SSDT HOOK ZwSetInformationFile 有时出现蓝屏问题 -CSDN论坛

SSDT HOOK ZwSetInformationFile 有时出现蓝屏问题

C/C++ > C语言

收藏回复

[问题点数：20分，结帖人Sunny_wwc]

⋅SSDT HOOK ZwSetInformationFile 有时出现蓝屏问题 ⋅GetThreadContext和SetThreadContext的问题 ⋅关于入侵检测系统 更多帖子 关注私信空间博客 Sunny_wwc 等级 本版专家分：0 结帖率 100%: 关键段的代码测试就是蓝在这个函数里
NTSTATUS NewZwSetInformationFile(
                 IN HANDLE  FileHandle,
                 OUT PIO_STATUS_BLOCK  IoStatusBlock,
                 IN PVOID  FileInformation,
                 IN ULONG  Length,
                 IN FILE_INFORMATION_CLASS  FileInformationClass
                 )
{
                NTSTATUS nStatus = STATUS_SUCCESS;

    NTSTATUS Status=NULL;
    NTSTATUS statusp=STATUS_ACCESS_DENIED;

     WCHAR buf[1024];
     PFILE_OBJECT Object;
     PWCHAR pBuffer;
     IO_STATUS_BLOCK IoStatus;
     PFILE_NAME_INFORMATION pstNameInfo;

    UNICODE_STRING  volumeDosName;
    UNICODE_STRING  midstr;
    UNICODE_STRING lpuName;

    RtlInitEmptyUnicodeString(&volumeDosName,buf,1024*sizeof(WCHAR));
    RtlInitEmptyUnicodeString(&lpuName,NULL,0);


    if(FileInformationClass == FileDispositionInformation )//删除
    {
      if(ObReferenceObjectByHandle(FileHandle,0 ,0,KernelMode,
        &Object , NULL ) == STATUS_SUCCESS )
      {
        RtlInitEmptyUnicodeString(&midstr,NULL,0);
        IoVolumeDeviceToDosName(Object->DeviceObject,&midstr);
        RtlCopyUnicodeString(&volumeDosName,&midstr);
        ObDereferenceObject(Object) ;
      }
      pBuffer = (PWCHAR)ExAllocatePoolWithTag( NonPagedPool, 1024,'MyTt' );
        RtlZeroMemory( pBuffer, 1024 );
        pstNameInfo = (PFILE_NAME_INFORMATION)pBuffer;

        Status = ZwQueryInformationFile( FileHandle, &IoStatus, pstNameInfo, 512, FileNameInformation );
        if ( NT_SUCCESS(Status) )
        {
          lpuName.Buffer=(PWSTR)pstNameInfo->FileName;
          lpuName.Length=wcslen(pstNameInfo->FileName)*2;

        }
      ExFreePool(pBuffer);
      RtlAppendUnicodeStringToString(&volumeDosName,&lpuName);
//      DbgPrint("path is %ws",volumeDosName.Buffer);
//      DbgPrint("Path is %ws",Upath);
//      DbgPrint("Path is %d",len);
//      if(0 == memcmp(volumeDosName.Buffer,Upath,wcslen(Upath)*2))
      if(0 == memcmp(volumeDosName.Buffer,L"C:\\123",12))
        return statusp;
      else
      {
        nStatus = OldZwSetInformationFile( FileHandle , IoStatusBlock ,
          FileInformation , Length , FileInformationClass ) ;
        return nStatus ;
      }

    }



    if(FileInformationClass ==0x0A)//移动
    {

      if(ObReferenceObjectByHandle(FileHandle,0 ,0,KernelMode,
        &Object , NULL ) == STATUS_SUCCESS )
      {

        RtlInitEmptyUnicodeString(&midstr,NULL,0);
        IoVolumeDeviceToDosName(Object->DeviceObject,&midstr);
        RtlCopyUnicodeString(&volumeDosName,&midstr);

        ObDereferenceObject(Object) ;
      }
      pBuffer = (PWCHAR)ExAllocatePoolWithTag( NonPagedPool, 1024,'MyTt' );
      RtlZeroMemory( pBuffer, 1024 );
      pstNameInfo = (PFILE_NAME_INFORMATION)pBuffer;

      Status = ZwQueryInformationFile( FileHandle, &IoStatus, pstNameInfo, 512, FileNameInformation );
      if ( NT_SUCCESS(Status) )
      {
        lpuName.Buffer=(PWSTR)pstNameInfo->FileName;
        lpuName.Length=wcslen(pstNameInfo->FileName)*2;

