开通博客赚积分
发布资源赚积分
分类

源码开发语言/平台
当前位置:首页 > 源码/资料 > Windows编程 > 钩子与API截获 > 查看源码
NTProcDrv.c
资源名称:apihook_Code.zip [点击查看]
上传用户:jstlsd
上传日期:2007-01-13
资源大小:186k
文件大小:8k
源码类别:

钩子与API截获

开发平台:

Visual C++

NTProcDrv.c:源码内容
  1. //---------------------------------------------------------------------------
  2. //
  3. // NTProcDrv.c
  4. //
  5. // SUBSYSTEM: 
  6. // System monitor
  7. // MODULE:    
  8. // Driver for monitoring NT process and DLLs mapping
  9. //              monitoring. 
  10. //
  11. // DESCRIPTION:
  12. //              This code is based on the James Finnegan抯 sample 
  13. //              (MSJ January 1999).
  14. //
  15. // AUTHOR: Ivo Ivanov (ivopi@hotmail.com), January 2002
  16. //                                                                         
  17. //---------------------------------------------------------------------------
  19. //---------------------------------------------------------------------------
  20. //
  21. // Includes
  22. //  
  23. //---------------------------------------------------------------------------
  24. #include <ntddk.h>
  26. //---------------------------------------------------------------------------
  27. //
  28. // Defines
  29. //  
  30. //---------------------------------------------------------------------------
  31. #define FILE_DEVICE_UNKNOWN             0x00000022
  32. #define IOCTL_UNKNOWN_BASE              FILE_DEVICE_UNKNOWN
  33. #define IOCTL_NTPROCDRV_GET_PROCINFO    CTL_CODE(IOCTL_UNKNOWN_BASE, 0x0800, METHOD_BUFFERED, FILE_READ_ACCESS | FILE_WRITE_ACCESS)
  35. //---------------------------------------------------------------------------
  36. //
  37. // Forward declaration
  38. //  
  39. //---------------------------------------------------------------------------
  41. void UnloadDriver(
  42. PDRIVER_OBJECT DriverObject
  43. );
  44. NTSTATUS DispatchCreateClose(
  45. IN PDEVICE_OBJECT DeviceObject, 
  46. IN PIRP Irp
  47. );
  48. NTSTATUS DispatchIoctl(
  49. IN PDEVICE_OBJECT DeviceObject, 
  50. IN PIRP Irp
  51. );
  53. //
  54. // process structure callbacks
  55. //  
  56. VOID ProcessCallback(
  57. IN HANDLE  hParentId, 
  58. IN HANDLE  hProcessId, 
  59. IN BOOLEAN bCreate
  60. );
  62. //
  63. // Structure for process callback information
  64. //
  65. typedef struct _CallbackInfo
  66. {
  67.     HANDLE  hParentId;
  68.     HANDLE  hProcessId;
  69.     BOOLEAN bCreate;
  70. }CALLBACK_INFO, *PCALLBACK_INFO;
  72. //
  73. // Private storage 
  74. //
  75. typedef struct _DEVICE_EXTENSION 
  76. {
  77.     PDEVICE_OBJECT DeviceObject;
  78.     HANDLE  hProcessHandle;
  79.     PKEVENT ProcessEvent;
  81.     HANDLE  hPParentId;
  82.     HANDLE  hPProcessId;
  83.     BOOLEAN bPCreate;
  84. } DEVICE_EXTENSION, *PDEVICE_EXTENSION;
  87. PDEVICE_OBJECT g_pDeviceObject;
  89. //
  90. // The main entry point of the driver module
  91. //
  92. NTSTATUS DriverEntry(
  93. IN PDRIVER_OBJECT DriverObject, 
  94. IN PUNICODE_STRING RegistryPath
  95. )
  96. {
  97.     NTSTATUS        ntStatus;
  98.     UNICODE_STRING  uszDriverString;
  99.     UNICODE_STRING  uszDeviceString;
  100.     UNICODE_STRING  uszProcessEventString;
  102.     PDEVICE_OBJECT    pDeviceObject;
  103.     PDEVICE_EXTENSION extension;
  104.     
  105. // Point uszDriverString at the driver name
  106.     RtlInitUnicodeString(&uszDriverString, L"\Device\NTProcDrv");
  108.     // Create and initialize device object
  109.     ntStatus = IoCreateDevice(
  110. DriverObject,
  111.         sizeof(DEVICE_EXTENSION),
  112.         &uszDriverString,
  113.         FILE_DEVICE_UNKNOWN,
  114.         0,
  115.         FALSE,
  116.         &pDeviceObject
  117. );
  118.     if(ntStatus != STATUS_SUCCESS)
  119.         return ntStatus;
  120.     
  121. // Assign extension variable
  122.     extension = pDeviceObject->DeviceExtension;
  123.     
  124. // Point uszDeviceString at the device name
  125.     RtlInitUnicodeString(&uszDeviceString, L"\DosDevices\NTProcDrv");
  126.     
  127. // Create symbolic link to the user-visible name
  128.     ntStatus = IoCreateSymbolicLink(&uszDeviceString, &uszDriverString);
  130.     if(ntStatus != STATUS_SUCCESS)
  131.     {
  132.         // Delete device object if not successful
  133.         IoDeleteDevice(pDeviceObject);
  134.         return ntStatus;
  135.     }
  137.     // Assign global pointer to the device object for use by the callback functions
  138.     g_pDeviceObject = pDeviceObject;
