inline hook MmIsAddressValid

最新推荐文章于 2022-05-25 23:05:30 发布
最新推荐文章于 2022-05-25 23:05:30 发布
阅读量419 收藏
点赞数 1
分类专栏: 驱动开发 代码 文章标签: hook byte object
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jbwd1/article/details/7380751
版权
  
//用于inline hook
#include <ntddk.h>
KIRQL Irql;
extern PEPROCESS pEprocess;

/******************************************************************************************///   hook MmIsAddressValid
ULONG g_uCr0;
ULONG AddrOfOb;
BYTE OldAddr[5]={0};//保存被HOOK函数的前五个字节
BYTE HookAddr[5]={0XE9,0,0,0,0};  //JMP ADDR指令,HOOK时要改写后面四个字节
BYTE jmp_orig_code[7] = { 0xEA, 0, 0, 0, 0, 0x08, 0x00 };//长转移,需要绝对地址
//调用次序:
//ObReferenceObjectByHandle---JMP---MyObReferenceObjectByHandle(内部调用---GotoOriginalMmIsAddressValid(内部跳转到ObReferenceObjectByHandle)---)
//用于调用原始ObReferenceObjectByHandle
/*******************************************************************************************/

_declspec (naked) BOOLEAN GotoOriginalMmIsAddressValid(
	                  IN PVOID  VirtualAddress
)
{
	__asm {  // 共12字节
      _emit 0x90
      _emit 0x90
      _emit 0x90
      _emit 0x90
      _emit 0x90  // 前5字节实现原函数的头5字节功能
      _emit 0x90  // 这个填充jmp
      _emit 0x90
      _emit 0x90
      _emit 0x90
      _emit 0x90  // 这4字节保存原函数+5处的地址
      _emit 0x90  
      _emit 0x90  // 因为是长转移,所以必须是 0x0080
  };
}
//自己的实现函数
//导致XUETR0.45无法看到进程
__declspec (naked) BOOLEAN  MyMmIsAddressValid(
                       IN PVOID  VirtualAddress
)
{
	/*__asm
    {    
       pushad
       pushfd
    }*/
	if(VirtualAddress==pEprocess)
	  {
		  VirtualAddress=0;
		  _asm
		  {
			  jmp GotoOriginalMmIsAddressValid;//(Handle,DesiredAccess,ObjectType,AccessMode,*Object,HandleInformation);
		  }
	}  
	/*__asm
	{
		popfd
		popad
	}*/
	else
	{
	    _asm
        {
            jmp GotoOriginalMmIsAddressValid
        }
	}
}

void inlineHookMmIsAddressValid()
{
    ULONG uAttr;
    AddrOfOb=(ULONG*)MmIsAddressValid;
	DbgPrint("原始MmIsAddressValid地址:%X\n",AddrOfOb);
	//保存原函数前五个字节的内容
	RtlCopyMemory(OldAddr,(BYTE*)MmIsAddressValid,5);

	//保存新函数的偏移
	*(ULONG*)(HookAddr+1)=(ULONG)MyMmIsAddressValid-((ULONG)MmIsAddressValid+5);//相对地址

	//开始inline hook
    //关闭内存写保护

   
    _asm
    {
        push eax;
        mov eax, cr0;
        mov uAttr, eax;
        and eax, 0FFFEFFFFh; // CR0 16 BIT = 0
        mov cr0, eax;
        pop eax;
        ;cli
    }

    g_uCr0 = uAttr; //保存原有的 CRO

  
    //提升IRQL中断级
    Irql=KeRaiseIrqlToDpcLevel();

	RtlCopyMemory((BYTE*)MmIsAddressValid,HookAddr,5);//拷贝到原始函数5个字节
	*((ULONG*)(jmp_orig_code + 1)) = (ULONG)((BYTE*)MmIsAddressValid+5);//这4字节保存原函数+5处的地址
    RtlCopyMemory((BYTE*)GotoOriginalMmIsAddressValid,OldAddr,5);//拷贝原始函数5个字节到跳转函数前五个字节
    RtlCopyMemory((BYTE*)GotoOriginalMmIsAddressValid+ 5,jmp_orig_code,7);//填充跳转函数

