了解_idt_hook

最新推荐文章于 2021-08-11 14:29:51 发布
最新推荐文章于 2021-08-11 14:29:51 发布
阅读量320 收藏
点赞数
分类专栏: 内核驱动全部集合
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq1841370452/article/details/71619705
版权 
#include "ntddk.h"

#define WORD	USHORT
#define DWORD	ULONG
#define MAKELONG(a, b)      ((LONG)(((WORD)(((DWORD_PTR)(a)) & 0xffff)) \
	| ((DWORD)((WORD)(((DWORD_PTR)(b)) & 0xffff))) << 16))

typedef struct _IDTR{
	USHORT   IDT_limit;
	USHORT   IDT_LOWbase;
	USHORT   IDT_HIGbase;
}IDTR, *PIDTR;
typedef struct _IDTENTRY
{
	unsigned short LowOffset;
	unsigned short selector;
	unsigned char retention : 5;
	unsigned char zero1 : 3;
	unsigned char gate_type : 1;
	unsigned char zero2 : 1;
	unsigned char interrupt_gate_size : 1;
	unsigned char zero3 : 1;
	unsigned char zero4 : 1;
	unsigned char DPL : 2;
	unsigned char P : 1;
	unsigned short HiOffset;
} IDTENTRY, *PIDTENTRY;
typedef struct _KGDTENTRY {
	USHORT  LimitLow;
	USHORT  BaseLow;
	union {
		struct {
			UCHAR   BaseMid;
			UCHAR   Flags1;     // Declare as bytes to avoid alignment
			UCHAR   Flags2;     // Problems.
			UCHAR   BaseHi;
		} Bytes;
		struct {
			ULONG   BaseMid : 8;
			ULONG   Type : 5;
			ULONG   Dpl : 2;
			ULONG   Pres : 1;

			ULONG   LimitHi : 4;
			ULONG   Sys : 1;
			ULONG   Reserved_0 : 1;
			ULONG   Default_Big : 1;
			ULONG   Granularity : 1;
			ULONG   BaseHi : 8;
		} Bits;
	} HighWord;
} KGDTENTRY, *PKGDTENTRY;
//global
ULONG	g_InterruptFunc3;
void PageProtectOn()
{
	__asm{//恢复内存保护  
		mov  eax, cr0
			or   eax, 10000h
			mov  cr0, eax
			sti
	}
}

void PageProtectOff()
{
	__asm{//去掉内存保护
		cli
			mov  eax, cr0
			and  eax, not 10000h
			mov  cr0, eax
	}
}
void __stdcall FilterInterruptFunc3()
{
	USHORT u_es, u_ds;
	KdPrint(("当前进程:%s", (char*)PsGetCurrentProcess() + 0x174)); //当前进程触发了 中断历程 进入内核
	__asm{
		mov	u_es, es
			mov u_ds, ds
	}
	KdPrint(("%X,%X", u_es, u_ds));
}
__declspec(naked)
void NewInterruptFunc3()
{
	__asm{
		pushad
			pushfd
			push	fs
			push	0x30
			pop		fs
			call	FilterInterruptFunc3
			pop		fs
			popfd
			popad
			jmp		g_InterruptFunc3
	}
}
ULONG	GetInterruptFuncAddress(ULONG InterruptIndex)
{
	IDTR		idtr;
	IDTENTRY	*pIdtEntry;
	__asm	SIDT	idtr;//读idt表
	pIdtEntry = (IDTENTRY *)MAKELONG(idtr.IDT_LOWbase, idtr.IDT_HIGbase);//求idt表的地址
	return MAKELONG(pIdtEntry[InterruptIndex].LowOffset, pIdtEntry[InterruptIndex].HiOffset);//得到3号中断函数的地址 老地址 返回的是个4字节的
}
VOID SetInterrupt(ULONG InterruptIndex, ULONG NewInterruptFunc)
{
	ULONG			u_fnKeSetTimeIncrement; //ULONG 4字节
	UNICODE_STRING	usFuncName;
	ULONG			u_index;
	ULONG			*u_KiProcessorBlock;
	IDTENTRY		*pIdtEntry;
	PKGDTENTRY		pGdt;
	RtlInitUnicodeString(&usFuncName, L"KeSetTimeIncrement");
	u_fnKeSetTimeIncrement = (ULONG)MmGetSystemRoutineAddress(&usFuncName);//得到系统程序地址 内核模块里的函数的地址
	if (!MmIsAddressValid((PVOID)u_fnKeSetTimeIncrement))
	{
		return;
	}
	u_KiProcessorBlock = *(ULONG**)(u_fnKeSetTimeIncrement + 44);//定位得到  全局变量的地址
	u_index = 0;
	while (u_KiProcessorBlock[u_index])// 多核4核cpu
	{
		pIdtEntry = *(IDTENTRY**)(u_KiProcessorBlock[u_index] - 0xE8);//找到idt表数组
		PageProtectOff();
		pIdtEntry[InterruptIndex].LowOffset = (unsigned short)((ULONG)NewInterruptFunc & 0xffff);//取新函数低4位值 16位二进制不变 前16位全是0   
		pIdtEntry[InterruptIndex].HiOffset = (unsigned short)((ULONG)NewInterruptFunc >> 16);//取新函数高4位值
		pGdt = *(PKGDTENTRY*)(u_KiProcessorBlock[u_index] - 0xE4);
		KdPrint(("GDT:%X--%X--%X--%X", pGdt, pGdt[1].BaseLow, pGdt[1].HighWord.Bits.BaseMid, pGdt[1].HighWord.Bits.BaseHi));
		PageProtectOn();
		u_index++;
	}
}

