开通博客赚积分
发布资源赚积分
分类

源码开发语言/平台
当前位置:首页 > 源码/资料 > Windows编程 > 进程与线程 > 查看源码
kmodule.c
资源名称:kilster.rar [点击查看]
上传用户:nobole
上传日期:2013-04-01
资源大小:481k
文件大小:21k
源码类别:

进程与线程

开发平台:

Visual C++

kmodule.c:源码内容
  2. // This module hooks the internals r thread's swapcontext 
  3. // in order to enumerate all running threads (and processes)
  4. // in the system. This is intended to detect some hidden processes
  5. // by rootkits (like fu), etc.
  6. //
  7. // This is proof-of-concept software, and no warranty is given
  8. // Use at your own risk.
  9. //
  10. // wowocock, there@citiz.net, 2005
  11. //
  12. #ifdef ALLOC_DATA_PRAGMA
  13.   #pragma data_seg("PAGE")
  14. #endif
  15. #include <ntddk.h>
  16. #include <windef.h>
  18. typedef PVOID *PPVOID;
  19. #include "w2k_def_jr.h"
  21. const WCHAR devLink[]  = L"\??\Myklister";
  22. const WCHAR devName[]  = L"\Device\Myklister";
  23. #include "kmodule.h"
  26. ServiceTableInfo SrvTables[MAX_SERVICETABLES];//kmodule.h
  27. DWORD nSrvTables = 0;
  29. KLISTER_PROCINFO procs[MAX_PROCS];//kmodule.h
  30. ULONG gOsMajorVersion = 0;
  31. ULONG gOsMinorVersion = 0;
  32. /*线程所在进程
  33. lkd>dt _ETHREAD
  34. +000 struct _KTHREAD Tcb
  35. +034 struct _KAPC_STATE ApcState
  36. +044 struct _KPROCESS *Process
  38. +22c struct _EPROCESS *ThreadsProcess
  39. KTHREAD 偏移 +044 处的 KPROCESS *Process ,是指向线程所在进程的 KPROCESS 结构的指针。
  40. KTHREAD 偏移 +22c 处的 EPROCESS *ThreadsProcess ,是指向线程所在进程的 EPROCESS 结构的指针。
  41. 我们 KPROCESS 结构在 EPROCESS 结构中,并且位于 EPROCESS 结构开始处。+044 *Process 和 
  42. +22c *ThreadsProcess 指向的是同一地址。
  43. */
  44. DWORD gThreadsProcessOffset =0x44;//
  45. DWORD gCidOffset =0;
  47. DWORD gNprocs = 0;
  48. PEPROCESS gDeletedEProcess = NULL;//typedef struct _EPROCESS  w2k_def_jr.h
  49. PEPROCESS gBakDeletedEProcess = NULL;
  50. #define SYSNAME "System"
  52. #define IS_WINDOWS2000() 
  53. ((gOsMajorVersion == 5) && (gOsMinorVersion == 0))//??
  55. #define IS_WINDOWSXP() 
  56. ((gOsMajorVersion == 5) && (gOsMinorVersion == 1))
  58. #define IS_WINDOWSXP_OR_LATER() 
  59. (((gOsMajorVersion == 5) && (gOsMinorVersion >= 1)) || 
  60. (gOsMajorVersion > 5))
  62. #define IS_WINDOWSDOTNET_OR_LATER() 
  63. (((gOsMajorVersion == 5) && (gOsMinorVersion >= 2)) || 
  64. (gOsMajorVersion > 5))
  65. NTKERNELAPI//?????????????????
  66. NTSTATUS
  67. NTAPI
  68. PsLookupThreadByThreadId (
  69.         IN PVOID        UniqueThreadId,
  70.         OUT PETHREAD    *Thread
  71.         );
  72. NTSTATUS PsLookupProcessByProcessId(IN ULONG ulProcId, OUT PEPROCESS * pEProcess);
  73. void insertProc (PKLISTER_PROCINFO obAddr);
  74. void deleteProc (PEPROCESS obAddr);
  76. ULONG ProcessNameOffset = 0;///////////////////?????
  77. ULONG GetProcessNameOffset()// 得到进程名位 <<内核级HOOK的几种实现与应用>>
  78. {
  79. PEPROCESS curproc;
  80. int i;
  82. curproc = PsGetCurrentProcess();//PsGetCurrentProcess returns a pointer to the process of the current thread
  84. //
  85. // Scan for 12KB, hopping the KPEB never grows that big!
