The New Old Things

Programming 当做职业,可以干到退休 当做爱好,可以玩一辈子

<寒江独钓>Windows内核安全编程__键盘过滤之内核级Hook(二)

 

<寒江独钓>Windows内核安全编程__键盘过滤内核级Hook(二)
如果不想让键盘过滤驱动程序或回调函数首先获得按键,则必须比端口驱动更加底层一些。
早期版本的QQ反盗号驱动的原理是这样的:用户要输入密码时(比如把输入焦点移动到了密码框里),就注册一个中断服务来接管键盘中断,比如0x93中断,之后按键就不关键驱动的事了。
首先就来介绍一下Hook键盘中断。
1.中断:IRQ和INT
学过计算机体系结构的人都知道硬件往往是通过中断来通知CPU某个事件的发生。比如按键按下了。但是中断并不一定要有任何硬件的通知,一条指令就能使CPU“发生中断”。比如,在一个.c文件写上:
_asm int 3
这样的代码常常来人工设置一个断点,执行到这里程序会中断。int n(n为中断号)可以触发软件中断(软件中断又叫异常),触发的本质是:是CPU的执行暂停,并跳到中断处理函数,中断处理函数已经事先保存在内存中。同时,这些函数的首地址保存在一个叫做IDT(中断描述符表)的表中,每一个中断号在这个表中都有一项。
一旦一个int n被执行,则CPU会到IDT中去查找第n项。其中有一个中断描述符,在这个描述符里可以读到一个函数的首地址,然后CPU就跳到这个首地址去执行了。当然,适当的处理之后一般都会回来继续前面程序的执行。这就是中断的过程。
真正的中断一般被称为IRQ。某个IRQ来自什么硬件,这在很大程度上有规定的。比如IRQ1一定是PS/2键盘,只有少数几个IRQ留给用户自用。一个IRQ一般都需要一个中断函数来处理,但是IRQ没有中断号那么多,只有24个。IRQ的处理也是由中断处理函数来处理的,这就需要一个IRQ号到中断号的对应关系。这样一个IRQ发生时,CPU才知道跳转到哪里。
在IOAIPC出现之后,这个对应关系变得可以修改,在Windows上,PS/2键盘按键或者释放键发生一般都是int0x93,正是因为这个关系(IRQ1->int 0x93)被设置了的原因。
这样我们就有了一个简单的方案可以保护键盘中断:修改int 0x93在IDT中保存的地址。修改为我们自己写的一个函数,那么这个中断一定是我们先截获到,其他的过滤层都在我们之后了。

2.如何修改IDT
在一个应用程序中修改IDT由于权限问题是做不到的,但是在内核程序中做起来是完全可行的。IDT的内存地址是不定的,但是可以通过一条指令sidt获取。下面的代码可以获得中断描述符表的地址。
请注意,在多核CPU上,每一个核心都有自己的IDT。因此,应该注意对每个核心获取IDT。也就是说,必须确保下面的代码在每个核心上都得到执行。
// 由于这里我们必须明确一个域是多少位,所以我们预先定义几个明
// 确知道多少位长度的变量,以避免不同环境下编译的麻烦.
typedef unsigned char P2C_U8;
typedef unsigned short P2C_U16;
typedef unsigned long P2C_U32;

#define P2C_MAKELONG(low, high) \
 ((P2C_U32)(((P2C_U16)((P2C_U32)(low) & 0xffff)) | ((P2C_U32)((P2C_U16)((P2C_U32)(high) & 0xffff))) << 16))

#define P2C_LOW16_OF_32(data) \
 ((P2C_U16)(((P2C_U32)data) & 0xffff))

#define P2C_HIGH16_OF_32(data) \
 ((P2C_U16)(((P2C_U32)data) >> 16))

// 从sidt指令获得一个如下的结构。从这里可以得到IDT的开始地址
#pragma pack(push,1)
typedef struct P2C_IDTR_ {
 P2C_U16 limit;  // 范围
 P2C_U32 base;  // 基地址(就是开始地址)
} P2C_IDTR, *PP2C_IDTR;
#pragma pack(pop)

