设为首页收藏本站
开启辅助访问 切换到宽版

看流星社区

 找回密码
 注册账号
看流星社区»看流星社区 » 【编程技术】 驱动开发技术 过HS多开源码,直接HOOK KiFastCallEntry改函数R3注入。
返回列表 发新帖
查看: 4798|回复: 1

过HS多开源码,直接HOOK KiFastCallEntry改函数R3注入。

[复制链接]
传说中的路痴

该用户从未签到
发表于 2013-2-13 17:26:31 | 显示全部楼层 |阅读模式

  2. #pragma once
  3. #ifndef DUOKAI_H
  4. #define DUOKAI_H

  6. #ifndef __cplusplus
  7. extern "C"
  8. {
  9. #endif
  10.   #include <ntddk.h>
  11.   #include <windef.h>
  12.   #include <string.h>
  13. #ifndef __cplusplus
  14. };
  15. #endif

  17. #define _device_name L"\\device\\device_name"
  18. #define _symbol_name L"\\??\\symbol_name"

  20. #define PAGEDCODE code_seg("PAGED")
  21. #define LOCKEDCODE code_seg()
  22. #define INITCODE code_seg("INIT")

  24. #define PAGEDDATA data_seg("PAGED")
  25. #define LOCKEDDATA data_seg()
  26. #define INITDATA data_seg("INIT")

  28. typedef struct _DEVICE_EXTENSION
  29. {
  30.   UNICODE_STRING device_name;
  31.   UNICODE_STRING symbol_name;
  32.   PDEVICE_OBJECT device_object;
  33. }DEVICE_EXTENSION,*PDEVICE_EXTENSION;

  35. VOID DriverUnLoad(PDRIVER_OBJECT driver);
  36. NTSTATUS DispatchIrp(PDEVICE_OBJECT driver,PIRP irp);
  37. VOID Get_Version(PDRIVER_OBJECT driver);
  38. VOID GetCall_addr();

  40. VOID GetKiFastCallEntry();
  41. VOID Hook_KiFastCallEntry();
  42. VOID My_KiFastCallEntry();
  43. VOID Un_KiFastCallEntry();
  44. extern "C"
  45. typedef
  46. NTSYSCALLAPI NTSTATUS NTAPI typedef_NtOpenProcess  ( __out PHANDLE  ProcessHandle,  
  47.                       __in ACCESS_MASK  DesiredAccess,  
  48.                       __in POBJECT_ATTRIBUTES  ObjectAttributes,  
  49.                       __in_opt PCLIENT_ID  ClientId   
  50.                       ) ;
  51. typedef_NtOpenProcess* t_NtOpenProcess;
  52. extern "C"
  53. typedef
  54. NTSYSCALLAPI NTSTATUS NTAPI typedef_NtReadVirtualMemory  ( __in HANDLE  ProcessHandle,  
  55.                           __in_opt PVOID  BaseAddress,  
  56.                           __out_bcount(BufferSize) PVOID  Buffer,  
  57.                           __in SIZE_T  BufferSize,  
  58.                           __out_opt PSIZE_T  NumberOfBytesRead   
  59.                           ) ;
  60. typedef_NtReadVirtualMemory* t_NtReadVirtualMemory;
  61. extern "C"
  62. typedef
  63. NTSYSCALLAPI NTSTATUS NTAPI typedef_NtWriteVirtualMemory  ( __in HANDLE  ProcessHandle,  
  64.                            __in_opt PVOID  BaseAddress,  
  65.                            __in_bcount(BufferSize) CONST VOID *  Buffer,  
  66.                            __in SIZE_T  BufferSize,  
  67.                            __out_opt PSIZE_T  NumberOfBytesWritten   
  68.                            ) ;
  69. typedef_NtWriteVirtualMemory* t_NtWriteVirtualMemory;
  70. #endif
  71. //-------------------------------------------------------------
  72. #include "duokai.h"
  73. #include "hook.h"
  74. #include "KiFastCallEntry.h"

  76. #pragma PAGEDCODE
  77. extern "C" NTSTATUS DriverEntry(PDRIVER_OBJECT driver,PUNICODE_STRING un_string)
  78. {
  79.   //////////////////////////////////////////////////////////////////////////
  80.   Get_Version(driver);
  81.   hook_NtCreateMutant();
  82.   hook_NtOpenMutant();
  83.   //------------------注入支持
  84. //  GetCall_addr();
  85. //  GetKiFastCallEntry();
  86. //  Hook_KiFastCallEntry();
  87.   //-----------------------------
  88.   NTSTATUS status=STATUS_SUCCESS;
  89.   driver->MajorFunction[IRP_MJ_CREATE]=DispatchIrp;
  90.   driver->MajorFunction[IRP_MJ_CLOSE]=DispatchIrp;
  91.   driver->MajorFunction[IRP_MJ_READ]=DispatchIrp;
  92.   driver->MajorFunction[IRP_MJ_WRITE]=DispatchIrp;
  93.   driver->MajorFunction[IRP_MJ_DEVICE_CONTROL]=DispatchIrp;
  94.   driver->DriverUnload=DriverUnLoad;

