Win10 X64 HOOK KiUserExceptionDispatcher

最新推荐文章于 2021-10-14 02:48:05 发布
最新推荐文章于 2021-10-14 02:48:05 发布
阅读量2.1k 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A289672082/article/details/113481696
版权

Win10 X64 HOOK KiUserExceptionDispatcher

HOOK.ASM

extrn NewKiUserExceptionDispatcher : proc 
extrn OrgKiUserExceptionDispatcher : proc  
extrn OldKiUserExceptionDispatcher : proc 
.data
.code


;hook 
public MyKiUserExceptionDispatcher

MyKiUserExceptionDispatcher PROC  
    mov   rcx, rsp 
    add  rcx,4F0h
    mov   rdx,rsp  
    call  NewKiUserExceptionDispatcher ;先经过我们自己的异常处理

    ;mov rax,[OldKiUserExceptionDispatcher]  ;这样跳转回去会异常 原因未知
    ;jmp rax 

    ;
    mov   rax, [OrgKiUserExceptionDispatcher] ;直接用原函数+偏移 跳到RtlDispatchException 这样可以
    mov   rax,[rax]
    add   rax ,1ch
    jmp   rax; RtlDispatchException
    ret
MyKiUserExceptionDispatcher ENDP

END

HOOKFUC.H

#pragma once
#include <windows.h>

typedef VOID(WINAPI* PtrKiUserExceptionDispatcher)();
namespace HookEmu {
	//extern "C" C形式导出
	extern "C" PtrKiUserExceptionDispatcher OrgKiUserExceptionDispatcher;
	extern "C" PtrKiUserExceptionDispatcher OldKiUserExceptionDispatcher;
	extern HMODULE hNtDll ;
	
}
 

namespace HookFunction {
	 extern VOID HookKi();

}

namespace KiuserExc
{
	extern "C" void MyKiUserExceptionDispatcher();//汇编导出
	extern "C" void   NewKiUserExceptionDispatcher(PEXCEPTION_RECORD ExceptionRecord, PCONTEXT  Context);
}
namespace VEH_Tess
{
	extern LONG __stdcall VEHandler(
		EXCEPTION_POINTERS* ExceptionInfo
	);
	extern void InitVeh();
}


namespace HelpFuc {

	static VOID StackTrace64(PCONTEXT  Context);
}

HOOKFUC.CPP

#include "hookFun.h"
#include "MinHook.h"
#include <stdio.h>
namespace HookEmu {
	PtrKiUserExceptionDispatcher OrgKiUserExceptionDispatcher = 0;
	HMODULE hNtDll = NULL;
	PtrKiUserExceptionDispatcher OldKiUserExceptionDispatcher = nullptr;
}
namespace HookFunction {

	  VOID HookKi()
	{
		printf("ADDRESS:%llx", &KiuserExc::MyKiUserExceptionDispatcher);
		HookEmu::hNtDll = GetModuleHandleA("Ntdll.dll");
		HookEmu::OrgKiUserExceptionDispatcher = (PtrKiUserExceptionDispatcher)GetProcAddress(HookEmu::hNtDll, "KiUserExceptionDispatcher");


		if (MH_Initialize() == MH_OK)
		{
			if (MH_OK == MH_CreateHook(HookEmu::OrgKiUserExceptionDispatcher, (DWORD64*)&KiuserExc::MyKiUserExceptionDispatcher, reinterpret_cast<void**>(&HookEmu::OldKiUserExceptionDispatcher)))
			{
				if (MH_OK == MH_EnableHook(HookEmu::OrgKiUserExceptionDispatcher))
				{
					printf("钩子安装成功!\n");
				}
			}
		}
		return;
	}
}

namespace KiuserExc {

	void   NewKiUserExceptionDispatcher(PEXCEPTION_RECORD ExceptionRecord, PCONTEXT  Context)
	{
		printf(":HK\n");
		if (Context)
		{
			//HelpFuc::StackTrace64(Context);
			if (Context->ContextFlags & CONTEXT_DEBUG_REGISTERS)
			{
				printf(":HK\n");

				// Now each Thread handle should have its own CONTEXT.
				/*BeckupHardwareBP[CurrOffset].Dr0 = Context->Dr0;
				BeckupHardwareBP[CurrOffset].Dr1 = Context->Dr1;
				BeckupHardwareBP[CurrOffset].Dr2 = Context->Dr2;
				BeckupHardwareBP[CurrOffset].Dr3 = Context->Dr3;
				BeckupHardwareBP[CurrOffset].Dr6 = Context->Dr6;
				BeckupHardwareBP[CurrOffset].Dr7 = Context->Dr7;
	*/