  86. //
  87. for( i = 0; i < 3*PAGE_SIZE; i++ ) {
  89.   if( !strncmp( SYSNAME, (PCHAR) curproc + i, strlen(SYSNAME) )) {//#define SYSNAME "System"
  91.    return i;//返回
  92.   }
  93. }
  95. //
  96. // Name not found - oh, well
  97. //
  98. return 0;
  99. }
  101. ///////////////////////////////////////////////////////////////////
  102. //说明:
  103. //ProcessData is the function that gets the required data from the _KTHREAD, _ETHREAD and _EPROCESS structures and stores the data in a separate chaining hash table. 
  104. //I am using the threads virtual memory address as the key to the hash table (first I used the thread ID, however in theory one could modify a malicious thread to have the same ID as some non-malicious thread) and a thread is only inserted once during its lifetime. Because I use the threads memory address as the key I have to make sure that the entry is removed from the table when the thread is terminated since a new thread can be allocated to the same memory address. When a thread is terminating it signals this by setting the Terminated flag in the CrossThreadFlags entry which is part of the _ETHREAD structure. The ProcessData function looks like this:
  106. void __stdcall ProcessData(DWORD * pEthread)//请查看xfocus:<<Detecting Hidden Processes by Hooking the SwapContext Function>>
  107. {
  108. // NOTICE: WinDbg gives offsets in BYTEs, we use DWORDS
  109. DWORD * pEprocess = (DWORD *)*(DWORD *)((PUCHAR)pEthread+gThreadsProcessOffset);//(pEthread->ThreadsProcess);
  110. DWORD * pCid = (DWORD *)((PUCHAR)pEthread+gCidOffset);//&(pEthread->Cid);
  111. DWORD key;
  112. KLISTER_PROCINFO data;
  113. DbgPrint("ProcessDatan");//jution
  114.     /*PETHREAD pethread = (PETHREAD)pEthread;
  115. DWORD * ServiceTable =(DWORD *)pethread->Tcb.pServiceDescriptorTable->ntoskrnl.ServiceTable;
  116. DWORD nServiceLimit = pethread->Tcb.pServiceDescriptorTable->ntoskrnl.ServiceLimit;*/
  118. /*insertServTable ((int)*(pCid+1);,
  119.   (int)pEthread->Tcb.pServiceDescriptorTable->ntoskrnl.ServiceTable,
  120.   (int)pEthread->Tcb.pServiceDescriptorTable->ntoskrnl.ServiceLimit);*/
  122.     if(gDeletedEProcess!= NULL)
  123. {
  124.   gBakDeletedEProcess = gDeletedEProcess;
  125.   deleteProc(gDeletedEProcess);
  126.   gDeletedEProcess = NULL;
  127.   return;
  128. }
  129. if((DWORD*)gBakDeletedEProcess == pEprocess) return;
  130. // FIXME: A thread could be hidden by setting threadsProcess or CID
  131. // field as NULL!
  132. if (pEprocess != NULL && pCid != NULL)
  133. {
  134.   data.obAddr =  (DWORD)pEprocess;
  135.   data.pid = *(pCid);
  136.   data.tid = *(pCid+1);
  137.   //data.imageName = (pEprocess->ImageFileName);
  138.   //strncpy(data.imageName,pEprocess->ImageFileName,16);
  139.   strncpy(data.name,((PUCHAR)pEprocess+ProcessNameOffset),16);
  140.   DbgPrint("pID:%08x tID:%8x %sn",data.pid,data.tid,data.name);
  141.   insertProc(&data);
  142.   // The thread is terminated so remove it from the
  143.   // hashtable.
  144.   /*if (*(pEthread + offsets.crossThreadFlags) & 1)
  145.   {
  146.   Remove(key, pHashTable);
  147.   }
  148.   else
  149.   {
  150.   Insert(key, &data, pHashTable);
  151.   }*/
  152. }
  153. }
  157. PBYTE GoBackAddr = NULL;
  158. PBYTE ChangAddr = NULL;
  159. PBYTE CallContextAddr = NULL;
  160. DWORD CallContextOffset = 0;
  162. __declspec(naked) VOID HookSwap()/////请查看pjf的《线程调度的监视》
  163. { DbgPrint("HookSwap()n");//jution ok
  164. _asm 
  165. {
  166.   pushad
  167.    pushfd
  168.    cli
  169. }
  170. DbgPrint("Switch out!n");//jution  ????????????
  171. _asm
  172. {
  173.   // EDI holds the thread whose context we will switch out.
