驅(qū)動(dòng)開(kāi)發(fā)學(xué)習(xí)hook包全集

驅(qū)動(dòng)開(kāi)發(fā)學(xué)習(xí)hook包全集（ddk+driverm+debugview+hook）

目錄：

DriverMonitor_驅(qū)動(dòng)開(kāi)發(fā)學(xué)習(xí)hook

一個(gè)例子用來(lái)說(shuō)明驅(qū)動(dòng)的開(kāi)發(fā)
以及在驅(qū)動(dòng)里如何寫(xiě)文件讀文件
可以調(diào)用c庫(kù)函數(shù)
以及如何實(shí)現(xiàn)驅(qū)動(dòng)級(jí)別的hook
核心是關(guān)閉中斷
解析dll中的pe的文件格式
并修改

sys中全局變量的引用

cpp_驅(qū)動(dòng)hookapi注冊(cè)表

1 為輸出文件
2 為過(guò)濾文件
×.sys通過(guò)monitor導(dǎo)入到xp然后go
就會(huì)發(fā)生hook 注冊(cè)表被hook了
在脫離驅(qū)動(dòng)時(shí)候注冊(cè)表恢復(fù)hook會(huì)恢復(fù)
1 記錄了那些操作了注冊(cè)表以及注冊(cè)表的路徑
ssdt_hook.cpp 提供兩個(gè)接口實(shí)現(xiàn)hook
driver.cpp 提供驅(qū)動(dòng)的入口以及提供寫(xiě)文件讀文件的接口函數(shù)以及打印的接口
看打印用debugview

createfile_查看dll函數(shù)名字提供了如何解析dll文件pe在內(nèi)存的鏡像
dllspec.C 指出了dll函數(shù)在進(jìn)程中的鏡像

dll pe在內(nèi)存的鏡像 dll是pe在內(nèi)存的完全鏡像，但是導(dǎo)入的時(shí)候會(huì)修改內(nèi)部的一些值參數(shù)以他和原來(lái)保存在磁盤(pán)的沒(méi)什么不同
getdllfunctionaddrress是干同樣活