  96.   PDEVICE_EXTENSION deviceextension;
  97.   UNICODE_STRING device_name;
  98.   RtlInitUnicodeString(&device_name,_device_name);

  100.   PDEVICE_OBJECT device_object;
  101.   status=IoCreateDevice(driver,sizeof(deviceextension),&device_name,FILE_DEVICE_UNKNOWN,NULL,FALSE,&device_object);
  102.   if(!NT_SUCCESS(status))
  103.   {
  104.     KdPrint(("创建设备失败!\n"));
  105.     return status;
  106.   }
  107.   KdPrint(("创建设备成功!\n"));

  109.   device_object->Type |= DO_BUFFERED_IO;
  110.   deviceextension=(PDEVICE_EXTENSION)device_object->DeviceExtension;
  111.   deviceextension->device_name=device_name;
  112.   deviceextension->device_object=device_object;

  114.   UNICODE_STRING symbol_object;
  115.   RtlInitUnicodeString(&symbol_object,_symbol_name);
  116.   deviceextension->symbol_name=symbol_object;
  117.   status=IoCreateSymbolicLink(&symbol_object,&device_name);
  118.   if(!NT_SUCCESS(status))
  119.   {
  120.     KdPrint(("创建符号链接失败!\n"));
  121.     IoDeleteDevice(device_object);
  122.     return status;
  123.   }
  124.   KdPrint(("创建符号链接成功!\n"));
  125.   return STATUS_SUCCESS;
  126. }

  128. #pragma PAGEDCODE
  129. VOID DriverUnLoad(PDRIVER_OBJECT driver)
  130. {
  131.   PDEVICE_OBJECT driver_object;
  132.   driver_object=driver->DeviceObject;
  133.   while(driver_object!=NULL)
  134.   {
  135.     PDEVICE_EXTENSION deviceextension=(PDEVICE_EXTENSION)driver_object->DeviceExtension;
  136.     UNICODE_STRING symbol_name=deviceextension->symbol_name;
  137.     IoDeleteSymbolicLink(&symbol_name);
  138.     driver_object=driver_object->NextDevice;
  139.     IoDeleteDevice(deviceextension->device_object);
  140.   }
  141.   //------------------------
  142.   UNhook_NtCreateMutant();
  143.   Unhook_NtOpenMutant();
  144. //  Un_KiFastCallEntry();
  145.   KdPrint(("删除设备成功!\n"));
  146. }

  148. #pragma PAGEDCODE
  149. NTSTATUS DispatchIrp(PDEVICE_OBJECT driver,PIRP irp)
  150. {
  151.   irp->IoStatus.Status=STATUS_SUCCESS;
  152.   irp->IoStatus.Information=0;
  153.   IoCompleteRequest(irp,IO_NO_INCREMENT);
  154.   return STATUS_SUCCESS;
  155. }
  156. //---------------------------------------------------------------------
  157. #pragma once
  158. #ifndef HOOK_H
  159. #define HOOK_H

  161. #define Version_win7   61
  162. #define Version_2008   60
  163. #define Version_xp     51
  164. //---------------------------------
  165. ULONG u_NtCreateMutant;   //保存CreateMutant的地址
  166. ULONG u_NtOpenMutant;     //保存NtOpenMutant的地址
  167. int in_NtOpenThread;          //保存NtOpenThread的序号
  168. int in_NtOpenProcess;        //保存NtOpenprocess的序号
  169. int in_NtReadVirtualMemory;  //保存NtReadVirtualMemory的序号
  170. int in_NtWriteVirtualMemory; //保存NtWriteVirtualMemory的序号
  171. //-------------------------------
  172. ULONG addr_NtOpenThread;
  173. ULONG push0_addr_NtOpenProcess;
  174. ULONG push_addr_NtOpenProecss;
  175. ULONG call_addr_NtOpenProecss;   //保存NtOpenProcess的call地址
  176. ULONG addr_NtOpenProecss;
  177. BYTE push0_addr_NtReadVirtualMemory;
  178. ULONG push_addr_NtReadVirtualMemory;
  179. ULONG call_addr_NtReadVirtualMemory;
  180. ULONG addr_NtReadVirtualMemory;
  181. BYTE push0_addr_NtWriteVirtualMemory;
  182. ULONG push_addr_NtWriteVirtualMemory;
  183. ULONG call_addr_NtWriteVirtualMemory;
  184. ULONG addr_NtWriteVirtualMemory;

  186. typedef struct _ServiceDescriptorTable {
  187.   PVOID ServiceTableBase; //System Service Dispatch Table 的基地址  
  188.   PVOID ServiceCounterTable;
  189.   //包含着 SSDT 中每个服务被调用次数的计数器。这个计数器一般由sysenter 更新。
  190.   unsigned int NumberOfServices;//由 ServiceTableBase 描述的服务的数目。  
  191.   PVOID ParamTableBase; //包含每个系统服务参数字节数表的基地址-系统服务参数表
  192. }*PServiceDescriptorTable;  
  193. extern "C" extern PServiceDescriptorTable KeServiceDescriptorTable;

