流星大哥帮小弟看看哪里不对了。超级郁闷

a289672082

蛋疼死了，按照以前学的方法写的内联HOOK，现在怎么用不了了，调试了几十次了还是蓝屏，加载过一段时间后蓝屏，到底哪里错了啊，自定义的函数找不到哪里错了:

1. ULONG GetNt_CurAddr(LONG Suoyin/*比如 0X7A*/)//获取当前SSDT_NtOpenProcess的当前地址
   
2. 
   
3.     {
   
4.     LONG * SSDT_Adr;
   
5.     LONG SSDT_NtOpenProcess_Cur_Addr,t_addr;
   
6.      //读取SSDT表中索引值为0xXXX的函数
   
7.     t_addr=(LONG)KeServiceDescriptorTable->ServiceTableBase;
   
8.      SSDT_Adr=(PLONG)(t_addr+Suoyin*4);
   
9.      SSDT_NtOpenProcess_Cur_Addr=*SSDT_Adr;       
   
10.     return SSDT_NtOpenProcess_Cur_Addr;
    
11.     }

复制代码

Q

1. 
   
2. 
   
3. 
   
4. 
   
5. HANDLE Getpid;
   
6. PEPROCESS PEPE;
   
7. ULONG ADR;
   
8. #pragma PAGECODE
   
9. //声明自己的NtOpenProcess函数
   
10. [code]extern "C" NTSTATUS __declspec(naked) __stdcall NOWOpenProcess(
    
11.         OUT     PHANDLE ProcessHandle,
    
12.         IN     ACCESS_MASK DesiredAccess,
    
13.         IN     POBJECT_ATTRIBUTES ObjectAttributes,
    
14.         IN     PCLIENT_ID ClientId ) {
    
15.                 NTSTATUS     rc;
    
16.                 HANDLE OPENPID;
    
17.                
    
18.        
    
19. if (ClientId!=NULL)
    
20. {
    
21.         OPENPID=ClientId->UniqueProcess;
    
22.         KdPrint(("现在被打开的进程PID=%d",*((int*)OPENPID)));
    
23. //Getpid是在用户层传进来的进程ID
    
24.         if (OPENPID==Getpid)
    
25.         {
    
26.                 KdPrint(("发现进程被打开，被保护的进程PID是：%d",(int*)Getpid));
    
27.                 PEPE=PsGetCurrentProcess();
    
28.                 KdPrint(("进程__%s__企图打开被保护的进程",(PTSTR)((ULONG)PEPE+0x174)));
    
29.                 ProcessHandle=NULL;
    
30.                 __asm{
    
31.                         retn 0x10
    
32.                 }
    
33.         }
    
34. }
    
35. 
    
36. 
    
37. __asm{
    
38.                 push    0x0C4
    
39.                 mov eax ,ADR       
    
40.                         add eax,0x5
    
41.                 jmp eax
    
42. 
    
43. }
    
44. 
    
45. }

复制代码

入口函数:

1. extern "C" NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject,PUNICODE_STRING B) //TYPEDEF LONG NTSTATUS
   
2. { //////////////////////////////////////////////////////////////////////////
   
3. 
   
4. pDriverObject->MajorFunction[IRP_MJ_CREATE]=ddk_DispatchRoutine_CONTROL; //IRP_MJ_CREATE相关IRP处理函数
   
5. pDriverObject->MajorFunction[IRP_MJ_CLOSE]=ddk_DispatchRoutine_CONTROL; //IRP_MJ_CREATE相关IRP处理函数
   
6. pDriverObject->MajorFunction[IRP_MJ_READ]=ddk_DispatchRoutine_CONTROL; //IRP_MJ_CREATE相关IRP处理函数
   
7. pDriverObject->MajorFunction[IRP_MJ_CLOSE]=ddk_DispatchRoutine_CONTROL; //IRP_MJ_CREATE相关IRP处理函数
   
8. pDriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL]=ddk_DispatchRoutine_CONTROL; //IRP_MJ_CREATE相关IRP处理函数
   
9. CreateMyDevice(pDriverObject);//创建相应的设备
   
10. pDriverObject->DriverUnload=DDK_Unload;
    
11. return (1);
    
12. }

复制代码

1. case Hook_code:
   
2.                         {
   
3.                                 int * InputBuffer = (int*)pIrp->AssociatedIrp.SystemBuffer;
   
4.                                 _asm
   
5.                                 {
   
6.                                         mov eax,InputBuffer
   
7.                                                 mov ebx,[eax]
   
8.                                         mov Getpid,ebx
   
9. 
   
10.                                 }
    
11.                  
    
12.                 ADR=GetNt_CurAddr(0x07a);
    
13.                            OldNtopenprocess =(NTOPENPROCESS*)ADR;
    
14.                                 JMPCODE SAVECODE1;
    
15.                                 PJMPCODE CODE2;
    
16.                                 CODE2=(PJMPCODE)ADR;
    
17.                                 ULONG JMPADR;
    
18.                                 JMPADR=(ULONG)NOWOpenProcess-ADR-5;
    
19.                                 __asm //去掉页面保护
    
20.                                 {
    
21.                                         cli
    
22.                                                 mov eax,cr0
    
23.                                                 and eax,not 10000h //and eax,0FFFEFFFFh
    
24.                                                 mov cr0,eax
    
25. 
    
26.                                 }
    
27.                                 CODE2->E9=0xe9;
    
28.                                 CODE2->JMPADDR=JMPADR;
    
29.                                 __asm //恢复页保护
    
30.                                 {
    
31.                                         mov eax,cr0
    
32.                                                 or  eax,10000h //or eax,not 0FFFEFFFFh
    
33.                                                 mov cr0,eax
    
34.                                                 sti
    
35.                                 }
    
36.                info = 4;
    
37.                                
    
38.                                 break;
    
39.                         }

复制代码

小小思维

这要用windbg调试下，你自己会写代码就可以调试下，输出一些数值看看~

a289672082

回复 2# 小小思维


     OPENPID输出的进程PID不正常。。不知道哪里错了，难道是函数定义错了？

a289672082

[img][/img] 把自己写的代码全删除了，复制成了教程里的代码，居然也是这样