				Context->Dr0 = 0;
				Context->Dr1 = 0;
				Context->Dr2 = 0;
				Context->Dr3 = 0;
				Context->Dr6 = 0;
				Context->Dr7 = 0;
				//Context->Rip += 1;
			}
		}
	}
}
namespace  VEH_Tess
{
	LONG __stdcall VEHandler(
		EXCEPTION_POINTERS* ExceptionInfo
	)
	{
		ExceptionInfo->ContextRecord->Rip += 1;
		printf("VEH 异常将被忽略 发生地址:%p RAX:0x%016I64x RCX:0x%016I64x RDX:0x%016I64x R8:0x%016I64x  R9:0x%016I64x\n", ExceptionInfo->ContextRecord->Rip, ExceptionInfo->ContextRecord->Rax, ExceptionInfo->ContextRecord->Rcx, ExceptionInfo->ContextRecord->Rdx, ExceptionInfo->ContextRecord->R8, ExceptionInfo->ContextRecord->R9);

		return EXCEPTION_CONTINUE_EXECUTION;//忽略异常=什么都没发生 try块当然也无法捕获到
	}


	void InitVeh()
	{
		AddVectoredExceptionHandler(1, VEHandler);//正常的监视全局异常
	}
}


namespace HelpFuc
{
	static VOID StackTrace64(PCONTEXT  Context)
	{

		KNONVOLATILE_CONTEXT_POINTERS NvContext;
		UNWIND_HISTORY_TABLE          UnwindHistoryTable;
		PRUNTIME_FUNCTION             RuntimeFunction;
		PVOID                         HandlerData;
		ULONG64                       EstablisherFrame;
		ULONG64                       ImageBase;

		RtlZeroMemory(
			&UnwindHistoryTable,
			sizeof(UNWIND_HISTORY_TABLE));

		RuntimeFunction = RtlLookupFunctionEntry(
			Context->Rip,
			&ImageBase,
			&UnwindHistoryTable
		);

		RtlZeroMemory(
			&NvContext,
			sizeof(KNONVOLATILE_CONTEXT_POINTERS));

		if (!RuntimeFunction)
		{
			printf("Rip:%llx\n", Context->Rip);
			Context->Rip = (ULONG64)(*(PULONG64)Context->Rsp);
			printf("new Rip:%llx\n", Context->Rip);
			Context->Rsp += 8;
			printf("RSP+=8\n");
		}
		else
		{
			RtlVirtualUnwind(
				UNW_FLAG_EHANDLER,
				ImageBase,
				Context->Rip,
				RuntimeFunction,
				Context,
				&HandlerData,
				&EstablisherFrame,
				&NvContext);
		}

		printf("ret Rip:%llx\n", Context->Rip);
		return;
	}
}

MAIN.CPP


#include <iostream>
#include "hookFun.h"
#include "MinHook.h"
 



void func(int cc) {

    __debugbreak();
	printf("func ok\n");
}

int main()
{ 
    VEH_Tess::InitVeh();
    HookFunction::HookKi();
    while(1){
        func(11);
        getchar();
    }
	printf("********************\n");
    getchar();