  195. #pragma pack(1)
  196. typedef struct jmp_code
  197. {
  198.   BYTE e9;
  199.   ULONG jmpaddr;
  200. }_jmpcode,*pjmpcode;
  201. #pragma pack()

  203. #pragma PAGEDCODE
  204. ULONG* Getssdt_this(int index)
  205. {
  206.   ULONG* Get_Funaddr,GetFun;
  207.   GetFun=(ULONG)KeServiceDescriptorTable->ServiceTableBase;
  208.   KdPrint(("SSDT表的地址为:%x\n",GetFun));
  209.   Get_Funaddr=(PULONG)(GetFun+index*4);
  210.   KdPrint(("---序号=%d,地址=%x",index,Get_Funaddr));
  211.   return Get_Funaddr;
  212. }

  214. #pragma PAGEDCODE
  215. ULONG Getssdt_addr(int index)
  216. {
  217.   ULONG* Get_Funaddr,GetFun,addr_GetFun;
  218.   GetFun=(ULONG)KeServiceDescriptorTable->ServiceTableBase;
  219.   KdPrint(("SSDT表的地址为:%x\n",GetFun));
  220.   Get_Funaddr=(PULONG)(GetFun+index*4);
  221.   KdPrint(("---序号=%d,地址=%x",index,Get_Funaddr));
  222.   addr_GetFun=*Get_Funaddr;
  223.   KdPrint(("地址为:%x",addr_GetFun));
  224.   return addr_GetFun;
  225. }

  227. KIRQL kirql;
  228. #pragma PAGEDCODE
  229. VOID PAGED_Open()
  230. {
  231.   __asm
  232.   {
  233.     cli
  234.     push eax
  235.     mov eax,cr0
  236.     and eax,not 10000h
  237.     mov cr0,eax
  238.     pop eax
  239.   }
  240.   kirql=KeRaiseIrqlToDpcLevel();
  241. }

  243. #pragma PAGEDCODE
  244. VOID PAGED_Exit()
  245. {
  246.   KeLowerIrql(kirql);
  247.   __asm
  248.   {
  249.     push eax
  250.     mov eax,cr0
  251.     or eax,10000h
  252.     mov cr0,eax
  253.     pop eax
  254.     sti
  255.   }
  256. }


  259. #pragma PAGEDCODE
  260. VOID Get_Version(PDRIVER_OBJECT driver)
  261. {
  262.   ULONG MajorVersion,MinorVersion,BuildVersion;
  263.   PsGetVersion(&MajorVersion,&MinorVersion,&BuildVersion,NULL);
  264.   DWORD dw_version=MajorVersion*10+MinorVersion;
  265.   switch(dw_version)
  266.   {
  267.   case Version_xp:
  268.     KdPrint(("当前操作系统windows xp......\n"));
  269.     in_NtOpenThread=0x80;
  270.     in_NtOpenProcess=0x7A;
  271.     in_NtReadVirtualMemory=0xBA;
  272.     in_NtWriteVirtualMemory=0x115;
  273.     break;
  274.   default:
  275.     driver->DriverUnload=DriverUnLoad;
  276.     break;
  277.   }
  278. }
  279. //////////////////////////////////////////////////////////////////////////

  281. extern "C"
  282. typedef
  283. NTSYSAPI
  284. NTSTATUS
  285. (__stdcall *Nt_CreateMutant)(
  286.          OUT PHANDLE MutantHandle,
  287.          IN ACCESS_MASK DesiredAccess,
  288.          IN POBJECT_ATTRIBUTES ObjectAttributes,
  289.          IN BOOLEAN InitialOwner
  290.          );
  291. Nt_CreateMutant* nt_CreateMutant;

