Hook 系统服务隐藏端口

• 有时候写程序，调试程序真是一件非常有趣的事，就比如这次，蹦蹦跳跳，笑嘻嘻，意犹未尽的就把这个程序搞好了。
  
    netstat 或者其他各种列举端口的工具，比如fport,或者 sysinternals 的 Tcpview，都是调用 Iphlpapi.dll 中的 API 来完成端口的列举。而 Iphlpapi.dll 中的 API 最终是使用 ZwDeviceIoControlFile ，向设备对象 Device\Tcp 发 IOCTL_TCP_QUERY_INFORMATION_EX 来得到各种信息的。于是我们只要Hook相应的System Service ，然后对得到的结果做一些处理，弄掉不希望出现的端口信息就可以了。不过真正的问题在于，IOCTL_TCP_QUERY_INFORMATION_EX 和端口相关的各种结构定义，参数含义目前都（大部分）是未公开，没人知道的，也就是Undocumented的。Undocumented?? ring3调试，我熟啊。ring0调试，我熟啊。Windows驱动，我熟啊。Windows系统，我熟啊。我怕谁啊我。Undocumented??爽，要的就是Undocumented。
  
    通过ring3调试，分析Iphlpapi.dll是如何使用 IOCTL_TCP_QUERY_INFORMATION_EX 相关的各种参数，结合msdn中的一些信息，于是很轻松的搞清了需要了解的结构。用我自己写的awx建一个VC的驱动项目，写好了Hook部分。
  
    关于本例中使用的解决Hook在各种Windows版本下运行的方法，在很多地方很多地方都出现了，我不清楚最早是谁想出来的，我是在《Undocumented Windows NT》一书的源码中第一次看到这种方法的。
  
    下面是实现源码，很简单，我就不多说什么了。
  
  #if 0 //================================================================
  Copyright (c) JIURL, All Rights Reserved
  ========================================================================
  
  /*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/
  
  Module Name:
  
  Jiurl_tcpioctl.h
  
  About:
  
  - 这个驱动项目由一个我写的 AppWizard 创建。
  
  [ HomePage ] http://jiurl.yeah.net
  ~~~~~~~~~~~~~~~~~~~~~
  [ Email ] jiurl@mail.china.com
  ~~~~~~~~~~~~~~~~~~~~
  [ Forum ] http://jiurl.cosoft.org.cn/forum/index.php
  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  
  - 有偿定制 AppWizard ，请发邮件联系 。
  
  Comments:
  
  本文件中的所有内容目前都是未公开的，由我分析得出，是隐藏端口的关键内容。
  Undocumented?? 爽!要的就是 Undocumented 。
  
  /*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/*/
  #endif
  
• [1] [2] [3] [4] [5] [6] [7] [8] 下一页 
• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• Hook 系统服务隐藏端口 相关文章：
• Hook 系统服务隐藏端口 相关软件

上一篇:国内某著名媒体公司安全审核报告

下一篇:Adobe Golive进阶教程(课程三——简单动作1)

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

精品推荐

热点TOP10

特别推荐