     
}
A289672082
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
x64 hoo KiUserExceptionDispatcher 参数
爱杀之爪的矩阵
08-09 4294
0:000> g Breakpoint 0 hit ntdll!KiUserExceptionDispatch: 00000000`78ef3a30 48b8809e008001000000 mov rax,offset ACTIVE_1!Detour_KiUserExce
win10 X64 可用的钩子函数库
07-26
Win10 X64下的钩子函数库:MinHook详解》 在Windows操作系统中,API钩子(API Hook)是一种强大的技术,它允许开发者监控或修改其他应用程序对特定系统调用的处理方式。这对于调试、性能分析以及系统扩展等用途至...
Hook KiUserExceptionDispatcher参数指针错误的问题
SilenceNet的专栏
12-04 9490
跟了一个晚上,终于解决了大概要实现的是用这个函数替换ntdll中的KiUserExceptionDispatcher,实现方法如下:VOID NTAPI KiUserExceptionDispatcher(PEXCEPTION_RECORD pExcptRec,PCONTEXT pContext) { DWORD retValue; if (RtlDispatchException(pExcptRec,pContext)) { retValue=::ZwContinue( pContex
Windows异常分发函数---KiUserExceptionDispatcher
weixin_46246967的博客
07-04 408
Windows异常分发函数---KiUserExceptionDispatcher
当出现ntdll!KiUserExceptionDispatcher时,如何用windbg 定位正确堆栈
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
11-09 6990
某些情况下,当程序崩溃时异常没有被程序捕获,就会出现ntdll!KiUserExceptionDispatcher这种情况,这时就需要通过其他方式获取产生异常时的正确堆栈 下面为KiUserExceptionDispatcher 函数和一些相关函数写的伪代码。这个函数在NTDLL.DLL中,它是异常处理执行的起点 [cpp] view plainco
异常派发研究KiDispatchException
ADADQDQQ的博客
10-14 1071
当系统Debug模式下: KdDebuggerEnabled1 KdPitchDebugger0 KiDebugRoutine==KdpTrap 此模式下R3触发的异常相关若没有异常处理接管,电脑直接卡死 当系统正常模式下: KdDebuggerEnabled0 KdPitchDebugger1 KiDebugRoutine==KdpStub 此模式下R3触发异常若没有异常处理接管,则程序崩溃 KdDebuggerNotPresent:启动Debug并且连接调试器0,否则1 KdEnteredDebugge
win7 64位 ssdthook
11-21
通过hook内核中ssdt表中的ntopenprocess函数,标号为35,可通过遍历ssdt表查找得知,可实现进程保护。 适用系统:win7 64,需关闭驱动签名保护 编程工具:vs2012+wdk8.0
天野学院X64Hook封包拦截发送工具
08-17
天野学院X64Hook封包拦截发送工具,可进行封包的拦截、发送、过滤等,针对X64游戏程序和安卓模拟器。无需代理软件、无需驱动。
Detours V3.0 x64 hook
10-27
Detours V3.0 x64 Hook 是一个用于Windows操作系统上的动态代码插桩工具,尤其在x64架构上有着广泛的应用。Detours是由微软研究实验室开发的一个开源库,它提供了一种简单的方法来拦截和修改其他进程中的函数调用,...
Inline Hook_inlinehook_x86_x64_64位HOOK_
09-28
x86架构通常使用JMP或CALL指令来跳转到Hook处理程序,而x64架构则更倾向于使用RIP相对寻址,因为x64指令集更倾向于减少绝对地址的使用。Inline Hookx64上需要考虑到更大的指令长度和寄存器使用的变化。 提供的...
SEH X64(3)
商少
05-27 2069
接下来看__C_specific_handler函数中出现的函数。首先是RtlUnwindEx函数。在异常操作中,当找到了愿意处理当前异常的ExceptionHandler 之后就会以此为参数调用RtlUnwindEx 函数,根据X86 学到的知识,RtlUnwindEx 在执行ExceptionHandler之前应该执行展开操作,清理资源,然后再执行ExceptionHandler。 函数原型
深入解析结构化异常处理(SEH) - by Matt Pietrek
热门推荐
dvlinker的技术专栏
09-18 1万+
深入解析结构化异常处理(SEH) - by Matt Pietrek
深入理解SEH
For Geek
05-08 1967
KiDispatchException我们已经知晓,其内核态的异常分发主要靠检测“KiDebugRoutine”,是否拥有调试器来实现,然后根据RtlDispatchException来调用内核的SEH来处理。对于PreviousMode为userMode而言,其SEH和VEH链最后是由KiUserDispatchException来处理的,所以我们这次深入看看KiUserDispatchExce...
无痕HOOK方式=硬断+VEH
YuHengZuo的博客
11-24 1万+
无痕HOOK方式=硬断+VEH
Windows 系统异常处理顺序总结
zhangmiaoping23的专栏
08-21 1964
首先要明白异常处理是分层的,有: 1.内核异常处理 2.调试器异常处理 3.进程VEH 3.线程SEH 4.进程SetUnhandledExceptionFilter()注册的函数 5.系统默认的异常处理函数 UnhandledExcetionFilter(). UnhandledExceptionFilter()根据 HKLM\SOFTWARE\Microsoft\Windows N
c++ x64 inline hook
最新发布
01-26
x64 Inline Hook(内联钩子)是一种在x64架构下实现的钩子技术,用于在程序运行时对函数进行修改或者监控。钩子技术可以用于实现一些高级功能,如函数拦截、行为修改和调试等。 Inline Hook的主要原理是通过修改函数的机器码,将目标函数的执行流程改变到一个特定的钩子函数,从而实现我们所需的功能。这个钩子函数可以进行一系列的操作,如记录参数、修改参数、替换返回值等。 x64 Inline Hook实现相对复杂,因为x64架构下的指令集更加复杂,并且x64架构引入了新的寄存器和指令,如RAX、R10、R11,还有新的调用惯例等。因此,在实现x64 Inline Hook前,我们需要对x64汇编指令和调用惯例有深入的了解。 具体实现Inline Hook主要包括以下几个步骤: 1. 定位到目标函数的地址。可以通过符号表、导入表或者动态调试等方式获取目标函数的地址。 2. 备份目标函数的原始字节码。为了在后续操作中恢复目标函数的完整执行流程,我们需要保留原始字节码。 3. 修改目标函数的字节码。通过修改目标函数的机器码,将执行流程转移到我们的钩子函数。 4. 编写钩子函数。钩子函数的参数和返回值需要与目标函数保持一致,并实现所需的功能。 5. 恢复目标函数的原始字节码。在钩子函数执行完毕后,需要将目标函数的字节码恢复到原始状态,以确保程序正常运行。 6. 跳回目标函数。在钩子函数执行完成后,我们需要将执行流程跳转回原始的目标函数。 需要注意的是,Inline Hook的实现需要考虑到多线程的情况,并且要保证对内存的修改是线程安全的,以及在恢复原始字节码时要避免潜在的问题。 总的来说,x64 Inline Hook是一种强大的技术,可以用于实现程序的函数修改和监控等高级功能。但它的实现相对复杂,需要对x64架构和汇编指令有深入的理解。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值