  293. static unsigned int i=0;
  294. #pragma PAGEDCODE
  295. extern "C"
  296. NTSTATUS
  297. __stdcall
  298. My_NtCreateMutant(
  299.         OUT PHANDLE MutantHandle,
  300.         IN ACCESS_MASK DesiredAccess,
  301.         IN POBJECT_ATTRIBUTES ObjectAttributes,
  302.         IN BOOLEAN InitialOwner
  303.          )
  304. {
  305.   if(ObjectAttributes!=NULL && ObjectAttributes->ObjectName!=NULL && ObjectAttributes->ObjectName->Buffer!=NULL)
  306.   {
  307.     KdPrint(("互斥体名为:%wZ\r\n",ObjectAttributes->ObjectName));
  308.     UNICODE_STRING Mutant_name_Create;
  309.     RtlInitUnicodeString(&Mutant_name_Create,L"WvsClientMtx");
  310.     if(ObjectAttributes && RtlEqualUnicodeString(&Mutant_name_Create,ObjectAttributes->ObjectName,FALSE))
  311.     {
  312.       KdPrint(("hook CreateMutant成功!\r\n"));
  313.       i++;
  314.       UNICODE_STRING un_game_mutex;
  315.       switch(i)
  316.       {
  317.       case 0:
  318. //由于内核下不知道怎么随机字符所以出现了如此情景,汇编写麻烦所以直接就
  319.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMtx");
  320.         break;
  321.       case 1:
  322.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMtx1");
  323.         break;
  324.       case 2:
  325.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMtx2");
  326.         break;
  327.       case 3:
  328.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMtx3");
  329.         break;
  330.       case 4:
  331.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMtx4");
  332.         break;
  333.       case 5:
  334.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMtx5");
  335.         break;
  336.       case 6:
  337.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMtx6");
  338.         break;
  339.       case 7:
  340.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMtx7");
  341.         break;
  342.       case 8:
  343.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMtx8");
  344.         break;
  345.       case 9:
  346.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMtx9");
  347.         break;
  348.       case 10:
  349.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt10");
  350.         break;
  351.       case 11:
  352.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt11");
  353.         break;
  354.       case 12:
  355.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt12");
  356.         break;
  357.       case 13:
  358.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt13");
  359.         break;
  360.       case 14:
  361.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt14");
  362.         break;
  363.       case 15:
  364.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt15");
  365.         break;
  366.       case 16:
  367.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt16");
  368.         break;
  369.       case 17:
  370.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt17");
  371.         break;
  372.       case 18:
  373.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt18");
  374.         break;
  375.       case 19:
  376.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt19");
  377.         break;
  378.       case 20:
  379.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt20");
  380.         break;
  381.       case 21:
  382.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt21");
  383.         break;
  384.       case 22:
  385.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt22");
  386.         break;
  387.       case 23:
  388.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt23");
  389.         break;
  390.       case 24:
  391.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt24");
  392.         break;
  393.       case 25:
  394.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt25");
  395.         break;
  396.       case 26:
  397.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt26");
  398.         break;
  399.       case 27:
  400.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt27");
  401.         break;
  402.       case 28:
  403.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt28");
  404.         break;
  405.       case 29:
  406.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt29");
  407.         break;
  408.       case 30:
  409.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt30");
  410.         break;
  411.       case 31:
  412.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt31");
  413.         break;
  414.       case 32:
  415.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt32");
  416.         break;
  417.       case 33:
  418.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt33");
  419.         break;
  420.       case 34:
  421.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt34");
  422.         break;
  423.       case 35:
  424.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt35");
  425.         break;
  426.       case 36:
  427.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt36");
  428.         break;
  429.       case 37:
  430.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt37");
  431.         break;
  432.       case 38:
  433.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt38");
  434.         break;
  435.       case 39:
  436.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt39");
  437.         break;
  438.       case 40:
  439.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt40");
  440.         break;
  441.       case 41:
  442.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt41");
  443.         break;
  444.       case 42:
  445.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt42");
  446.         break;
  447.       case 43:
  448.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt43");
  449.         break;
  450.       case 44:
  451.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt44");
  452.         break;
  453.       case 45:
  454.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt45");
  455.         break;
  456.       case 46:
  457.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt46");
  458.         break;
  459.       case 47:
  460.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt47");
  461.         break;
  462.       case 48:
  463.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt48");
  464.         break;
  465.       case 49:
  466.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt49");
  467.         break;
  468.       case 50:
  469.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt50");
  470.         break;
  471.       case 51:
  472.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt51");
  473.         break;
  474.       case 52:
  475.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt52");
  476.         break;
  477.       case 53:
  478.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt53");
  479.         break;
  480.       case 54:
  481.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt54");
  482.         break;
  483.       case 55:
  484.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt55");
  485.         break;
  486.       case 56:
  487.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt56");
  488.         break;
  489.       case 57:
  490.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt57");
  491.         break;
  492.       case 58:
  493.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt58");
  494.         break;
  495.       case 59:
  496.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt59");
  497.         break;
  498.       case 60:
  499.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt60");
  500.         break;
  501.       case 61:
  502.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt61");
  503.         break;
  504.       case 62:
  505.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt62");
  506.         break;
  507.       case 63:
  508.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt63");
  509.         break;
  510.       case 64:
  511.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt64");
  512.         break;
  513.       case 65:
  514.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt65");
  515.         break;
  516.       case 66:
  517.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt66");
  518.         break;
  519.       case 67:
  520.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt67");
  521.         break;
  522.       case 68:
  523.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt68");
  524.         break;
  525.       case 69:
  526.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt69");
  527.         break;
  528.       case 70:
  529.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt70");
  530.         break;
  531.       case 71:
  532.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt71");
  533.         break;
  534.       case 72:
  535.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt72");
  536.         break;
  537.       case 73:
  538.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt73");
  539.         break;
  540.       case 74:
  541.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt74");
  542.         break;
  543.       case 75:
  544.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt75");
  545.         break;
  546.       case 76:
  547.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt76");
  548.         break;
  549.       case 77:
  550.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt77");
  551.         break;
  552.       case 78:
  553.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt78");
  554.         break;
  555.       case 79:
  556.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt79");
  557.         break;
  558.       case 80:
  559.         RtlInitUnicodeString(&un_game_mutex,L"WvsClientMt80");
  560.         break;
  561.       default:
  562.         i=0;
  563.         break;
  564.       }
  565.       RtlCopyUnicodeString(ObjectAttributes->ObjectName,&un_game_mutex);
  566.       return ((NTSTATUS(NTAPI*)(PHANDLE,ACCESS_MASK,POBJECT_ATTRIBUTES,BOOLEAN))nt_CreateMutant)(MutantHandle,DesiredAccess,ObjectAttributes,InitialOwner);
  567.     }
  568.   }
  569.   return ((NTSTATUS(NTAPI*)(PHANDLE,ACCESS_MASK,POBJECT_ATTRIBUTES,BOOLEAN))nt_CreateMutant)(MutantHandle,DesiredAccess,ObjectAttributes,InitialOwner);
  570. }