      }
      ExFreePool(pBuffer);
      RtlAppendUnicodeStringToString(&volumeDosName,&lpuName);
//      DbgPrint("path is %ws",volumeDosName.Buffer);
//      DbgPrint("Path is %ws",Upath);
//      DbgPrint("Path is %d",len);
//      if(0 == memcmp(volumeDosName.Buffer,Upath,wcslen(Upath)*2))
      if(0 == memcmp(volumeDosName.Buffer,L"C:\\123",12))
        return statusp;
      else
      {
        nStatus = OldZwSetInformationFile( FileHandle , IoStatusBlock ,
          FileInformation , Length , FileInformationClass ) ;
        return nStatus ;
      }


    }


  nStatus = OldZwSetInformationFile( FileHandle , IoStatusBlock ,
    FileInformation , Length , FileInformationClass ) ;

  return nStatus ;
}

我想做的是一个指定用户输入路径传到ring0里面进行指定的文件保护 Upath是用户的路径但是运行后只要操作指定路径的文件夹后（可以保护）但不一会电脑就蓝了然后我又直接换成字符串常量进行判断还是会蓝我驱动的基础不是很好望大牛们多多指点小弟先谢谢各位了

2010-01-01 03:33:40

点赞只看楼主引用举报楼主收起

展开阅读全文

⋅更改系统默认字体之后软件显示错乱 ⋅actionscript工程中如何使用swc ⋅函数指针站内存问题 更多帖子 关注私信空间博客 beginnow 等级 本版专家分：4265: 你可以用softice加载这个驱动，当出现问题的时候softice会截获这个错误，
另外机器蓝屏之后会生成转储文件，可以分析一下这个文件

2010-01-01 10:51:49

点赞只看TA 引用举报 #1得分 0

⋅关于TWebBrowser控件的刷新问题 ⋅ADO如何读取ACCESS数据库OLE字段(word文档)？ ⋅采取行动保护地球–从你我开始 更多帖子 关注私信空间博客 nevergone 等级 本版专家分：1216: 一点驱动开发常识都没有

2010-01-01 12:33:28

点赞只看TA 引用举报 #2得分 0

⋅SSDT HOOK ZwSetInformationFile 有时出现蓝屏问题 ⋅GetThreadContext和SetThreadContext的问题 ⋅关于入侵检测系统 更多帖子 关注私信空间博客 Sunny_wwc 等级 本版专家分：0: 引用 2 楼 nevergone 的回复:
一点驱动开发常识都没有

麻烦高人指点为什么蓝屏

2010-01-01 15:12:19

点赞只看TA 引用举报 #3得分 0

⋅sscanf 读取文件，格式中是双引号排列串 ⋅ssdt hook可以实现网络行为监控不 ⋅hook ZwWriteFile 获取文件名 更多帖子 关注私信空间博客 cyndy_li 等级 本版专家分：1: 在你的代码里出现了OldZwSetInformationFile
又出现了ZwQueryInformationFile，query这个函数你有没有hook
还有old前面是不是要用指针函数类型转换一下，就是之前保存的真实函数指针，要（（ZWSETINFORMATIONFILE）OldZwSetInformationFile）（参数。。。）

2010-02-07 23:09:11

点赞只看TA 引用举报 #4得分 0

⋅sscanf 读取文件，格式中是双引号排列串 ⋅ssdt hook可以实现网络行为监控不 ⋅hook ZwWriteFile 获取文件名 更多帖子 关注私信空间博客 cyndy_li 等级 本版专家分：1: 最好用windbg + 虚拟机调试一下，设中断，可以源代码调试，执行到那一句蓝的，好找一下原因。

2010-02-07 23:09:54

点赞只看TA 引用举报 #5得分 0

⋅windows server2003 内存的问题，论坛都没有人了吗？ ⋅Windows server2003做应用和SQL服务器需要注意哪些？ ⋅windows server 2003做服务器需要注意什么？ 更多帖子 关注私信空间博客 linmei19840721 等级 本版专家分：182: 调试到那句蓝的？？？？

2010-02-08 14:42:17

点赞只看TA 引用举报 #6得分 0

收起

收藏回复

Sunny_wwc

等级：

关注私信 TA的帖子

绕过驱动保护经典例子: 刚开始碰到的问题就是不能内核调试，因为要写驱动，需要用到。一般禁用内核调试都是在驱动里调用KdDisableDebugger，往上回溯一个函数，基本上就是驱动检测禁用是否成功的代码，否则就是一个循环不停的调用...