  174.   push edi
  175.    call ProcessData
  176. }
  177. DbgPrint("Switch in!n");//jution
  178. _asm
  179. {
  180.   // ESI holds the thread whose context we will switch in.
  181.   push esi
  182.    call ProcessData
  183. }
  185. _asm 
  186. {  
  187.   sti
  188.    popfd
  189.    popad
  190. }
  191. _asm jmp DWORD PTR[GoBackAddr]
  192. }
  194. NTSYSAPI WORD NtBuildNumber;
  195. PCHAR GetSwapAddr()
  196. {
  197. PCHAR res = 0;
  198. NTSTATUS  Status;
  199. PETHREAD Thread;
  201. if (NtBuildNumber <= 2195)
  202. Status = PsLookupThreadByThreadId((PVOID)4, &(PETHREAD)Thread);
  203. else
  204. Status = PsLookupThreadByThreadId((PVOID)8, &(PETHREAD)Thread);
  206. if (NT_SUCCESS(Status))
  207. {
  208. if (MmIsAddressValid(Thread))
  209. {
  210. res = (PCHAR)(Thread->Tcb.KernelStack);
  211.  if(IS_WINDOWSDOTNET_OR_LATER())
  212.  res = (PCHAR)*(DWORD*)((PCHAR)Thread+0x20);//add for win2003 Tcb.KernelStack
  213. }
  214. if (MmIsAddressValid(res+8))
  215. //res = *(PULONG(res+8));
  216. {
  217. _asm
  218. {
  219. mov eax,res
  220. add eax,8
  221. mov eax,[eax]
  222. mov res,eax
  223. }
  224. }
  225. else
  226. {
  227. res = 0;
  228. return NULL;
  229. }
  230. }
  231.    
  232. _asm
  233. {
  234. mov eax,res
  235. sub eax,5
  236. mov ChangAddr,eax
  237. mov edx,[eax+1]
  238. mov CallContextOffset,edx
  239. add eax,edx
  240. add eax,5
  241. mov GoBackAddr,eax
  242. mov res,eax
  244. }
  245. return res;
  246. }
  248. BOOL  HookSwapFunction(BOOL flag)
  249. {DbgPrint("HookSwapFunction()n");//jution
  251. if (flag == TRUE)/////////////////
  253. KIRQL OldIrql=0;
  254. DWORD NewOffset;//HookSwap-ChangAddr-5;
  255. _asm
  256. {
  257. mov eax,HookSwap
  258.     mov edx,ChangAddr
  259.     sub eax,edx
  260.     sub eax,5
  261.     mov NewOffset,eax
  262.   }
  263.   DbgPrint("HookSwapFunction333");//jution
  264. PAGED_CODE()
  265. ASSERT(KeGetCurrentIrql()<=DISPATCH_LEVEL);
  266. KeRaiseIrql(2,&OldIrql);//HIGH_LEVEL
  267.  //Bug Check 0x50: PAGE_FAULT_IN_NONPAGED_AREA
  268. //The PAGE_FAULT_IN_NONPAGED_AREA bug check has a value of 0x00000050. This indicates that invalid system memory has been referenced.
  270. //驱动程序通过调用ExAllocatePool获得的非页式系统空间内存
  271.  _asm
  272.   {
  273.    mov eax,ChangAddr
  274.   push NewOffset//??????????????????????????????????????????????????????????????????????
  275.  pop dword ptr[eax+1]//??????????????????????????????????????????????????????????????????????
  276. //mov edx,NewOffset
  277. // mov dword ptr[eax+1],edx//????????????????????????????