  572. #pragma INITCODE
  573. VOID hook_NtCreateMutant()
  574. {
  575.   ULONG* un_NtCreateMutant;
  576.   un_NtCreateMutant=Getssdt_this(0x2B);
  577.   u_NtCreateMutant=Getssdt_addr(0x2B);
  578.   KdPrint(("当前SSDT表中NtCreateMutant的地址为:%x",u_NtCreateMutant));
  579.   nt_CreateMutant=(Nt_CreateMutant*)u_NtCreateMutant;
  580.   PAGED_Open();
  581.   *un_NtCreateMutant=(ULONG)My_NtCreateMutant;
  582.   PAGED_Exit();
  583. }

  585. #pragma PAGEDCODE
  586. VOID UNhook_NtCreateMutant()
  587. {
  588.   ULONG ntcreatemutant;
  589.   ntcreatemutant=(ULONG)KeServiceDescriptorTable->ServiceTableBase+0x2B*4;
  590.   PAGED_Open();
  591.   *((ULONG*)ntcreatemutant)=(ULONG)u_NtCreateMutant;
  592.   PAGED_Exit();
  593. }

  595. extern "C"
  596. typedef
  597. NTSYSAPI
  598. NTSTATUS
  599. (__stdcall *Nt_OpenMutant)(
  600.        OUT PHANDLE MutantHandle,
  601.        IN ACCESS_MASK DesiredAccess,
  602.        IN POBJECT_ATTRIBUTES ObjectAttributes
  603.        );
  604. Nt_OpenMutant* nt_openmutant;

  606. #pragma PAGEDCODE
  607. extern "C"
  608. NTSTATUS
  609. __stdcall
  610. My_NtOpenMutant(
  611.         OUT PHANDLE MutantHandle,
  612.         IN ACCESS_MASK DesiredAccess,
  613.         IN POBJECT_ATTRIBUTES ObjectAttributes
  614.        )
  615. {
  616.   if(ObjectAttributes!=NULL && ObjectAttributes->ObjectName!=NULL && ObjectAttributes->ObjectName->Buffer!=NULL)
  617.   {
  618.     KdPrint(("互斥体为为:%wZ\r\n",ObjectAttributes->ObjectName));
  619.     UNICODE_STRING Mutant_name_Open;
  620.     RtlInitUnicodeString(&Mutant_name_Open,L"DBWinMutex");
  621.     if(ObjectAttributes && RtlEqualUnicodeString(&Mutant_name_Open,ObjectAttributes->ObjectName,FALSE))
  622.     {
  623.       KdPrint(("hook OpenMutant成功!\r\n"));
  624.       return STATUS_SUCCESS;
  625.     }
  626.   }
  627.   return ((NTSTATUS(NTAPI*)(PHANDLE,ACCESS_MASK,POBJECT_ATTRIBUTES))nt_openmutant)(MutantHandle,DesiredAccess,ObjectAttributes);
  628. }

  630. #pragma INITCODE
  631. VOID hook_NtOpenMutant()
  632. {
  633.   ULONG* un_NtOpenMutant;
  634.   un_NtOpenMutant=Getssdt_this(0x78);
  635.   u_NtOpenMutant=Getssdt_addr(0x78);
  636.   KdPrint(("当前系统NtOpenMutant的地址为:%x\n",u_NtOpenMutant));
  637.   nt_openmutant=(Nt_OpenMutant*)u_NtOpenMutant;
  638.   PAGED_Open();
  639.   *un_NtOpenMutant=(ULONG)My_NtOpenMutant;
  640.   PAGED_Exit();
  641. }

  643. #pragma PAGEDCODE
  644. VOID Unhook_NtOpenMutant()
  645. {
  646.   ULONG ntopenmutant;
  647.   ntopenmutant=(ULONG)KeServiceDescriptorTable->ServiceTableBase+0x78*4;
  648.   PAGED_Open();
  649.   *((ULONG*)ntopenmutant)=(ULONG)u_NtOpenMutant;
  650.   PAGED_Exit();