  140.     // Load structure to point to IRP handlers
  141.     DriverObject->DriverUnload                         = UnloadDriver;
  142.     DriverObject->MajorFunction[IRP_MJ_CREATE]         = DispatchCreateClose;
  143.     DriverObject->MajorFunction[IRP_MJ_CLOSE]          = DispatchCreateClose;
  144.     DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = DispatchIoctl;
  146.     // Create event for user-mode processes to monitor
  147.     RtlInitUnicodeString(&uszProcessEventString, L"\BaseNamedObjects\NTProcDrvProcessEvent");
  148.     extension->ProcessEvent = IoCreateNotificationEvent (&uszProcessEventString, &extension->hProcessHandle);
  150.     // Clear it out
  151.     KeClearEvent(extension->ProcessEvent);
  153.     // Set up callback routines
  154.     ntStatus = PsSetCreateProcessNotifyRoutine(ProcessCallback, FALSE);
  156.     // Return success
  157.     return ntStatus;
  158. }
  161. //
  162. // Create and close routine
  163. //
  164. NTSTATUS DispatchCreateClose(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp)
  165. {
  166.     Irp->IoStatus.Status = STATUS_SUCCESS;
  167.     Irp->IoStatus.Information=0;
  169.     IoCompleteRequest(Irp, IO_NO_INCREMENT);
  170.     return STATUS_SUCCESS;
  171. }
  174. //
  175. // Process function callback
  176. //
  177. VOID ProcessCallback(
  178. IN HANDLE  hParentId, 
  179. IN HANDLE  hProcessId, 
  180. IN BOOLEAN bCreate
  181. )
  182. {
  183.     PDEVICE_EXTENSION extension;
  185.     // Assign extension variable
  186.     extension = g_pDeviceObject->DeviceExtension;
  188.     // Assign current values into device extension.  
  189. // User-mode apps will pick it up using DeviceIoControl calls.
  190.     extension->hPParentId  = hParentId;
  191.     extension->hPProcessId = hProcessId;
  192.     extension->bPCreate    = bCreate;
  194.     // Pulse the event so any user-mode apps listening will know something
  195.     // interesting has happened.  Sadly, user-mode apps can't reset a KM
  196.     // event, which is why we're pulsing it here...
  197.     KeSetEvent(extension->ProcessEvent, 0, FALSE);
  198.     KeClearEvent(extension->ProcessEvent);
  199. }
  203. NTSTATUS DispatchIoctl(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp)
  204. {
  205.     NTSTATUS              ntStatus = STATUS_UNSUCCESSFUL;
  206.     PIO_STACK_LOCATION    irpStack  = IoGetCurrentIrpStackLocation(Irp);
  207.     PDEVICE_EXTENSION     extension = DeviceObject->DeviceExtension;
  208.     PCALLBACK_INFO        pCallbackInfo;
  209. //
  210.     // These IOCTL handlers get the current data out of the device
  211.     // extension structure.  
  212. //
  213.     switch(irpStack->Parameters.DeviceIoControl.IoControlCode)
  214.     {
  215.         case IOCTL_NTPROCDRV_GET_PROCINFO:
  216.             if(irpStack->Parameters.DeviceIoControl.OutputBufferLength >= sizeof(CALLBACK_INFO))
  217.             {
  218.                 pCallbackInfo = Irp->AssociatedIrp.SystemBuffer;
  219.                 pCallbackInfo->hParentId  = extension->hPParentId;
  220.                 pCallbackInfo->hProcessId = extension->hPProcessId;
  221.                 pCallbackInfo->bCreate    = extension->bPCreate;
  222.     
  223.                 ntStatus = STATUS_SUCCESS;
  224.             }
  225.             break;
  227.         default:
  228.             break;
  229.     }
  231.     Irp->IoStatus.Status = ntStatus;
  232.    
  233.     // Set number of bytes to copy back to user-mode
  234.     if(ntStatus == STATUS_SUCCESS)
  235.         Irp->IoStatus.Information = irpStack->Parameters.DeviceIoControl.OutputBufferLength;
  236.     else
  237.         Irp->IoStatus.Information = 0;
  239.     IoCompleteRequest(Irp, IO_NO_INCREMENT);
  240.     return ntStatus;
  241. }
  244. //
  245. // Driver unload routine
  246. //
  247. void UnloadDriver(IN PDRIVER_OBJECT DriverObject)
  248. {
  249.     UNICODE_STRING  uszDeviceString;
  250. NTSTATUS        ntStatus;
  252.     // restore the call back routine, thus givinig chance to the 
  253. // user mode application to unload dynamically the driver
  254.     ntStatus = PsSetCreateProcessNotifyRoutine(ProcessCallback, TRUE);
  256.     IoDeleteDevice(DriverObject->DeviceObject);
  258.     RtlInitUnicodeString(&uszDeviceString, L"\DosDevices\NTProcDrv");
  259.     IoDeleteSymbolicLink(&uszDeviceString);
  260. }
  261. //----------------------End of file -----------------------------------------