  278.  }
  280. KeLowerIrql(OldIrql);
  282. }
  283. //Bug Check 0xD1: DRIVER_IRQL_NOT_LESS_OR_EQUAL
  285. else
  287.   KIRQL OldIrql=0;
  288.   KeRaiseIrql(2,&OldIrql);///HIGH_LEVEL
  289.   _asm
  290.   {
  291.    mov eax,ChangAddr
  292.     push CallContextOffset
  293.     pop dword ptr[eax+1]
  294.   }
  295.   KeLowerIrql(OldIrql);
  296.   DbgPrint("HookSwapFunctionFALSE");//jution
  297. }
  299. }
  301. void insertProc (PKLISTER_PROCINFO pdata)
  302. {
  303. DWORD i;
  304. KIRQL OldIrql=0;
  305. if( gNprocs >= MAX_PROCS)
  306.   return;
  307. KeRaiseIrql(2,&OldIrql);////提升当前IRQL,防止被中断;
  308. DbgPrint("insertProc");//jution
  309. for (i = 0; i < gNprocs; i++)
  310.   if (procs[i].obAddr == pdata->obAddr) return;
  312. procs [gNprocs].pid = pdata->pid;
  313. procs [gNprocs].tid = pdata->tid;
  314. procs [gNprocs].obAddr = pdata->obAddr;
  315. strncpy (procs [gNprocs].name, pdata->name, 16);
  316. gNprocs++;
  317. KeLowerIrql(OldIrql);
  318. }
  320. void deleteProc (PEPROCESS obAddr)
  321. {
  322. DWORD i;
  323. KIRQL OldIrql=0;
  324. if( gNprocs == 0)
  325.   return;
  327. DbgPrint("deleteProc");//jution
  328. KeRaiseIrql(2,&OldIrql);
  329. for (i = 0; i < gNprocs; i++)
  330.   if (procs[i].obAddr == (int)obAddr) 
  331.   {
  332.    procs [i].pid = 0;
  333.    procs [i].tid = 0;
  334.    procs [i].obAddr = 0;
  335.    RtlZeroMemory (procs [i].name, 16);
  336.    break;
  337.   }
  338.   if(i == gNprocs) return;
  339.     memmove(&procs[i],&procs[i+1],(gNprocs-i-1)*sizeof(KLISTER_PROCINFO));
  341. procs [gNprocs-1].pid = 0;
  342. procs [gNprocs-1].tid = 0;
  343. procs [gNprocs-1].obAddr = 0;
  344. RtlZeroMemory (procs [gNprocs-1].name, 16);
  345. gNprocs--;
  346. KeLowerIrql(OldIrql);
  347. }
  349. void insertServTable (int tid, int addr, int n) {// DWORD addr jution change
  350. DWORD i;
  351. DbgPrint("insertServTable");//jution
  352. for (i = 0; i < nSrvTables; i++)
  353.   if (SrvTables[i].addr==addr) {///d:ntddkjutionkilsterkmodule.c(328) : warning C4018: '==' : signed/unsigned mismatch
  354.   
  355.   // we ignore buffer overflow here ;)
  356. //   if (SrvTables[i].nthreads < MAX_THREADS)
  357. //    SrvTables[i].threads[SrvTables[i].nthreads] = tid;
  358.    
  359.    SrvTables[i].n = n;
  360.    SrvTables[i].nthreads++;
  361.    return;
  362.   }
  364. SrvTables[nSrvTables].addr = addr;
  365. SrvTables[i].n = n;
  366. //SrvTables[nSrvTables].threads[0] = tid;
  367. SrvTables[nSrvTables].nthreads = 1;
  368. nSrvTables++;
  369. }
  372. PEPROCESS processObject (PETHREAD ethread) {
  373. return  (PEPROCESS)(ethread->Tcb.ApcState.Process);
  374. }
  376. /*
  377. char* processName (PEPROCESS eprocess) {
  379. return &eprocess->ImageFileName[0];
  380. }
  381. */ 
  383. void createProcList () {
  384. int i;
  385.     PVOID obj;
  386. PETHREAD pethread;
  388. gNprocs = 0;
  389. nSrvTables = 0;
  390. DbgPrint("createProcList");//jution
  391. /*for (obj = pKiWaitInListHead->Flink;
  392.   obj && obj != pKiWaitInListHead; obj = ((PLIST_ENTRY)obj)->Flink) {
  394.    pethread = (PETHREAD) ((char*)obj - WAITLIST_OFFSET);
  395.    insertServTable ((int)pethread->Cid.UniqueThread,
  396.     (int)pethread->Tcb.pServiceDescriptorTable->ntoskrnl.ServiceTable,
  397.     (int)pethread->Tcb.pServiceDescriptorTable->ntoskrnl.ServiceLimit);
  399.    insertProc (processObject (pethread));
  400. }
  402. for (obj = pKiWaitOutListHead->Flink;
  403.   obj && obj != pKiWaitOutListHead; obj = ((PLIST_ENTRY)obj)->Flink) {
  405.    pethread = (PETHREAD) ((char*)obj - WAITLIST_OFFSET);
  406.    insertServTable ((int)pethread->Cid.UniqueThread,
  407.     (int)pethread->Tcb.pServiceDescriptorTable->ntoskrnl.ServiceTable,
  408.     (int)pethread->Tcb.pServiceDescriptorTable->ntoskrnl.ServiceLimit);
  410.    insertProc (processObject (pethread));
  411. }
  413. for (i = 0; i < 32; i++) 
  414.    for (obj = pKiDispatcherReadyListHead[i].Flink;
  415.      obj != &pKiDispatcherReadyListHead[i];
  416.      obj = ((PLIST_ENTRY)obj)->Flink) {
  418.       
