Hook 内核函数技术细节

最新推荐文章于 2023-02-26 20:55:18 发布
最新推荐文章于 2023-02-26 20:55:18 发布
阅读量3.8k 收藏
点赞数
分类专栏: windows kernel 文章标签: hook 汇编 c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Blue_Dream_/article/details/1797884
版权

刚开始看到通过 SSDT 来 HOOK ZwXXX 内核函数的方法时不是很了解, 等把 ZwXXX 反汇编后才发现技术细节.
原来也没什么新鲜的,就是找到目标函数在 SSDT 中的位置( 偏移量=位置*4 ), 然后保存并替换偏移量处的值为自己新的函数地址就行了。

这种技术现在已是老掉牙了,不过在实际的软件开发中也比较常用, 可以实现各种监控功能.
上次安了个诺顿, 它把所有的 ZwXXX 都给 Hook, 而且在 service.exe 注入了监视线程,作用是防止主进程被关闭.
不说别的了,免得思路被打断了.


下面以 Hook ZwDeviceIoControlFile 为例说明一下:

例如下面的 ring0 级代码:

VOID HookStart( void )
{
    if( !IsHooked )
    {
        RealZwDeviceIoControlFile = SYSCALL( ZwDeviceIoControlFile );

        SYSCALL( ZwDeviceIoControlFile ) = (PVOID) HookZwDeviceIoControlFile;

        IsHooked = TRUE;
    }
}

你能想象这样的代码能取得 ZwDeviceIoControlFile 在 SSDT 中的位置吗?
现在再让我们看看反汇编代码:

.text:00010381                 mov     eax, ds:ZwDeviceIoControlFile   ; 保存 ZwDeviceIoControlFile 地址到 eax
.text:00010386                 mov     ecx, ssdt                                          ; 取得 ssdt 的地址, 保存到 ecx
.text:0001038C                 push    esi
.text:0001038D                 mov     edx, [eax+1]              ; 取得 ZwDeviceIoControlFile 在 SSDT 中的位置, 参看
                                                                                             ; 该函数反汇编后的代码 B838000000    MOV EAX,      00000038,  eax+1 的效果是跳过了B8, 指向了38000000。[eax+1] 的值自然就是 00000038 (NOTE: Little-Endian).现在 edx 值为 00000038.

.text:00010390                 mov     esi, [ecx]                      ; 取得 SSDT 的地址 ==> esi

.text:00010392                 mov     edx, [esi+edx*4]         ; 保存 ZwDeviceIoControlFile 真正的函数地址
.text:00010395                 pop     esi
.text:00010396                 mov     dword_10814, edx

.text:0001039C                 mov     eax, [eax+1]                ; ZwDeviceIoControlFile 函数在 SSDT 的位置 ===> eax
.text:0001039F                 mov     ecx, [ecx]                      ; SSDT 地址


.text:000103A1                 mov     dword ptr [ecx+eax*4], offset sub_1030E    ; 用我们自己新的函数替换
                                                                                  ; ZwDeviceIoControlFile 在SSDT位置中的数值


OK!! ,现在已经在 dword_10814 保存了正确的 ZwDeviceIoControlFile 地址, 并把我们自己的函数 dword_10814 替换了ZwDeviceIoControlFile , 到此完成!


下面是 ZwDeviceIoControlFile的反汇编代码, 可以简单的在windbg 中用 "u ZwDeviceIoControlFile" 得到反汇编代码

00400BC6: B838000000               MOV EAX, 00000038
00400BCB: 8D542404                   LEA EDX, [ESP+04]
00400BCF: CD2E                           INT 2E
00400BD1: C22800                       RETN 0028

入口点加1,便是系统调用号.


 

