_OBJECT pDevObj,IN OUT PIRP pIrp)

{

	DbgPrint("HDM:This is MyIofCallDriver! You succeed!\n");



	PDEVICE_EXTENSION pdx=(PDEVICE_EXTENSION)pDevObj->DeviceExtension;



	return (*(pdx->nativerIofCallDriver))(pDevObj,pIrp);

}

#pragma PAGEDCODE

//

//当hookOrUnhook为TRUE时,IofCallDriver为我们的替换函数的地址

//当hookOrUnhook为FALSE时,则为系统IofCallDriver的地址

//无论是hook or unhook,当函数成功时,返回系统IofCallDriver的地址,否则返回NULL

PIOFCALLDRIVER HookIofCallDriver(IN PIOFCALLDRIVER IofCallDriver, 

									   IN BOOLEAN hookOrUnhook)

{

	DbgPrint("HDM:Enter HookIofCallDriver\n");

	UNICODE_STRING functionName;

	PBYTE address=NULL;	//通过调用MmGetSystemRoutineAddress得到的IofCallDriver的入口地址

	PBYTE nativeIofCallDriver=NULL;	//IofCallDriver执行体的地址

	RtlInitUnicodeString(&functionName,L"IofCallDriver");



	//得到IofCallDriver的入口地址

	address=(PBYTE)MmGetSystemRoutineAddress(&functionName);



	if (address==NULL)

	{

		return NULL;

	}

	if (hookOrUnhook)

	{

相关资料更多>

  1. 请推荐一款比较好的免费局域网管理软件,谢谢
  2. 广州市-寻求CCIE培训同盟
  3. 电脑右下角老是闪个黑框,不知道如何了.
  4. 不能双击桌面文件夹,否则报错ie出错
  5. windows server 2003 iso镜像文件上载地址
  6. 运用批处理配置环境变量
  7. csdn里的各位大侠,帮忙看看,网吧安全方面的解决思路
  8. CHM资料打开后 出现“此程序无法显示网页”
  9. 诚求windows驱动开发入门书籍,非诚勿扰~解决方案