  419.      pethread = (PETHREAD) ((char*)obj - WAITLIST_OFFSET);
  420.      insertServTable ((int)pethread->Cid.UniqueThread,
  421.       (int)pethread->Tcb.pServiceDescriptorTable->ntoskrnl.ServiceTable,
  422.       (int)pethread->Tcb.pServiceDescriptorTable->ntoskrnl.ServiceLimit);
  423.      insertProc (processObject (pethread));
  424.            
  425.     
  426.      }*/
  427.   
  428. }
  431. PIDTGATE readIDT() {
  432. IDTR idtr;
  434. __asm {
  435.   sidt idtr;
  436. }
  438. return(PIDTGATE) idtr.base;
  439. }
  442. NTSTATUS klisterDeviceControl(
  443.     IN PDEVICE_OBJECT pDeviceObject,
  444.     IN ULONG IoControlCode, 
  445.     IN PVOID pInputBuffer, 
  446.     IN ULONG InputBufferLength, 
  447.     OUT PVOID pOutputBuffer, 
  448.     IN ULONG OutputBufferLength, 
  449.     OUT PIO_STATUS_BLOCK IoStatus
  450.     
  451.     ) 
  452. {
  454.     DWORD maxnproc, maxTbls, n, i, STn;
  455. PKLISTER_INIT pkl_init;
  457. IoStatus->Status = STATUS_SUCCESS;
  458.     IoStatus->Information = 0;
  460.     switch ( IoControlCode ) 
  461. {
  463. case IOCTL_KLISTER_INIT:
  465.   if ((InputBufferLength != sizeof(KLISTER_INIT) ) || (pInputBuffer == NULL))
  466.   {
  467.    IoStatus->Status = STATUS_INVALID_BUFFER_SIZE;
  468.    break;
  469.   }
  470.   
  471.   pkl_init = (PKLISTER_INIT) pInputBuffer;
  473.   /*pKiWaitInListHead  = (PLIST_ENTRY) pkl_init->pKiWaitInListHead_addr;
  474.   pKiWaitOutListHead  = (PLIST_ENTRY) pkl_init->pKiWaitOutListHead_addr;
  475.   pKiDispatcherReadyListHead  = (PLIST_ENTRY) pkl_init->pKiDispatcherReadyListHead_addr;
  477.   KdPrint ((" pKiWaitInListHead: %#xn", pKiWaitInListHead));
  478.   KdPrint ((" pKiWaitOutListHead: %#xn", pKiWaitOutListHead));
  479.   KdPrint ((" pKiDispatcherReadyListHead: %#xn", pKiDispatcherReadyListHead));*/
  481.   /*for (i = 0; i < MAX_PROCS; i++)
  482.    procs[i].pid = 0;*/
  483.      //RtlZeroMemory(procs,sizeof(KLISTER_PROCINFO)*MAX_PROCS);
  485.   for (i = 0; i < MAX_SERVICETABLES; i++)
  486.    SrvTables[i].addr = 0;
  488. DbgPrint("IOCTL_KLISTER_INITn");//jution
  490. break;
  493. case IOCTL_KLISTER_LISTPROC:
  494.   