SSDT Hook: 看看大概的调用情况左边是2000有的,右边是xp后走的 ...当 Kernel32.dll 中的 API 通过 Ntdll.dll 时，会完成参数的检查再调用一个中断(int 2Eh 或者 SysEnter 指令)，从而实现从 Ring3 进入 Ring0 层 ...

x64技术之SSDT_Hook: x64技术之SSDT_Hook测试环境:虚拟机: Windows 7 64bit过PG工具驱动加载工具PCHunter64系统自带的计算器和任务管理器等实现思路:实际思路与win32的思路一样.都是替换SSDT表里边的函数地址.不过微软被搞怕了,所以在x64...

SSDT Hook技术详解与应用: SSDT Hook技术详解与应用SSDT Hook技术详解与应用一SSDT简介 1什么是SSDT 2SSDT结构 3应用层调用 Win32 API 的完整执行流程二SSDT Hook原理 1SSDT Hook原理简介 2进程隐藏与保护 3文件隐藏与保护 4端口隐藏一、...

SSDTHook实例--编写稳定的Hook过滤函数: 讲解如何写Hook过滤函数，比如NewZwOpenProcess。打开进程。很多游戏保护都会对这个函数进行Hook。由于我们没有游戏保护的代码，无法得知游戏公司是如何编写这个过滤函数。我看到很多奇形怪状的Hook过滤函数的...

Windows简单驱动编程（三）：SSDT HOOK: ssdt hook NtOpenProcess win7 32环境，注释已标明一些解释 #include <ntddk.h> #include <ntstatus.h> ULONG uOldNtOpenProcess; //定义system_service_table结构体 typedef struct _KSYSTEM_...

如何区分ssdt hook和inline hook钩子: 如何区分ssdt hook和inline hook的区别

Win7 64位的SSDTHOOK(2)---64位SSDT hook的实现: 上篇文章知道了寻找SSDT表的方法，这篇记录一下如何实现SSDT表的Hook。

编程打造自己的SSDT恢复工具_被SSDT HOOK了能修复.zip: 编程打造自己的SSDT恢复工具_被SSDT HOOK了能修复.zip

SSDTHook的原理: 前言分析了一个cm, cm中释放了一个驱动, 进行了SSDTHook, 用于保护cm. IDA的伪码翻译的真渣, 直接编译都过不了(已经将数据类型改对了), 翻译的和反汇编代码也有点对不上, 从反汇编开始自己翻译. 从反汇编层面看...

SSDT Hook底层原理介绍以及如何实现进程保护: SSDT Hook效果图 SSDT简介 SSDT结构 SSDT HOOK原理 Hook前准备如何获得SSDT中函数的地址呢 SSDT Hook流程 SSDT Hook实现进程保护 SSDT Hook效果图加载驱动并成功Hook NtTerminateProcess函数：当对 ...

64位下的SSDT HOOK 保护进程: 64位下的SSDT HOOK与32位不同.由于SSDT服务表里面存放的只是函数的偏移,并且大小只有2的28次方. 无法直接跳转到指定的函数地址处,所以这里采用了先跳转到BugCheckEx函数,然后在BugCheckEx函数开头跳转到自己的处理...

谈谈通杀SSDT hook和Shadow SSDT hook的方法: 有点纠结，不知道应不应该发，本来想多攒点东西，留着以后找工作。毕竟说空话被bs过。其实技术含量也不高，耐心研究下都能实现。发出来了，权当促进游戏保护和反保护事业的发展吧。大牛飘过吧，那些还没成为大牛...

SSDT hook和Shadow SSDT hook的方法: 有点纠结，不知道应不应该发，本来想多攒点东西，留着以后找工作。毕竟说空话被bs过。其实技术含量也不高，耐心研究下都能实现。发出来了，权当促进游戏保护和反保护事业的发展吧。大牛飘过吧，那些还没成为大...

ShadowSSdt HOOK: system进程并没有载入win32k.sys，所以，要访问shadowssdt表，必须KeStackAttackProces到一个有GUI线程的进程中，而csrss.exe就是这样的一个合适的进程（管理Windows图形相关任务） Index？硬编码挂钩NtGdiBitBlt...

hook pte_菜鸟开始学习SSDT HOOK（(附带源码）: 看了梦无极的ssdt_hook教程，虽然大牛讲得很细，但是很多细节还是要自己去体会，才会更加深入。在这里我总结一下我的分析过程，若有不对的地方，希望大家指出来。首先我们应该认识 ssdt是什么？从梦无极的讲解过程中...