  652. }

  654. #pragma PAGEDCODE
  655. VOID GetCall_addr()
  656. {
  657.   addr_NtOpenThread=Getssdt_addr(in_NtOpenThread);
  658.   addr_NtOpenThread+=0xA;
  659.   __asm
  660.   {
  661.     push eax
  662.     push ebx
  663.     mov eax,addr_NtOpenThread
  664.     mov ebx,[eax+1]
  665.     add eax,ebx
  666.     add eax,5
  667.     mov call_addr_NtOpenProecss,eax
  668.     pop ebx
  669.     pop eax
  670.   }
  671.   KdPrint(("NtOpenProess的call地址为:%x\n",call_addr_NtOpenProecss));
  672.   call_addr_NtReadVirtualMemory=call_addr_NtOpenProecss;
  673.   KdPrint(("NtReadVirtualMemory的call地址为:%x\n",call_addr_NtReadVirtualMemory));
  674.   call_addr_NtWriteVirtualMemory=call_addr_NtOpenProecss;
  675.   KdPrint(("NtWriteVirtualMemory的call地址为:%x\n",call_addr_NtWriteVirtualMemory));
  676.   push_addr_NtOpenProecss=Getssdt_addr(in_NtOpenProcess);
  677.   addr_NtOpenProecss=push_addr_NtOpenProecss;
  678.   t_NtOpenProcess=(typedef_NtOpenProcess*)push_addr_NtOpenProecss;
  679.   __asm
  680.   {
  681.     push eax
  682.     mov eax,push_addr_NtOpenProecss
  683.     add eax,1
  684.     mov eax,[eax]
  685.     mov push0_addr_NtOpenProcess,eax
  686.     pop eax
  687.   }
  688.   KdPrint(("NtOpenProecss的第一个push地址为:%x\n",push0_addr_NtOpenProcess));
  689.   __asm
  690.   {
  691.     push eax
  692.     mov eax,push_addr_NtOpenProecss
  693.     add eax,5
  694.     add eax,1
  695.     mov eax,[eax]
  696.     mov push_addr_NtOpenProecss,eax
  697.     pop eax
  698.   }
  699.   KdPrint(("NtOpenProcess的第二个push地址为:%x\n",push_addr_NtOpenProecss));
  700.   push_addr_NtReadVirtualMemory=Getssdt_addr(in_NtReadVirtualMemory);
  701.   addr_NtReadVirtualMemory=push_addr_NtReadVirtualMemory;
  702.   t_NtReadVirtualMemory=(typedef_NtReadVirtualMemory*)push_addr_NtReadVirtualMemory;
  703.   __asm
  704.   {
  705.     push eax
  706.     mov eax,push_addr_NtReadVirtualMemory
  707.     add eax,1
  708.     mov eax,[eax]
  709.     mov push0_addr_NtReadVirtualMemory,al
  710.     pop eax
  711.   }
  712.   KdPrint(("NtReadVirtualMemory的第一个push地址为:%x\n",push0_addr_NtReadVirtualMemory));
  713.   __asm
  714.   {
  715.     push eax
  716.     mov eax,push_addr_NtReadVirtualMemory
  717.     add eax,2
  718.     mov eax,[eax+1]
  719.     mov push_addr_NtReadVirtualMemory,eax
  720.     pop eax
  721.   }
  722.   KdPrint(("NtReadVirtualMemory的第二个push地址为:%x\n",push_addr_NtReadVirtualMemory));
  723.   push_addr_NtWriteVirtualMemory=Getssdt_addr(in_NtWriteVirtualMemory);
  724.   addr_NtWriteVirtualMemory=push_addr_NtWriteVirtualMemory;
  725.   t_NtWriteVirtualMemory=(typedef_NtWriteVirtualMemory*)push_addr_NtWriteVirtualMemory;
  726.   __asm
  727.   {
  728.     push eax
  729.     mov eax,push_addr_NtWriteVirtualMemory
  730.     add eax,1
  731.     mov eax,[eax]
  732.     mov push0_addr_NtWriteVirtualMemory,al
  733.     pop eax
  734.   }
  735.   KdPrint(("NtWriteVirtualMemory的第一个push地址为:%x\n",push0_addr_NtWriteVirtualMemory));
  736.   __asm
  737.   {
  738.     push eax
  739.     mov eax,push_addr_NtWriteVirtualMemory
  740.     add eax,2
  741.     mov eax,[eax+1]
  742.     mov push_addr_NtWriteVirtualMemory,eax
  743.     pop eax
  744.   }
  745.   KdPrint(("NtWriteVirtualMemory的第二个push地址为:%x\n",push_addr_NtWriteVirtualMemory));
  746. }

  748. #endif
  749. //-----------------------------------------------------------------------
  750. #ifndef KIFASTCALLENTRY_H
  751. #define KIFASTCALLENTRY_H
  752. #include "hook.h"
  753. #define _exe_name "Maple_Valley.ex"

  755. ULONG addr_KiFastCallEntry;
  756. ULONG ret_KiFastCallEntry;


  759. ANSI_STRING str_NtOpenProcess;
  760. ANSI_STRING estr_NtOpenProcess;
  761. PEPROCESS eprocess_NtOpenProcess;
  762. #pragma PAGEDCODE
  763. extern "C"
  764. NTSTATUS __declspec(naked) my_NtOpenProcess( __out PHANDLE  ProcessHandle,  
  765.                  __in ACCESS_MASK  DesiredAccess,  
  766.                  __in POBJECT_ATTRIBUTES  ObjectAttributes,  
  767.                  __in_opt PCLIENT_ID  ClientId   
  768.                 )
  769. {

