驅(qū)動開發(fā)學(xué)習(xí)hook包全集

驅(qū)動開發(fā)學(xué)習(xí)hook包全集（ddk+driverm+debugview+hook）

目錄：

DriverMonitor_驅(qū)動開發(fā)學(xué)習(xí)hook

一個例子用來說明驅(qū)動的開發(fā)
以及在驅(qū)動里如何寫文件讀文件
可以調(diào)用c庫函數(shù)
以及如何實(shí)現(xiàn)驅(qū)動級別的hook
核心是關(guān)閉中斷
解析dll中的pe的文件格式
并修改

sys中全局變量的引用

cpp_驅(qū)動hookapi注冊表

1 為輸出文件
2 為過濾文件
×.sys通過monitor導(dǎo)入到xp然后go
就會發(fā)生hook 注冊表被hook了
在脫離驅(qū)動時候注冊表恢復(fù)hook會恢復(fù)
1 記錄了那些操作了注冊表以及注冊表的路徑
ssdt_hook.cpp 提供兩個接口實(shí)現(xiàn)hook
driver.cpp 提供驅(qū)動的入口以及提供寫文件讀文件的接口函數(shù)以及打印的接口
看打印用debugview

createfile_查看dll函數(shù)名字提供了如何解析dll文件pe在內(nèi)存的鏡像
dllspec.C 指出了dll函數(shù)在進(jìn)程中的鏡像

dll pe在內(nèi)存的鏡像 dll是pe在內(nèi)存的完全鏡像，但是導(dǎo)入的時候會修改內(nèi)部的一些值參數(shù)以他和原來保存在磁盤的沒什么不同
getdllfunctionaddrress是干同樣活