  495.   if ((OutputBufferLength < sizeof (KLISTER_PROCINFO)) || (pOutputBuffer == NULL))
  496.   {
  497.    IoStatus->Status = STATUS_INVALID_BUFFER_SIZE;
  498.    break;
  499.   
  500.   }
  501.  DbgPrint("IOCTL_KLISTER_LISTPROCn");//jution
  502.           
  503.   maxnproc = OutputBufferLength/sizeof (KLISTER_PROCINFO);
  504.   //createProcList();
  505.   if (gNprocs > maxnproc)
  506.    n = maxnproc*sizeof (KLISTER_PROCINFO);
  507.   else 
  508.    n = gNprocs * sizeof (KLISTER_PROCINFO);
  510.   if (OutputBufferLength < n)
  511.   {
  512.    IoStatus->Status = STATUS_INVALID_BUFFER_SIZE;
  513.    break;
  515.   }
  516.   memcpy (pOutputBuffer, (PVOID) &procs, n);
  517.   
  518.   IoStatus->Information = n;
  520. break; 
  522. case IOCTL_KLISTER_DUMP_IDT:
  523.   if ((OutputBufferLength < sizeof (IDTGATE)*IDT_NGATES)
  524.    || (pOutputBuffer == NULL))
  525.   {
  526.    IoStatus->Status = STATUS_INVALID_BUFFER_SIZE;
  527.    break;
  528.   
  529.   }
  530.   
  532.   n = sizeof (IDTGATE) * IDT_NGATES;
  533.   memcpy (pOutputBuffer, (PVOID) readIDT(), n);
  534.   
  535.   IoStatus->Information = n;  
  537. break;
  539. case IOCTL_KLISTER_FIND_ST:
  540.   if ((OutputBufferLength < sizeof (ServiceTableInfo))
  541.    || (pOutputBuffer == NULL))
  542.   {
  543.    IoStatus->Status = STATUS_INVALID_BUFFER_SIZE;
  544.    break;
  545.   
  546.   }
  547.     
  548.   maxTbls = OutputBufferLength/sizeof(ServiceTableInfo);
  549.   createProcList();
  551.   if (nSrvTables > maxTbls) n = maxTbls*sizeof (ServiceTableInfo);
  552.   else n = nSrvTables * sizeof (ServiceTableInfo);
  554.   
  555.   memcpy (pOutputBuffer, (PVOID) SrvTables, n);
  556.   
  557.   IoStatus->Information = n;
  559. break;
  561. case IOCTL_KLISTER_DUMP_ST:
  562.   if ((InputBufferLength != sizeof(int) ) || (pInputBuffer == NULL))
  563.   {
  564.    IoStatus->Status = STATUS_INVALID_BUFFER_SIZE;
  565.    break;
  566.   }
  567.   if ((OutputBufferLength < sizeof (int))
  568.    || (pOutputBuffer == NULL))
  569.   {
  570.    IoStatus->Status = STATUS_INVALID_BUFFER_SIZE;
  571.    break;
  572.   
  573.   }
  574.   
  575.   STn = *(int*)pInputBuffer; // no of ST to dump
  576.   //KdPrint ((" STn: %#xn", STn));
  577. DbgPrint(" STn: %#xn");  //jution add
  578.   n = sizeof (int) * (SrvTables[STn].n);
  579.   KdPrint(("klister: n = %dn", n));
  580.   
  581.   n = (n > OutputBufferLength) ? OutputBufferLength : n;
  582.   KdPrint(("klister: n = %dn", n));
  584.   memcpy (pOutputBuffer, (PVOID) SrvTables[STn].addr, n);
  585.   KdPrint (("memcpy (pOutputBuffer, (PVOID) SrvTables[STn].addr, n)"));
  586.   KdPrint (("pOutputBuffer = %#xn", pOutputBuffer));
  587.   KdPrint (("SrvTables[STn].addr = %#xn", SrvTables[STn].addr));
  588.   IoStatus->Information = n;  
  590. break;
  593. default:
  594.   IoStatus->Status = STATUS_INVALID_DEVICE_REQUEST;
  595.   break;
  596. }
  598.     return IoStatus->Status;
  599. }
  602. NTSTATUS klisterDispatch(
  603.     IN PDEVICE_OBJECT pDeviceObject, 
  604.     IN PIRP pIrp 
  605.     )
  606. {
  607.     PIO_STACK_LOCATION      irpStack;
  608.     PVOID                   pInputBuffer;
  609.     PVOID                   pOutputBuffer;
  610.     ULONG                   inputBufferLength;
  611.     ULONG                   outputBufferLength;
  612.     ULONG                   ioControlCode;
  613. NTSTATUS    ntstatus;
  615.     