  771.   __asm
  772.   {
  773.     pushad
  774.     pushfd
  775.   }
  776.   eprocess_NtOpenProcess=IoGetCurrentProcess();
  777.   RtlInitAnsiString(&estr_NtOpenProcess,(PCSZ)((ULONG)eprocess_NtOpenProcess+0x174));
  778.   KdPrint(("进程名:%s  push_1:%x  push_2:%x call:%x\r\n",((ULONG)eprocess_NtOpenProcess+0x174),push0_addr_NtOpenProcess,push_addr_NtOpenProecss,call_addr_NtOpenProecss));
  779.   RtlInitAnsiString(&str_NtOpenProcess,_exe_name);
  780.   if(RtlEqualString(&estr_NtOpenProcess,&str_NtOpenProcess,TRUE))
  781.   {
  782.     __asm
  783.     {
  784.       popfd
  785.       popad
  786.       push push0_addr_NtOpenProcess
  787.       push push_addr_NtOpenProecss
  788.       mov eax,addr_NtOpenProecss
  789.       add eax,0xF
  790.       push eax
  791.       jmp call_addr_NtOpenProecss
  792.     }
  793.   }
  794.   __asm
  795.   {
  796.     popfd
  797.     popad
  798.     jmp addr_NtOpenProecss
  799.   }
  800. //  return t_NtOpenProcess(ProcessHandle,DesiredAccess,ObjectAttributes,ClientId);
  801. }

  803. ANSI_STRING str_NtReadVirtualMemory;
  804. ANSI_STRING estr_NtReadVirtualMemory;
  805. PEPROCESS eprocess_NtReadVirtualMemory;
  806. #pragma PAGEDCODE
  807. extern "C"
  808. NTSTATUS __declspec(naked) my_NtReadVirtualMemory(__in HANDLE  ProcessHandle,  
  809.                     __in_opt PVOID  BaseAddress,  
  810.                     __out_bcount(BufferSize) PVOID  Buffer,  
  811.                     __in SIZE_T  BufferSize,  
  812.                     __out_opt PSIZE_T  NumberOfBytesRead   
  813.                     )
  814. {
  815.   __asm
  816.   {
  817.     pushad
  818.     pushf
  819.   }
  820.   eprocess_NtReadVirtualMemory=IoGetCurrentProcess();
  821.   RtlInitAnsiString(&estr_NtReadVirtualMemory,(PCSZ)((ULONG)eprocess_NtReadVirtualMemory+0X174));
  822.   RtlInitAnsiString(&str_NtReadVirtualMemory,_exe_name);
  823.   if(RtlEqualString(&estr_NtReadVirtualMemory,&str_NtReadVirtualMemory,TRUE))
  824.   {
  825.     __asm
  826.     {
  827.       popf
  828.       popad
  829.       push push0_addr_NtReadVirtualMemory
  830.       push push_addr_NtReadVirtualMemory
  831.       mov eax,addr_NtReadVirtualMemory
  832.       add eax,0xC
  833.       push eax
  834.       jmp call_addr_NtReadVirtualMemory
  835.     }
  836.   }
  837.   __asm
  838.   {
  839.     popf
  840.     popad
  841.     jmp addr_NtReadVirtualMemory
  842.   }
  843. //  return t_NtReadVirtualMemory(ProcessHandle,BaseAddress,Buffer,BufferSize,NumberOfBytesRead);
  844. }


  847. ANSI_STRING str_NtWriteVirtualMemory;
  848. ANSI_STRING estr_NtWriteVirtualMemory;
  849. PEPROCESS eprocess_NtWriteVirtualMemory;
  850. #pragma PAGEDCODE
  851. extern "C"
  852. NTSTATUS __declspec(naked) my_NtWriteVirtualMemory(__in HANDLE  ProcessHandle,  
  853.                      __in_opt PVOID  BaseAddress,  
  854.                      __in_bcount(BufferSize) CONST VOID *  Buffer,  
  855.                      __in SIZE_T  BufferSize,  
  856.                      __out_opt PSIZE_T  NumberOfBytesWritten   
  857.                            )
  858. {
  859.   __asm
  860.   {
  861.     pushad
  862.     pushf  
  863.   }
  864.   eprocess_NtWriteVirtualMemory=IoGetCurrentProcess();
  865.   RtlInitAnsiString(&estr_NtWriteVirtualMemory,(PCSZ)((ULONG)eprocess_NtWriteVirtualMemory+0x174));
  866.   RtlInitAnsiString(&str_NtWriteVirtualMemory,_exe_name);
  867.   if(RtlEqualString(&estr_NtWriteVirtualMemory,&str_NtWriteVirtualMemory,TRUE))
  868.   {
  869.     __asm
  870.     {
  871.       popf
  872.       popad
  873.       push push0_addr_NtWriteVirtualMemory
  874.       push push_addr_NtWriteVirtualMemory
  875.       mov eax,addr_NtWriteVirtualMemory
  876.       add eax,0xC
  877.       push eax
  878.       jmp call_addr_NtWriteVirtualMemory
  879.     }
  880.   }
  881.   __asm
  882.   {
  883.     popf
  884.     popad
  885.     jmp addr_NtWriteVirtualMemory
  886.   }
  887. //  return t_NtWriteVirtualMemory(ProcessHandle,BaseAddress,Buffer,BufferSize,NumberOfBytesWritten);
  888. }