简单实现了下SSDT SHADOW HOOK: SSDT SHADOW HOOK可用于安全软件窗口保护、安全输入、截屏保护等。例如：挂钩NtUserFindWindowEx、NtUserGetForegroundWindow、NtUserBuildHwndList、NtUserQueryWindow、NtUserWindowFromPoint、NtUserSetParent...

SSDT HOOK技术(1)——获得SSDT函数索引号: 1.SSDT是什么？ SSDT全程是System Services Discriptor Table 翻译过来就是系统服务描述符表，那么系统服务描述符是什么呢？根据官方的解释ssdt表就是把ring3的Win32 API和ring0的内核API联系起来。SSDT并不仅仅只...

Win64 驱动内核编程-22.SHADOW SSDT HOOK（宋孖健）: HOOK和UNHOOKSHADOWSSDT跟之前的HOOK/UNHOOKSSDT类似，区别是查找SSSDT的特征码，以及根据索引计算函数地址的公式，还有一个就是吧跳转函数写在什么位置，SSDT的时候是写在蓝屏函数里了。一、获得...

ring3恢复SSDTHOOK(易语言ssdthook恢复工具)V1.0.0绿色免费版: 他可以基于ring3恢复SSDTHOOK，一款很专业的工具。使用ZwSystemDebugControl，可以在ring3下读写内核空间虚拟内存，但是XP以上系统貌似就不支持写内核了，还有NtSystemDebugControl被SSDT HOOK之后也无法写进内核，...

HOOK钩子技术4 SSDT HOOK: API 调用过程以一个demo测试为例，本测试查看OpenProcess 在R3-R0 下的调用。// test.cpp : Defines the entry point for the console application. //#include "stdafx.h" #include #include ...

HOOK技术：SSDT HOOK(x86): 在进行SSDT Hook之前我们要先了解SSDT的概念和作用。 SSDT： System Services Descriptor Table(系统服务描述符表)，在内核中是KeServiceDescriptorTable。这个表就是一个把ring3的Win32 API和ring0的内核API联系...

ssdt表通用hook 任意ssdthook: ULONG old_NtCreateDebugObject=0;...ULONG ssdt_hook_quanbu_biaozhong(ULONG ssdt_i,ULONG newhanshu) { old_NtCreateDebugObject = KeServiceDescriptorTable.ServiceTableBase[ssdt_i]; __asm { cli m...

Windows驱动开发学习笔记（五）—— SSDT HOOK: Windows驱动开发学习笔记（五）—— SSDT HOOK前言系统服务表系统服务描述符表前言一、学习自滴水编程达人中级班课程，官网：https://bcdaren.com 二、海东老师牛逼！系统服务表描述：全称：...

Hook : SSDT Hook学习资料以及总结问题: SSDT hook 的一点疑问->获取服务地址用一句话就搞定了，还用写个函数用内联汇编？KeServiceDescriptorTable.ServiceTableBase[122] http://www.mengwuji.net/forum.php?mod=viewthread&tid=655 Using SSDT HOOK ...

win10 x64中inlineHook SSDT里面的函数: inlineHook的原理：为了方便好理解，一些变量名和函数名在这里使用中文命名，有些编译器不支持中文命名，在这里要注意（我的是VS2019） hook.h： #pragma once #include<ntifs.h> #include<ntddk....

SSDT hook完整版: 原理可以看：...在多核下用MDL方式修改内存 NTSTATUS RtlSuperCopyMemory(IN VOID UNALIGNED *Dst, IN CONST VOID UNALIGNED *Src, IN ULONG Length) { //...

进程隐藏与进程保护（SSDT Hook 实现）（一）: 文章目录： 1. 引子 – Hook 技术： 2. SSDT 简介： ...5. SSDT Hook 原理： 6. 小结： 1. 引子 – Hook 技术：前面一篇博文呢介绍了代码的注入技术(远程线程实现)，博文地址如下： ht

ShadowSSDT Hook: ShadowSSDT表的获取这里的ShadowSSDT表的获取是通过函数KeAddSystemServiceTable来获取的。使用这个函数的原因： 1、这个函数是已经导出的，可以在代码中直接使用。 2、这个函数里面使用了ShadowSSDT，包含...

SecureCRT中文破解版: SecureCRT中文破解版欢迎大家下载，非最新版本！！！

相关热词 c#小程序 c# 网站检测 c# 两个问号 c#中泛型的重载 c#json添加 c# 图形界面设计 c# 没有注册类 c# 截取最后一个字符串 c# 释放指针 c#可不可以做网页开发