  616.     irpStack = IoGetCurrentIrpStackLocation (pIrp);
  618.     pInputBuffer             = pIrp->AssociatedIrp.SystemBuffer;
  619.     inputBufferLength       = irpStack->Parameters.DeviceIoControl.InputBufferLength;
  620.     pOutputBuffer            = pIrp->AssociatedIrp.SystemBuffer;
  621.     outputBufferLength      = irpStack->Parameters.DeviceIoControl.OutputBufferLength;
  622.     ioControlCode           = irpStack->Parameters.DeviceIoControl.IoControlCode;
  624.     ntstatus = pIrp->IoStatus.Status = STATUS_SUCCESS;
  625.     pIrp->IoStatus.Information = 0;
  627.     switch (irpStack->MajorFunction) {
  628.     case IRP_MJ_CREATE:
  629.         break;
  631.     case IRP_MJ_SHUTDOWN:
  632.         break;
  634.     case IRP_MJ_CLOSE:
  635.         break;
  637.     case IRP_MJ_DEVICE_CONTROL:
  638.        
  639.         ntstatus = klisterDeviceControl(
  640.    pDeviceObject, ioControlCode,
  641.    pInputBuffer, inputBufferLength, 
  642.    pOutputBuffer, outputBufferLength,
  643.    &pIrp->IoStatus);
  644.         break;
  645.     }
  647. IoCompleteRequest( pIrp, IO_NO_INCREMENT );
  648.     return ntstatus;   
  649. }
  651. VOID ProcessCreateMon ( IN HANDLE hParentId, IN HANDLE PId,IN BOOLEAN bCreate )
  652. {
  653. PEPROCESS EProcess;
  654. ULONG   ulCurrentProcessId;
  655. LPTSTR    lpCurProc;
  656. NTSTATUS  status;
  658. status = PsLookupProcessByProcessId( (ULONG)PId, &EProcess);
  660. if (!NT_SUCCESS( status ))
  661. {
  662.   DbgPrint("PsLookupProcessByProcessId()n");////根据PID得到进程名
  663.   return ;
  664. }
  666. if ( bCreate )
  667. {
  668.   lpCurProc = (LPTSTR)EProcess;
  669.   lpCurProc = lpCurProc + ProcessNameOffset;
  670.   DbgPrint( "CREATE PROCESS = PROCESS NAME: %s , PROCESS PARENTID: %d, PROCESS ID: %d, PROCESS ADDRESS %x:n", 
  671.    lpCurProc,
  672.    hParentId,
  673.    PId,
  674.    EProcess );
  675. }
  676. else
  677. {
  678.   DbgPrint( "TERMINATED == PROCESS ID: %dn", PId);
  679.   gDeletedEProcess = EProcess;
  680. }
  681. }
  684. NTSTATUS klisterUnload(IN PDRIVER_OBJECT pDriverObject)
  685. {
  686.     UNICODE_STRING          devLinkUnicd;
  687. PDEVICE_OBJECT   pObj;
  689. pObj = pDriverObject->DeviceObject;
  691. if (GoBackAddr)//PBYTE GoBackAddr = NULL;
  692.   HookSwapFunction(FALSE);
  693.      PsSetCreateProcessNotifyRoutine(ProcessCreateMon, TRUE);
  694. if (pObj != NULL)
  695. {
  696.         RtlInitUnicodeString( &devLinkUnicd, devLink );
  697.   IoDeleteSymbolicLink( &devLinkUnicd );
  698.   IoDeleteDevice( pDriverObject->DeviceObject );
  699.   return STATUS_SUCCESS;
  700. }
  701. return STATUS_SUCCESS;
  702. }
  705. NTSTATUS DriverEntry(
  706.        IN PDRIVER_OBJECT  pDriverObject,
  707.        IN PUNICODE_STRING pRegistryPath
  708.      )
  709. {
  711.     NTSTATUS                ntStatus;
  712.     UNICODE_STRING          devNameUnicd;
  713.     UNICODE_STRING          devLinkUnicd;        
  714. PDEVICE_OBJECT   pDevice;
  716.     RtlInitUnicodeString (&devNameUnicd,
  717.                           devName );//const WCHAR devName[]  = L"\Device\Myklister";
  718.     RtlInitUnicodeString (&devLinkUnicd,
  719.                           devLink );//const WCHAR devLink[]  = L"\??\Myklister";
  720. //WDM驱动程序可以调用IoCreateDevice函数创建设备对象,但设备对象的管理则由I/O管理器负责。
  721. //DriverObject(PDRIVER_OBJECT)指向与该设备对象相关的驱动程序对象,通常就是调用IoCreateDevice函数创建该设备对象的驱动程序对象。过滤器驱动程序有时需要用这个指针来寻找被过滤设备的驱动程序对象,然后查看其MajorFunction表项。