  890. #pragma INITCODE
  891. VOID GetKiFastCallEntry()
  892. {
  893.   __asm
  894.   {
  895.     mov ecx, 0x176
  896.     rdmsr                 // read the value of the IA32_SYSENTER_EIP register
  897.     mov addr_KiFastCallEntry, eax
  898.   }
  899. }

  901. _jmpcode jmpcode_KiFastCallEntry;
  902. pjmpcode pjmpcode_KiFastCallEntry;
  903. #pragma PAGEDCODE
  904. VOID Hook_KiFastCallEntry()
  905. {
  906.   BYTE* _bp;
  907.   _bp=(BYTE*)addr_KiFastCallEntry;
  908.   do
  909.   {
  910.     if((*(_bp-10)==0x8B)&&(*(_bp-8)==0x8B)&&(*(_bp-3)==0x8A)&&(*(_bp)==0x8B)&&(*(_bp+1)==0x3F)&&(*(_bp+2)==0x8B))
  911.     {
  912.       break;
  913.     }
  914.     _bp++;
  915.   }while(1);
  916.   addr_KiFastCallEntry=(ULONG)_bp;
  917.   KdPrint(("向KiFastCallEntry的地址为:%x\n",addr_KiFastCallEntry));
  918.   ret_KiFastCallEntry=addr_KiFastCallEntry+5;
  919.   ULONG my_fun;
  920.   __asm
  921.   {
  922.     push eax
  923.     mov eax,My_KiFastCallEntry
  924.     mov my_fun,eax
  925.     pop eax
  926.   }
  927.   pjmpcode_KiFastCallEntry=(pjmpcode)addr_KiFastCallEntry;
  928.   jmpcode_KiFastCallEntry.e9=pjmpcode_KiFastCallEntry->e9;
  929.   jmpcode_KiFastCallEntry.jmpaddr=pjmpcode_KiFastCallEntry->jmpaddr;
  930.   PAGED_Open();
  931.   pjmpcode_KiFastCallEntry->e9=0xE9;
  932.   pjmpcode_KiFastCallEntry->jmpaddr=(ULONG)(my_fun-addr_KiFastCallEntry-5);
  933.   PAGED_Exit();
  934. }

  936. #pragma PAGEDCODE
  937. VOID __declspec(naked) My_KiFastCallEntry()
  938. {
  939.   __asm
  940.   {
  941.     pushad
  942.     pushf
  943.     mov edi,dword ptr [edi]
  944.     mov ebx,dword ptr [edi+eax*4]
  945.     cmp addr_NtOpenProecss,ebx
  946.     jz lib_NtOpenProcess
  947.     cmp addr_NtReadVirtualMemory,ebx
  948.     jz lib_NtReadVirtualMemory
  949.     cmp addr_NtWriteVirtualMemory,ebx
  950.     jz lib_NtWriteVirtualMemory
  951.     popf
  952.     popad
  953.     mov edi,dword ptr [edi]
  954.     mov ebx,dword ptr [edi+eax*4]
  955.     jmp ret_KiFastCallEntry
  956. lib_NtOpenProcess:
  957.     popf
  958.     popad
  959.     mov ebx,my_NtOpenProcess
  960.     jmp ret_KiFastCallEntry
  961. lib_NtReadVirtualMemory:
  962.     popf
  963.     popad
  964.     mov ebx,my_NtReadVirtualMemory
  965.     jmp ret_KiFastCallEntry
  966. lib_NtWriteVirtualMemory:
  967.     popf
  968.     popad
  969.     mov ebx,my_NtWriteVirtualMemory
  970.     jmp ret_KiFastCallEntry
  971.   }
  972. }

  974. #pragma PAGEDCODE
  975. VOID Un_KiFastCallEntry()
  976. {
  977.   PAGED_Open();
  978.   pjmpcode_KiFastCallEntry->e9=jmpcode_KiFastCallEntry.e9;
  979.   pjmpcode_KiFastCallEntry->jmpaddr=jmpcode_KiFastCallEntry.jmpaddr;
  980.   PAGED_Exit();
  981. }
  982. #endif
复制代码
回复

举报

andy03

该用户从未签到
发表于 2013-2-26 18:39:01 | 显示全部楼层
能多开吗这个,
回复 支持 反对

举报

返回列表 发新帖
点击按钮快速添加回复内容: 支持 高兴 激动 给力 加油 苦寻 生气 回帖 路过 感恩
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册账号

本版积分规则

小黑屋|手机版|Archiver|看流星社区 |网站地图

GMT+8, 2024-4-18 21:40

Powered by Kanliuxing X3.4

© 2010-2019 kanliuxing.com

快速回复 返回顶部 返回列表