// 下面这个函数用sidt指令读出一个P2C_IDTR结构,并返回IDT的地址。
void *p2cGetIdt()
{
 P2C_IDTR idtr;
 // 一句汇编读取到IDT的位置。
 _asm sidt idtr
  return (void *)idtr.base;
}
获得IDT的地址之后,这个内存空间是一个数组。每一个元素都有如下结构:
#pragma pack(push,1)
typedef struct P2C_IDT_ENTRY_ {
 P2C_U16 offset_low;
 P2C_U16 selector;
 P2C_U8 reserved;
 P2C_U8 type:4;
 P2C_U8 always0:1;
 P2C_U8 dpl:2;
 P2C_U8 present:1;
 P2C_U16 offset_high;
} P2C_IDTENTRY, *PP2C_IDTENTRY;
#pragma pack(pop)
有些人可能对这种成员变量之后带单个冒号的结构体写法不太习惯。带有冒号的域称为位域。这是这样一种域:这个成员的宽度甚至小于一个字节,只有1~7位。冒号之后的数字表示位数,比如type有4位,always有1位等。
中断服务的跳转地址实际上是一个32位的虚拟地址。但是这个地址被很奇怪地分开保存了,高16位保存在offset_High中,低16位保存在offset_low中。
这里没有中断号,那是应为中断号就是这个表中的索引。因此,第0x93项这个结构,就是读者所需要关心的。

3.替换IDT中的跳转地址
写一个函数来代替那个中断服务地址是可以的,但是请注意这个函数的写法。中断的发生并不是用call跳转过去的,所以也不能通过ret回来。一般的说,中断应该用iret指令返回。但是为了避免更多问题,我们还是处理后跳转原有的中断处理函数入口,让它来替换我们返回比较好。这时我们需要一段不含C编译器生成的函数框架的纯汇编代码。读者可以直接用asm汇编来写,但是笔者在这里使用了C语言嵌入汇编。请注意用__declspec(naked)修饰可以生成一个裸函数。下面这个函数是一个例子:
void *g_p2c_old = NULL;

__declspec(naked) p2cInterruptProc()
{
 __asm
 {
          pushad     // 保存所有的通用寄存器
   pushfd     // 保存标志寄存器
   call p2cUserFilter // 调一个我们自己的函数。这个函数将实现
   // 一些我们自己的功能
   popfd     // 恢复标志寄存器
   popad     // 恢复通用寄存器
   jmp g_p2c_old  // 跳到原来的中断服务程序
 }
}
裸函数中什么都没有,所以也不能使用局部变量,只能全部使用内嵌汇编实现。但是读者大多数还是习惯用C语言的,所以我们可以简单的用汇编来实现一个C函数的调用。C函数可能会改变寄存器的内容,这可能是后面真正的中断处理函数所不期望的。所以在调用的前后,分别保存和恢复这些寄存器。
下面代码直接替换了IDT中的0x93号中断服务,包括获得IDT地址和替换等。但是要注意的是,这些代码只能运行在单核的,32,位操作系统上;如果有多核的话,sidt只能获得当前CPU核IDT。请注意:这个函数不但能替换,也可以完成恢复。
// 这个函数修改IDT表中的第x93项,修改为p2cInterruptProc。
// 在修改之前要保存到g_p2c_old中。
void p2cHookInt93(BOOLEAN hook_or_unhook)
{
 PP2C_IDTENTRY idt_addr = (PP2C_IDTENTRY)p2cGetIdt();
 idt_addr += 0x93;
 KdPrint(("p2c: the current address = %x.\r\n",
  (void *)P2C_MAKELONG(idt_addr->offset_low,idt_addr->offset_high)));
 if(hook_or_unhook)
 {
  KdPrint(("p2c: try to hook interrupt.\r\n"));
  // 如果g_p2c_old是NULL,那么进行hook
  g_p2c_old = (void *)P2C_MAKELONG(idt_addr->offset_low,idt_addr->offset_high);
  idt_addr->offset_low = P2C_LOW16_OF_32(p2cInterruptProc);
  idt_addr->offset_high = P2C_HIGH16_OF_32(p2cInterruptProc);
 }
 else
 {
  KdPrint(("p2c: try to recovery interrupt.\r\n"));
  // 如果g_p2c_old不是NULL,那么取消hook.
  idt_addr->offset_low = P2C_LOW16_OF_32(g_p2c_old);
  idt_addr->offset_high = P2C_HIGH16_OF_32(g_p2c_old);
 }
 KdPrint(("p2c: the current address = %x.\r\n",
  (void *)P2C_MAKELONG(idt_addr->offset_low,idt_addr->offset_high)));
}

 

阅读更多
想对作者说点什么? 我来说一句

windows内核安全编程

2009年11月06日 1.05MB 下载

没有更多推荐了,返回首页

加入CSDN,享受更精准的内容推荐,与500万程序员共同成长!
关闭
关闭