  724. ntStatus = IoCreateDevice ( pDriverObject,
  725.                                 0, 
  726.                                 &devNameUnicd,
  727.                                 FILE_DEVICE_KLISTER,//?????????
  728.                                 0,
  729.                                 TRUE,
  730.                                 &pDevice );
  732.     if( !NT_SUCCESS(ntStatus)) {
  733.   DbgPrint(("klister: cannot create device.n"));
  734.         return ntStatus;
  735. }
  737.     ntStatus = IoCreateSymbolicLink (&devLinkUnicd, &devNameUnicd);//在WDM驱动程序中创建一个符号连接,可以调用IoCreateSymbolicLink函数
  739. if( !NT_SUCCESS(ntStatus)) {
  740.   DbgPrint(("klister: cannot create symlink to device.n"));
  741.  
  742.         return ntStatus;
  743. }
  744. // else  DbgPrint(("klister:create symlink to device.n"));////////////////jution add
  745.  DbgPrint("klister:create symlink to device()n");
  746. pDriverObject->MajorFunction[IRP_MJ_SHUTDOWN]=
  747.     pDriverObject->MajorFunction[IRP_MJ_CREATE]=
  748.     pDriverObject->MajorFunction[IRP_MJ_CLOSE]=
  749.     pDriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL]  = klisterDispatch;
  750. pDriverObject->DriverUnload=klisterUnload;
  752.     //add by sjl
  753. PsGetVersion( &gOsMajorVersion,
  754.   &gOsMinorVersion,
  755.   NULL,
  756.   NULL );
  757. if(IS_WINDOWS2000())
  758. {
  759.   gThreadsProcessOffset = 0x22c;
  760.   gCidOffset = 0x1e0;
  761.   DbgPrint("IS_WINDOWS2000n");
  762. }
  764. else if(IS_WINDOWSXP())
  765. {
  766.   gThreadsProcessOffset =0x220;//////////
  767.   gCidOffset = 0x1ec;
  768. }
  769. else if(IS_WINDOWSDOTNET_OR_LATER())
  770. {
  771.   gThreadsProcessOffset =0x228;
  772.   gCidOffset = 0x1f4;
  773. }
  775. ProcessNameOffset=GetProcessNameOffset();//// 得到进程名位移
  776. GetSwapAddr();//1111111111111111
  777. DbgPrint("oooooooooooooo");
  778. if (GoBackAddr){
  779. DbgPrint("uuuuuuuu");
  780.   HookSwapFunction(TRUE);//2222222222222222
  781. }
  782. //HookSwap();
  783. else DbgPrint("jjjjjjjjjjjjjjjjjjjj");
  784. ntStatus = PsSetCreateProcessNotifyRoutine(ProcessCreateMon, FALSE);
  785. //让用户注册系统建立与删除进程或线程时调用回调函数的Fully Documented例程,
  786. //知道它们就是Mark Russinovich的NTPMON的实现的最主要的两个函数吧
  787. if (!NT_SUCCESS( ntStatus ))
  788. {
  789.   DbgPrint("PsSetCreateProcessNotifyRoutine()n");
  790.   return ntStatus;
  791. }
  792. DbgPrint("klister load succesfully1111n");
  793. KdPrint (("klister load succesfullyn"));
  795. return STATUS_SUCCESS;
  797. }
  798. //修改自KLISTER所以相关的头文件从KLISTER里找吧