【A-Protect】x86 Hook 系统调用

最新推荐文章于 2022-10-27 10:39:25 发布
置顶 最新推荐文章于 2022-10-27 10:39:25 发布
阅读量734 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jammg/article/details/82718660
版权

 

代码

DriverEntry 创建线程,部分执行代码如下:



VOID IsKernelBooting(IN PVOID Context)
{

// ...

	_asm
	{
		pushad;
		mov ecx, 0x176;                     // msr EIP
		rdmsr;
		mov KiFastCallEntry, eax;
		popad;
	}
	if (*KiFastCallEntry == 0xe9)           // 0xe9 , jmp
	{
		DbgPrint("Terminate System Thread\n");
		return;
	}

// ...

}

 

解析

 

这段代码主要是获取到 KiFastCallEntry 函数的地址。

 

  1. pushad/popad


    将以下寄存器压入栈、出栈,以便在汇编中使用寄存器。

     
  2. rdmsr 

    读取MSR寄存器的内容,并将读取到的内容高32bit存储在EDX,低32bit存储在EAX。

    MSR 寄存器是在x86 中使用 快速系统调用 依赖的寄存器(区别int 0x2E自陷)。

    在 x86 中,系统调用服务过程使用三个MSR寄存器,如下:
      
    SYSENTER_CS_MSR,   //0x174
SYSENTER_EIP_MSR,  //0x176, 包含KiFastCallEntry地址
SYSENTER_ESP_MSR   //0x175
    所以,rdmsr执行之后,EAX就存储了 KiFastCallEntry 函数的起始地址。


     
  3. 获取到KiFastCallEntry 之后,根据其第一字节是否为0xe9判断该函数是否已经被Hook,0xe9对应jmp指令。


     
  4. x86 快速系统调用 过程:





    KiFastCallEntry 函数地址就是存储在 SYSENTER_EIP_MSR 内容对应的寄存器。

 

 

后记

 

  1. 以上代码仅适用于 x86 使用快速调用的方式,也就是 sysenter/sysexit;在x64中,快速系统调用已更改为 syscall/sysret。

 

 

