关于Hook的一些理解

我们平时所说的IDT Hook，Dispatch Hook，SSDT Hook...等，是指钩住IDT中断服务例程，Dispatch 例程和SSDT系统服务，这是Hook应用上的分类，也就是拦截它们的调用，要解决的是钩什么的问题。

Inline Hook是用来实现Hook的一种方式，它和上面所说的Hook完全不是一个概念，它解决的是怎么钩的问题，一个是应用方式，一个是实现机制，IDT，Dispatch和SSDT都是可以用inline Hook来实现的。

比如我把IDT Handler的前5个字节换成长跳转跳到我的函数中运行，再用跳板函数把前5字节的指定运行后再跳回Handler+5偏移处，这样可以实现IDT Hook。

同样的Dispatch的例程我也可以这样处理，把Dispatch例程的前5字节换成跳转，跳到我的函数中，同样用一个跳板函数运行前5字节的指令，再跳回原函数的起使地址+5的位置，SSDT的也可以这样，也就是说inline Hook是实现这三种Hook的一种机制，而不是inline Hook和IDT Hook，Dispatch Hook，SSDT Hook都是一相同概念的Hook技术。

只不过有些用不着inline Hook，有些调用是用一个函数指针表，像KeServiceDescriptTable，不要总说它是什么系统服务描述表，C语言和机器语言里没有这个概念，这是操作系统一级的概念，从编译后的程序代码上来讲没有这个概念的，只从程序的角度来讲，只不过是一个结构里面一个成员(Base是一个函数指针数组)，我们根据一个下标把这个指针数组中的某个条目改了(改条目在这里也是解决怎么钩的问题)，就是所谓的SSDT Hook，它和下面的代码没有任何本质上的区别，确切的说下面的代码和Dispatch例程替换Hook也没有本质上的区别，不同的地方在于索引从哪里找 (ZwXXX函数地址+1的位置？IRP_MJ_XXX??)，你理解了这个代码，你就理解了SSDT Hook最本质的东西，只差一些细节需要注意，比如页写保护:

#include <stdio.h>

typedef enum
{
SSDT_SHOW1,
SSDT_SHOW2,
SSDT_MAX
}SSDT_INDEX;

void Show1(void)
{
printf("show1");
}

void Show2(void)
{
printf("show2");
}

typedef void (*SSDT[SSDT_MAX])(void);

SSDT SystemTable[SSDT_MAX]={Show1,Show2};

struct
{
SSDT *Base;
int Count;
//...其它成员
}KeServiceDescriptTable;

void HookShow2(void)
{
Show2();
}

int main(void)
{
KeServiceDescriptTable.Base=SystemTable;
KeServiceDescriptTable.Count=SSDT_MAX;
//我们替换函数表项
*KeServiceDescriptTable.Base[SSDT_SHOW2]=HookShow2;

//当系统调用SHOW2时会先进Hookshow
(*KeServiceDescriptTable.Base[SSDT_SHOW2])();

return 0;
}

Inline Hook最怕的是函数前5字节指令里有jmp，因为jmp指令里带的是相对偏移量，你把指令移了位置它一跳到相对的位置就错了，这是个很简单的算术问题，100+5=105，200+5就是205了，本来指令在100它跳到105，但现在它移了位置到了200，它往后相对跳5就到了205，肯定是错的。

IDT,SSDT,DISPATCH Hook都是Hook，但是用什么机制来实现Hook的转移控制流程才是最本质的。