关闭

Hook 内核函数技术细节

2852人阅读 评论(0) 收藏 举报

刚开始看到通过 SSDT 来 HOOK ZwXXX 内核函数的方法时不是很了解, 等把 ZwXXX 反汇编后才发现技术细节.
原来也没什么新鲜的,就是找到目标函数在 SSDT 中的位置( 偏移量=位置*4 ), 然后保存并替换偏移量处的值为自己新的函数地址就行了。

这种技术现在已是老掉牙了,不过在实际的软件开发中也比较常用, 可以实现各种监控功能.
上次安了个诺顿, 它把所有的 ZwXXX 都给 Hook, 而且在 service.exe 注入了监视线程,作用是防止主进程被关闭.
不说别的了,免得思路被打断了.


下面以 Hook ZwDeviceIoControlFile 为例说明一下:

例如下面的 ring0 级代码:

VOID HookStart( void )
{
    if( !IsHooked )
    {
        RealZwDeviceIoControlFile = SYSCALL( ZwDeviceIoControlFile );

        SYSCALL( ZwDeviceIoControlFile ) = (PVOID) HookZwDeviceIoControlFile;

        IsHooked = TRUE;
    }
}

你能想象这样的代码能取得 ZwDeviceIoControlFile 在 SSDT 中的位置吗?
现在再让我们看看反汇编代码:

.text:00010381                 mov     eax, ds:ZwDeviceIoControlFile   ; 保存 ZwDeviceIoControlFile 地址到 eax
.text:00010386                 mov     ecx, ssdt                                          ; 取得 ssdt 的地址, 保存到 ecx
.text:0001038C                 push    esi
.text:0001038D                 mov     edx, [eax+1]              ; 取得 ZwDeviceIoControlFile 在 SSDT 中的位置, 参看
                                                                                             ; 该函数反汇编后的代码 B838000000    MOV EAX,      00000038,  eax+1 的效果是跳过了B8, 指向了38000000。[eax+1] 的值自然就是 00000038 (NOTE: Little-Endian).现在 edx 值为 00000038.

.text:00010390                 mov     esi, [ecx]                      ; 取得 SSDT 的地址 ==> esi

.text:00010392                 mov     edx, [esi+edx*4]         ; 保存 ZwDeviceIoControlFile 真正的函数地址
.text:00010395                 pop     esi
.text:00010396                 mov     dword_10814, edx

.text:0001039C                 mov     eax, [eax+1]                ; ZwDeviceIoControlFile 函数在 SSDT 的位置 ===> eax
.text:0001039F                 mov     ecx, [ecx]                      ; SSDT 地址


.text:000103A1                 mov     dword ptr [ecx+eax*4], offset sub_1030E    ; 用我们自己新的函数替换
                                                                                  ; ZwDeviceIoControlFile 在SSDT位置中的数值


OK!! ,现在已经在 dword_10814 保存了正确的 ZwDeviceIoControlFile 地址, 并把我们自己的函数 dword_10814 替换了ZwDeviceIoControlFile , 到此完成!


下面是 ZwDeviceIoControlFile的反汇编代码, 可以简单的在windbg 中用 "u ZwDeviceIoControlFile" 得到反汇编代码

00400BC6: B838000000               MOV EAX, 00000038
00400BCB: 8D542404                   LEA EDX, [ESP+04]
00400BCF: CD2E                           INT 2E
00400BD1: C22800                       RETN 0028

入口点加1,便是系统调用号.


 

0
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:527835次
    • 积分:6982
    • 等级:
    • 排名:第3391名
    • 原创:156篇
    • 转载:76篇
    • 译文:12篇
    • 评论:77条
    最新评论