sandoxie获取系统服务调用地址

获取系统服务调用地址

sandoxie通过Driver_FindMissingService获取系统服务调用地址，例如获取ZwCreateToken 服务调用。

ZwCreateToken = (P_NtCreateToken) Driver_FindMissingService("ZwCreateToken", 13);
 

Driver_FindMissingService首先获取系统调用号
svc_num = Hook_GetServiceIndex(DllProc, SkipIndexes);
然后在系统调用中获取nt函数地址
svc_addr = Hook_GetNtServiceInternal(svc_num, ParamCount);
虽然不使用nt函数地址，但是需要根据nt函数地址是否正确来决定是否获取ZwSerivce的地址
svc_addr = Hook_GetZwServiceInternal(svc_num);

以下分开讲解以上三个函数。

第一、得到系统调用号或索引

_FX LONG Hook_GetServiceIndex(void *DllProc, LONG *SkipIndexes)
该函数再调用Hook_FindSyscall2得到系统调用号或索引.

_FX LONG Hook_FindSyscall2(
    void *addr, int depth, ULONG_PTR *targets, BOOLEAN check_target,
    LONG eax, LONG *skip)；

    if (check_target) {  //  这个check_target的目的是记录每一次jmp,call的地址是否已经分析过，如果已经分析过则表明该函数已经分析且没有得到数据，而这次又进入该函数进行分析，则直接返回失败。

        for (i = 0; i < (ULONG)targets[0]; ++i)
            if (targets[i] == (ULONG_PTR)addr)
                return -1;
        ++i;
        if (i > (PAGE_SIZE * NUM_TARGET_PAGES / sizeof(ULONG_PTR) - 8))
            return -1;
        targets[i] = (ULONG_PTR)addr;
        targets[0] = (ULONG)i;
    }
    //从函数开头开始分析，直到找到INST_SYSCALL指令，或者找到jmp,call等则递归调用Hook_FindSyscall2
    for (count = 0; count < 1024; ++count) {