多CPU下安全inline hook

最新推荐文章于 2020-04-25 10:35:00 发布
最新推荐文章于 2020-04-25 10:35:00 发布
阅读量1k 收藏 2
点赞数
分类专栏: Windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Vizee/article/details/8212044
版权
本文介绍了从师父神牛的空间学习到的一种在多CPU环境下相对安全的内核级inline hook方法,源自《Rootkits:Subverting the Windows Kernel》一书。该方法通过向非当前CPU插入DPC并进行忙等待来实现。文章还探讨了Windows的IRQL(Interrupt Request Level)概念,以及DPC和APC在不同IRQL级别中的应用。
摘要由CSDN通过智能技术生成

去師父神牛的空間里看了下關於内核安全inline hook的討論,感覺受益匪淺,查閲資料后,得知了一種CPU中較爲安全的安裝鈎子的方法。
該代碼來自《Rootkits:Subverting the Windows Kernel》一書,原理是通過向所有非當前的CPU插入DPC,並且在DPC例程中實現忙等待,這是一種比較可愛的方法(PS:雖然我還是糾結于,如果其他CPU當前就已經在執行DPC那不是情況會非常複雜嗎。。。)
Windows使用軟件中斷優先級,稱爲IRQL(Interrupt Request Level,中斷請求級別),Windows定義IRQL的範圍是0~31,數字越大,優先級越高。處理器執行時,擁有一個當前的IRQL,當發生中斷時,如果中斷的IRQL大於當前IRQL,當前執行會被打斷,處理器轉向執行中斷代碼,然後再根據需要繼續執行。IRQL最低是PASSIVE_LEVEL(0),也就是被動級別,普通的綫程都運行于這個級別,正因為這個級別最低,所以可以被所有更高的IRQL的例程打斷。比PASSIVE_LEVEL高的是APC_LEVEL(1),通常是APC(Asynchronous Procedure Call,異步過程調用)的等級。然後是DISPATCH_LEVEL(2),,通常被用於DPC(Deferred Procedure Call,延遲過程調用)或者綫程的調度。3~26是設備IRQL,27-31是一些硬件的中斷。DPC一般用於處理一些需要高優先級,但是又不是非常緊急的事務,而APC一般適用於綫程異步通知。

 

下面是來自書上的代碼以及我寫的一些:

//Source code
最低0.47元/天 解锁文章
vizee
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
软件安全Hook 技术 Inline Hook技术应用 TraceMe.exe
SKPrimin的博客
12-12 3340
Hook 技术 实验须知 1实验说明 Hook 是在指令的关键位置插入特定代码,以干预程序原有的执行流程,实现拦截目标进程运行过程的关键信息改变目标进程原本执行流程等目的。 2实验目的 本实验使用 Inline Hook 技术,挂钩 [raceMe.exe百度网盘地址(提取码1111)中计算序列号的代码,获取正确的序列号,加深对 Hook 技术的理解。 3实验原理 Hook Hook∶中文译作"挂钩"或"钩子",在指令执行的关键位置插入特定代码,以干预程序原有的执行流程,实现拦截目标进程运行过程的关键信
关于hook设置函数如何支持多核CPU的一个说明
周伟明的多核、测试专栏
09-11 5635
前两天看Intel网站上贴了一篇关于设置HOOK的文章,讲到在多核CPU上,由于执行代码可能存在CPU CACHE里,因此当更改了函数起始6字节后,CPU CACHE里的对应内容并没有被修改,所以需要调用FlushInstructionCache()函数来更新CACHE。更新后的代码如下,增加的代码以粗体标出了。/** 通过地址来设置某个函数的钩子函数 @param HANDLE hA
inline hook 多核安全相关问题随记。。。
创造神话,实现梦想!
02-18 2838
Intel CPU相关指令: LOCK 这是一个指令前缀,在所对应的指令操作期间使此指令的目标操作数指定的存储区域锁定,以得到保护。 XADD 先交换两个操作数的值,再进行算术加法操作。多处理器安全,在80486及以上CPU中支持。 CMPXCHG 比较交换指令,第一操作数先和AL/AX/EAX比较,如果相等ZF置1,第二操作数赋给第一操作数,否则ZF清0,第一操作数赋给AL/AX/E
多核发dpc安全inline hook
weixin_30906425的博客
12-22 113
VOID OpSafeInlineHook(PVOID TargetAddress, PVOID ReadyOpCode, ULONG OpCodeLength) { PMDL MdlFuncAddress; ASSERT(TargetAddress && ReadyOpCode && OpCodeLength); ...
如何设计一个大型的AJAX应用程序
huqiyes的专栏
08-07 103
http://www.webdevref.com/blog/index.cfm?mode=entry&entry=4A1914F6-FF0F-BE87-FFCE9F7A9CB3CFAF上面的地址里面有一篇可下载的pdf ,里面包含了,对于设计一个大型AJAX应用程序的设计思路,对初学者很有帮助!Download the PDF guide (105kb)...
Inline Hook_inlinehook_x86_x64_64位HOOK_
09-28
提供的压缩包文件中,"Inline Hook.sln"是一个Visual Studio解决方案文件,通常包含一个或多个C++项目,用于开发和编译Inline Hook相关的代码。Debug目录可能包含了编译后的调试版本的可执行文件和库,这对于调试和...
SSDT 对抗 ring0 inline hook, 通过SSDT绕过inline Hook.zip
01-24
它们会直接在内核模式下的原函数地址处插入代码,使得当该函数被调用时,实际上执行的是hook代码,而非原函数。 然而,SSDT提供了一种可能的反制策略。由于SSDT存储了系统服务的原始入口点,我们可以通过重新指向...
实现Android ARM64平台下Inline Hook框架
热门推荐
Rprop
09-23 6万+
Android阵营新出机型的cpu基本都是64位了,虽然可以向下兼容armeabi-v7a,但是使用32位的so毕竟不能充分发挥64位cpu的潜力,所以以后arm64-v8a用的会越来越多。但是整个安卓生态圈似乎还没有开源发布的ARM64内联HOOK方案,所以自己动手写了个,姑且取名And64InlineHook吧,需要注意的是仍然是Alpha版。         关于Inline Hook的背
cpuid_hook
01-03
cpuid hook(通过VMX技术,实现hook cpuid)~~~~~~~~!!!!!!!!!!
cpuid hook(转载)
07-25
通过VMX技术,实现hook cpuid
稳定多线程中的inline hook
qq_31507523的博客
06-19 1269
优化inline hook 实验平台:WIN10 实验工具:VS2017,OD 我所说的是windows下的inline hook,总所周知inline hook是windows平台下很灵活好用的一种hook方式, 但inline hook是非线程稳定的,也就是说在多线程的程序中,频繁的进行inline hook有可能会导致程序崩溃,不稳定。 之前在为了解决这个问题,只找到了Hook七个字节的...
CPU的机器上在驱动中如何HOOK中断
04-03 959
 bool InitMultiCPUInformation() .9u0WP95  { A[}I -       DWORD* dwPCRAddr;       DWORD dwCPUNumbers=1;       )-nFfjLs       BYTE* Address=(BYTE*)HalInitializeProcessor; 7 l/O      DWORD i,len=128
HOOK集合----SSDTDPC Hook(X86 win7)
qq_42021840的博客
04-25 188
介绍: SSDT DPC Hook 其实是建立在SSDT Hook的基础上的,建立一个定时器,然后设置触发时间,反复去 SSDT Hook,这样会使直接进行SSDT UnHook的无法恢复,在学习过程中,算不上是一种全新的Hook,算是SSDT Hook 的一种设计版。 (一) ⚪建立定时器,定时回调函数为SSDTHook 函数,反复Hook。 ⚪首先找到全局...
64位系统InlineHook
weixin_33827590的博客
04-07 349
APIHook64Class.h 1 #ifndef APIHOOK64CLASS_H_ 2 #define APIHOOK64CLASS_H_ 3 #include <Windows.h> 4 5 class APIHook64 6 { 7 private: 8 unsigned char code[12]; 9 unsign...
普及X64 ssdtshadow inline HOOK
fyfy
11-21 347
https://bbs.pediy.com/thread-204323.htm
InlineHook是什么?
倒计时
12-26 4280
简单来说,就是修改函数体实现部分。 但是如何来修改,这样修改的意义又是什么? 我今天一直在寻找一个比较好的方式来说明白如何进行InlineHook,画了几次图,试了好几个工具,最后完成了一个流程,希望大家能看明白。 图片: 说明: 左上的图片 这个结构是我们在代码中写入的一个函数 代码如下: __declspec(naked) NTSTATUS NtQueryD
【娱乐】R3 WIN64下只修改1字节的Inline Hook
A--LONE--LY的博客
02-19 425
这是我写的第一篇博文,作为新手,文章可能会存在某些错误,因此文章仅供参考,请多包涵! WIN64下的Inline Hook想必大家都面临着同一个问题,多线程环境造成的不稳定性。 某天我突发奇想,写出了一个只修改一字节的Inline Hook! 在此之前我们先看看别的博主对x64 Inline Hook的优化和改进 zuishikonghuan博主的解决方案是这样 他创建了一个文件映射对象,将被Ho...
深入解析内核 Inline Hook 实现
通过这两个例子,文章展示了如何在实际操作中应用Inline Hook,同时也指出,虽然网上有很多关于Inline Hook的信息,但往往缺乏系统的介绍,本文旨在提供一个更为全面和系统的理解。 Inline Hook是一种强大但复杂的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值