	//恢复Irql
    KeLowerIrql(Irql);
    //开启内存写保护
    _asm
    {
        ;sti
        push eax;
        mov eax, g_uCr0; //恢原有 CR0
        mov cr0, eax;
        pop eax;
    }
}
/******************************************************************************************/

futosky
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
inline hook 源码
11-14
**inline hook**是一种在程序运行时修改代码行为的技术,它涉及到计算机编程中的底层知识,特别是与操作系统、处理器架构和动态代码篡改相关的概念。本文将深入探讨inline hook的原理、实现方式以及它在x86和x64架构...
代码实例分析android中inline hook
08-28
Android 中的 Inline Hook 技术详解 Android 中的 Inline Hook 技术是指在 Android 操作系统中,使用 Hook 技术来拦截和修改应用程序的行为。Inline Hook 是一种常用的 Hook 技术,通过在应用程序的代码中注入一段...
MmIsAddressValid
01-25 542
ULONG readmemory(IN ULONG windowh,IN ULONG BaseAdd,IN ULONG BufferSize) {   //参数一:窗口句柄 参数二:要读取的地址 参数三:读取的大小   HANDLE ProcessId=0;   ProcessId =(HANDLE) RealNtUserQueryWindow(windowh, 0);//窗口句柄转化为进
ProbeForRead/Write和MmIsAddressValid
qq_42814021的博客
10-21 893
ProbeForRead/Write 在开发驱动模块时,有时候需要处理来自用户态进程发送的IOCTL请求。在解析参数的时候,如果有用户地址空间的内存,要检测是否可以读(ProbeForRead)写(ProbeForWrite)。 看一下这两个函数的具体实现: ProbeForRead函数就是简单的检查了一下对齐粒度,然后看这块地址是否属于用户层**(地址末尾要小于MmUserProbeAddress)** 3: kd> dd MmUserProbeAddress 849ac850 7fff0000
ProbeForRead()和MmIsAddressValid()
zacklin的专栏
06-12 2814
虽然之前就知道这个两个函数是不同的,但是由于代码功能也没什么异常所以一直没太管。 前段时间扫描程序面对一个使用了新版插件的调试器无法进行内存读取,我一开始以为是被自我保护了,但是看看返回的错误码,并不是获取进程失败,而是读取的内存地址不存在。 一步一步跟下来,发现是在校验被读取地址范围的有效性时出了问题,我是用MmIsAddressVaild()做的校验,但是被判断的地址
Inline Hook_inlinehook_x86_x64_64位HOOK_
09-28
Inline Hook是一种技术,主要用于在程序运行时修改函数的行为。它涉及到计算机编程中的底层技术,特别是逆向工程和软件调试领域。Inline Hook的核心是通过在原函数的代码中插入额外的指令来实现对函数调用的拦截,...
使用内核三步实现InlineHook的详细分析
07-06
Inlinehook.通俗的说就是对函数执行流程进行修改。达到控制函数过滤操作的目的。理论上我们可以在函数任何地方把原来指令替换成我们的跳转指令,也确实有些人在inlineHook的时候做得很深,来躲避inlineHook的检测。...
inlineHook工具类
08-12
**inlineHook工具类详解** 在Android开发或者逆向工程领域,`inlineHook`是一种常见的代码注入技术,它允许开发者在不修改原始代码的情况下,对特定函数进行动态替换,以实现功能增强、性能优化或者调试目的。`...
[windows内核]分析MmIsAddressValid
r250414958的博客
09-19 3063
如果有过驱动编程经验的人一定会了解这个函数MmIsAddressValid(),这个函数的作用简单来说就是验证一个地址可否使用,因为在驱动编程里稍有不慎就会导致BSOD,会在读取和写入数据的时候都要非常谨慎,做好充足的判断。 这是MSDN中的解释 https://docs.microsoft.com/en-us/windows-hardware/drivers/ddi/ntddk/nf-ntddk-mmisaddressvalid If no page fault would occur from r