weilin.jiang
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
HOOK API 完美支持 x86 x64
05-24
完美支持 x86、x64 HOOK,有多种选项,x64 下支持 5字节跳转,12字节跳转和14字节跳转,另有内核版本。
【C++】D3D11 最新HOOK 源码支持X86_X64
05-21
【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64
Windows的HooK技术实现(支持X86/X64版本)
江海细流的专栏
10-03 3375
hook技术应用广泛,如热补丁升级技术,API劫持,软件破解等,是一门很实用的逆向安全技术。本文就简明的讲解hook技术的基本原理,实现方法,同时送上demo实例。 HOOK技术的基本原理 HOOK的基本原理 Hook技术的原理的:就是修改程序的运行时PC指针,让程序跳到我们指定的代码中运行,运行完我们的程序,程序PC指针又回到原来程序的下一条指令。简而言之:就篡改程序的运行路径,来执行我们的程序。 二.Hook技术的实现 1)需求分析 ...
linux系统下的各种hook方式\Linux内核hook系统调用
热门推荐
西京刀客
08-26 1万+
文章目录一、linux系统下的各种hook方式1. 函数指针hook2. 动态库劫持3. Linux系统调用劫持 hook4. 堆栈式文件系统5. LSM二、Linux内核hook系统调用 一、linux系统下的各种hook方式 在计算机中,基本所有的软件程序都可以通过hook方式进行行为拦截,hook方式就是改变原始的执行流, Linux平台上常见的拦截: 修改函数指针。 用户态动态库拦截。 内核态系统调用拦截。 堆栈式文件系统拦截。 LSM(Linux Security Modules) 1. 函数
操作系统的学习笔记(二)x86操作系统接口和系统调用
weixin_43470170的博客
10-27 372
x86操作系统接口和系统调用
阅读笔记:x86系统调用入门
新博客请访问- http://oliveryang.net
07-07 7515
阅读笔记:x86系统调用入门原作者: Russ Blaine原文来自: http://blogs.sun.com/roller/page/rab译注者: BadcoffeeEmail: blog.oliver@gmail.comBlog: http://blog.csdn.net/yayong2005年7月按:要开始学习像操作系统这样复杂的东东是一个令人头痛的问题。为了帮助新学者理清头绪,这里我们
nvidia-container-runtime-hook-1.4.0-2.x86_64.rpm
06-19
centos7.4+ nvidia-docker2 安装所需要的必备包之一 libnvidia-container-tools-1.0.2-1.x86_64.rpm ...nvidia-container-runtime-hook-1.4.0-2.x86_64.rpm nvidia-docker2-2.0.3-3.docker18.09.6.ce.noarch.rpm
emqx-lua-hook:EMQ X钩钩
02-03
在emqx-lua-hook-master文件中,可能包含了以下内容: 1. `src/` 目录:存放插件的Erlang源代码,其中可能有加载和管理Lua脚本的模块。 2. `priv/` 目录:存放Lua脚本,这些脚本会被插件加载并在适当的时候执行。 3...
apache-atlas-2.1.0-hbase-hook.tar.gz
05-10
压缩包内的“apache-atlas-hbase-hook-2.1.0”文件包含了实现上述功能所需的全部组件和配置文件。安装和配置此Hook通常包括以下步骤: 1. **解压文件**:首先,你需要解压“apache-atlas-2.1.0-hbase-hook.tar.gz”...
react-modal-hook:使用React Hooks来处理模态的语法糖
05-02
npm install --save react-modal-hook 用法 使用ModalProvider为您的应用程序提供模态上下文: import React from "react" ; import ReactDOM from "react-dom" ; import { ModalProvider } from "react-modal-hook...
修改MSR对syscall指令HOOK
12-12
修改MSR(lstar)对syscall指令HOOK. 本身在win7 x64 sp1使用VS2013开发。
linux x86平台elf 进程注入so并且实现基于rel的hook ubuntu14.01测试通过
08-21
linux x86平台elf 进程注入so并且实现基于rel的hook ubuntu14.01测试通过
linux内核hook系统调用execve函数
12-07
功能:hook系统调用execve函数,在系统调用dpkg命令时返回。 这样系统无法安装软件,以及删除软件。 1.下载后 解压直接 make编译 2. sudo insmod hook.ko 进行安装 3. sudo dmesg --follow 查看内核调试信息 4....
Linux Rootkit之三:系统调用劫持简介
Remy的学习记录
07-24 2447
系统调用
多种HOOK方式
OSminCao的博客
10-16 1536
1.利用runtime交换方法的实现,破坏微信的注册 2.利用runtime addmethod 添加新方法实现hook 3.利用runtime 替换方法实现hook 4,利用 runtime get set IMP 实现Hoook 推介使用第四种方法,比较简单好用。
函数劫持
forfcw
07-23 456
#include <stdio.h> #include <stdlib.h> #include <Windows.h> #include<string.h> #include "detours.h" #pragma comment(lib,"detours.lib") //指针存储系统函数 static BOOL (WINAPI *poldCrea...
linux系统调用劫持ioctl
weixin_30325971的博客
11-03 156
实验环境:linux 2.6.32 64位系统 采用lkm(动态加载内核模块)方式劫持ioctl系统调用系统调用过程如图所示(以open为例子) 实验代码:(头文件有不需要的,但是懒得改了,在系统开发时依赖 kernel-devel开发工具) #include <linux/module.h> #include <linux/kernel.h> #inc...
x86_64汇编之六:系统调用(system call)
qq_29328443的博客
07-10 5985
本文将主要讲述如何在汇编语言代码中调用Linux系统调用。 一、32位系统系统调用 在32位x86 Linux系统中,可用的系统调用定义在/usr/include/asm/unistd_32.h头文件中。 每个系统调用都对应一个编号 以及 若干个参数。如果想使用汇编语言调用系统调用,那么在调用之前,需要将系统调用编号存到%eax,将参数依次存到%ebx, %ecx, %edx, %esi, %edi, %ebp中,然后再执行int $0x80指令即可。 每个系统调用的编号和参数列表可以参考:https:
光纤振动传感器的研究.doc
最新发布
07-16
传感器
linux hook 系统调用
06-28
Linux Hook 系统调用是指在 Linux 操作系统中,通过修改系统调用表来拦截和修改系统调用的行为。这种技术可以用于实现各种功能,如监控系统调用、实现安全策略、实现虚拟化等。Hook 系统调用的实现方式有多种,如...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值