Blue_Dream_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Windows hook技术
40KO的博客
02-25 384
hook即钩子技术,它钩取某个特定的事件,然后在默认的事件处理之外,进行一些自定义的处理,感觉这种行为有点类似插桩。。 消息hook 微软为Windows提供了几个消息hook的API,主要是以下三个: SetWindowsHookEx UnhookWindowsHookEx CallNextHookEx 这种hook技术是对Windows消息进行钩取。众所周知,...
浅谈HOOK
hdduuyf的博客
11-13 205
浅谈HOOK
hook更改硬盘序列号 转载
07-25
在驱动层hook ZwDeviceIoControlFile,当有请求获取硬盘物理SN时,返回指定SN,从而达到模拟硬盘物理SN的效果. 本工具包含源码,可自行编译.
恶意软件分析实战20-内核级软件逆向Lab10-2
輚至消亡
10-02 346
首先二话不说先拖入VT内检查看看, 发现39个杀毒引擎报毒。 发现了资源节里有东西: 可以看到是一个可执行文件在内部: 把它命名为a.exe: 把a.exe拖入PE Explorer内查看一下, 发现是一个驱动文件 它从内核中导入了如下几个函数: 现在反过来看看母体可执行文件: 没有使用什么特别的API, 感觉主要的功能是在内核中实现的。内核中导入的NtQueryDirectoryFile是以供查询文件和目录的。同时也可用于隐藏。 继续看...
VT笔记(1)
kernweak的博客
06-24 2764
概念 硬件虚拟化技术,隐藏计算机资源物理性的一面,比如能把单个或多个物理资源,转化为一个或多个逻辑资源。 intel vt-x/或者amdv8(SVM) VT是一个驱动(.sys),由操作系统加载后,运行在每个cpu上,推翻原来的操作系统,然后os和app-r0和r3变成GUEST,建立特权层(host,vmm,hypervisor,root,-1),然后监控GUEST执行。 这样就可以简...
VT Msr Hook Syscall
小烟的博客
02-26 556
VT Hook Syscall
VT笔记(2)突破patchguard保护完成X64Hook
kernweak的博客
06-24 8587
win10,2018新年版后好像不支持了? MSR hook MSR (Model Specific Registers)是CPU 的一组64 位寄存器,可以分别通过RDMSR 和WRMSR 两条指令进行读和写的操作,前提要在ECX 中写入MSR 的地址(MSR地址就像一个宏STAR,LSTAR,CSTAR,SFMASK)。对于RDMSR 指令,将会返回相应的MSR 中64bit 信息到(ED...
8种HOOK技术
liuhaidon1992的博客
01-07 5275
1.IAT_HOOK IAT是程序中存储导入函数地址的数据结构,如果HOOK了导入函数地址。就可以在函数调用的时候,将函数流程HOOK到我们指定的流程。但是我个人觉得这种方式最好要结合DLL注入的方式,如果单纯的使用HOOK,那么就需要将需要执行的操作的shellcode写入目标进程,如果操作复杂,可能需要的shellcode量特别大,所以我们需要借助DLL注入,这样就将我们需要执行的代码写入...
linux内核hook技术之跳转指令偏移值
快乐时光
03-02 756
前言 在另一篇博文中提到了指令覆盖和指令注入的hook方式,使用覆盖和注入方式完成内核函数hook,需要有很多的注意事项,而且容易被检测工具检测。这篇博文则聊一下如何通过替换跳转指令偏移值来完成内核函数hook,这种hook技术也可以称为inline hook。 事先做个准备工作,手头正好有centos 6系列操作系统,还有一个热腾腾刚出锅的vmlinux。通过 gdb vmlinux,所示如下: 如图片所示,sys_open通过call指令调用了do_sys_open...
Hook核函数ZwSetValueKey
05-11
给初学驱动的人的一个简单例子,Hook掉内核函数ZwSetValueKey,实现一个在IE或者注册表调用SetValueKey函数的时候附加了一个修改主页的操作。代码内还提供了一个简单的获取默认浏览器的功能,另外还有其他小惊喜
HDHook(附源码)HookAPI改变硬盘串号和MAC地址
05-18
VC++源码 一个使用detours来HookAPI的简单例子 DeviceIoControl获取硬盘串号 GetAdaptersInfo获取MAC Hook这两个API改变获取的硬盘串号和MAC地址 HDHook工程 生成dll GetHDDSN工程 载入生成的dll 获取硬盘串号和MAC地址 需要自行安装detours
linux内核hook系统调用execve函数
12-07
功能:hook系统调用execve函数,在系统调用dpkg命令时返回。 这样系统无法安装软件,以及删除软件。 1.下载后 解压直接 make编译 2. sudo insmod hook.ko 进行安装 3. sudo dmesg --follow 查看内核调试信息 4....
windows下通过更改SSDT表hook核函数
10-02
通过更改SSDT表的内核函数跳转地址来实现对windows内核函数hook,需要安装WDK来实现编译。 注:本例主要实现对内核函数ZwSetValueKey的hook,本程序仅用于学习用途,任何人不得利用该代码从事非法活动。
使用内核三步实现InlineHook的详细分析
07-06
Inlinehook原理:解析函数开头的几条指令,把他们Copy到数组保存起来,然后用一个调用我们的函数的几条指令来替换,如果要执行原函数,则在我们函数处理完毕,再执行我们保存起来的开头几条指令,然后调回我们取...
hook内核级驱动保护驱动
03-25
hook内核级驱动保护驱动里面写的很详细仔细看就 okL
页目录和页表结构
FISH 的专栏
08-27 8468
 上图反映了如下信息:1、  进程的4G 线性空间被划分成三个部分:进程空间(0-3G)、内核直接映射空间(3G – high_memory)、内核动态映射空间(VMALLOC_START  -  VMALLOC_END)2、  三个空间使用同一张页目录表,通过 CR3 可找到此页目录表。但不同的空间在页目录表中页对应不同的项,因此互相不冲突3、  内核初始化以后,根据实际物理内存的大
实时屏幕传输
FISH 的专栏
08-24 5914
基本知识:有关 DDK 中的 mirror Driver:Mirror driver是Windows NT下的一种显示驱动,系统发往物理显卡的所有命令也同样发送给Mirror driver,可以在Mirror driver中可以模拟出当前系统的显示内容,因此称之为mirror 。利用这个特性,就能很方便的捕获到当前屏幕的内容以及系统要绘制的区域(变化部分),是一种速度很快的截屏方法
kernel Driver Dll 内核模式 DLL编写
FISH 的专栏
10-09 2957
内核DLL编写导出驱动程序缺少很多完整内核模式驱动应该有的特征。(1) 可以为 IRP 处理提供支持例程, 但它不接收 IRP, 所以它不包含派遣例程.(2) 不存在设备堆栈中(3) 在服务控制管理器中没有入口点函数(不作为系统服务)(4) 它确实有 DriverEntry 例程, 但仅仅是为了使代码能编译通过而已, 不被调用    (注: 程序编译时 bufferoverflowk.lib
ubuntu18.04怎么hook核函数
最新发布
05-14
hook核函数,需要编写一个内核模块。以下是基本步骤: 1. 安装必要的软件包:`sudo apt-get install linux-headers-$(uname -r) build-essential` 2. 编写内核模块代码,其中包括要hook的函数的地址和新的函数...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Blue_Dream_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值