MmIsAddressValid、ProbeForRead、ProbeForWrite函数分析
zz_strive_2012的专栏
12-19 1102
MmIsAddressValid WDK文档中给出的功能描述: The MmIsAddressValid routine checks whether a page fault will occur for a read or write operation at a given virtual address. 根据描述来看这个函数的功能只是去检查读写操作会不会触发一个页错误,但是作为一个...
保护模式(八)pde与pte、基址、 逆向MmIsAddressValid
weixin_37673331的博客
02-26 984
Windows保护模式学习笔记(七)—— PDE&PTE 原创 ...
[转](23)逆向分析 MmIsAddressValid 函数(XP系统 10-10-12分页)
weixin_41875267的博客
11-16 231
一、找到 MmIsAddressValid 函数 方法一:在windbg中输入 u MmIsAddressValid 方法二:在c:\windows\system32\ 中找到内核程序,用IDA分析。 ntkrnlpa.exe 2-9-9-12 分页内核 ntoskrnl.exe 10-10-12 分页内核 打开 ntoskrnl.exe 后,导入pdb文件,即可查看函数名称。 如果你没有pdb文件,请先安装对应系统版本的符号文件。 ...
MmIsAddressValid()做了些什么
pureman_mega的博客
03-25 956
从函数的名称可以看出是判断地址是否有效,下面是反汇编代码和C代码。它主要判断地址是否对齐来确定地址是否有效。nt!MiIsAddressValid: 840bcaa8 8bff mov edi,edi 840bcaaa 55 push ebp 840bcaab 8bec mov ebp,esp 840bcaa
漏洞预防
m0_55875295的博客
05-25 197
内核驱动漏洞原因和七大忠告 不要使用MMIsAddressValid函数,这个函数对于校验内存结果是UNreliable的 首先,他只能判断一个字节地址的有效性 比如:​​​​​​ if(MmIsAdressValid(p1)){ memcmp(p1,p2,len); } 攻击者只需要传递第一个字节在有效页,而第二个字节在无效页的内存就会导致系统崩溃。比如0x7000是有效也 0x8000是无效也 传入0x7fff 其次,MmIsAddressValid对于 pageout的页面不能准..
自己动手,制作inline hook扫描工具
M-先生
03-28 3039
很久没来论坛了,今天来跟大家一起讨论一下关于检测内核中inline hook IAT hook方面的知识 我们平时常用的工具中xuetr和kd都提供了这个功能,比较方便地可以让我们看出来是谁在我们的电脑中做了什么手脚 不过现在有很多软件或者游戏不希望我们看到它们做的种种坏事,纷纷封杀掉这些工具, 更有甚者检测到这类工具启动立马给我来个蓝脸或者重启 这也太霸道了,这到底成了谁的电脑了? 于
更安全的MmIsAddressValid
zhuhuibeishadiao
06-05 4278
代码来着开源工具 CheatEngine 在初始化是先调用InitMemSafe() 然后就可以使用IsAddressSafe来代替MmIsAddressValid了 int PTESize; UINT_PTR PAGE_SIZE_LARGE; UINT_PTR MAX_PDE_POS; UINT_PTR MAX_PTE_POS; struct PTEStruct { un
重载内核全程分析笔记
热门推荐
whatday的专栏
11-05 1万+
标 题: 【原创】重载内核全程分析笔记 作 者: Speeday 时 间: 2013-08-20,20:19:46 链 接: http://bbs.pediy.com/showthread.php?t=177555 还记得七夕的那几天,老V率先把AGP的源码发布出来,然后是EasyDebugger的源码出土,后面陆续有很多大牛把珍藏已久的代码拿出来晒太阳,那段疯狂的日子,让看雪论坛都面
深入解析内核 Inline Hook 实现
"详谈内核的Inline Hook实现" 本文深入探讨了内核级Inline Hook的原理和实现,Inline Hook是一种强大的技术,它允许我们在函数执行过程中插入自定义的行为,以达到控制或过滤函数操作的目的。在理解Inline Hook之前...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值