VOID MyUnload(PDRIVER_OBJECT	pDriverObject)
{
	SetInterrupt(3, g_InterruptFunc3);
}
NTSTATUS DriverEntry(PDRIVER_OBJECT	pDriverObject, PUNICODE_STRING Reg_Path)
{
	USHORT u_cs;
	g_InterruptFunc3 = GetInterruptFuncAddress(3);
	__asm	mov		u_cs, cs;
	KdPrint(("%X--%X", NewInterruptFunc3, u_cs));
	SetInterrupt(3, (ULONG)NewInterruptFunc3);
	pDriverObject->DriverUnload = MyUnload;
	return STATUS_SUCCESS;
}

 

「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IDT hook_hookidt_idtHook_重载IDT中断表_hook_
10-03
标题“IDT hook_hookidt_idtHook_重载IDT中断表_hook_”暗示了我们将探讨如何挂钩(hookIDT来重载中断处理程序。在Windows和Linux等操作系统中,通过改变IDT中的条目,我们可以替换默认的中断处理程序,达到拦截...
内存分配详解 malloc, new, HeapAlloc, VirtualAlloc,GlobalAlloc
07-21 399
很多地方都会使用内存,内存使用过程中操作不当就容易崩溃,无法运行程序,上网Google学习一下,了解整理下他们之间的区别以及使用 ,获益匪浅 0x01 各自的定义和理解   (1)先看GlobalAlloc()     GlobalAlloc()主要用于Win32应用程序实现从全局堆中分配出内存供2017-03-05程序使用,是16位WINDOWS程序使用的API,对应于系统的全局栈,返回...
PE结构之重定位表
weixin_30462049的博客
11-13 162
什么是重定位: 重定位就是你本来这个程序理论上要占据这个地址,但是由于某种原因,这个地址现在不能让你占用,你必须转移到别的地址,这就需要基址重定位。你可能会问,不是说过每个进程都有自己独立的虚拟地址空间吗?既然都是自己的,怎么会被占据呢?对于EXE应用程序来说,是这样的。但是动态链接库就不一样了,我们说过动态链接库都是寄居在别的应用程序的空间的,所以出现要载入的基地址...
学习/认识CPU的GDT
weixin_34378969的博客
03-08 614
correy · 2015/08/11 14:540x00 关于GDTCPU相信大家都知道是啥玩意,哪三个单词缩写。GDT对于一些不搞底层的人知道的可能还有一些。GDT就是global descriptor table的缩写。相应的还有个local descriptor tables (LDT),这个不再此文的讨论范围内。这在保护模式教程中经常看到,但是这和咱们程序员有啥关系呢? 1.留后门就是进...
各路BOSS精英怪刷点,欢迎各路大神来补充
11-25 742
沃玛森林此处路过碰到一精英怪,立马截了图上传   送TA礼物  回复 1楼2016-03-28 16:19 9377游戏 传奇1.76版本 怀旧经典游戏 传奇官方登录 1.76版传奇,热血PK,大型攻城,沃玛教主,祖玛教主,经典传奇,不容错过.散人天堂,传奇玩家的福音. 2018-11-25 06:38 广告   晚风爷   屠龙刀 12 ...
hook_进程隐藏
07-16
总结起来,`hook_进程隐藏`涉及到的是Windows内核驱动开发,特别是系统调用挂钩技术,用于在用户不知情的情况下隐藏进程。这种技术在学习系统底层知识、逆向工程和安全研究中具有重要意义,但应谨慎使用,以免触及...
所有种类的钩子,用户层的API HOOK,内核驱动层的SSDT-hookIDT-hook,sysenter-hook.zip
01-27
本压缩包包含的资源涉及了用户层API Hook、内核驱动层的SSDT(System Service Dispatch Table)HookIDT(Interrupt Descriptor Table)Hook以及sysenter Hook,这些都是Windows操作系统中实现系统级控制的关键技术...
SR_rootkit
04-14
通过hook IDT条目,rootkit可以劫持中断处理程序,进一步扩展其在系统中的控制。 5. **Kernel Function Hooking:** SR_rootkit可能还会hook内核函数,这允许它在函数被调用前后执行自定义代码,从而改变系统行为或...
HOOK NtOpenProcess 保护指定进程
05-15
实施HOOK技术需要深入理解Windows内核的工作原理,包括系统调用表(System Service Dispatch Table, SSDT)和中断描述符表(Interrupt Descriptor Table, IDT)。在Windows中,`NtOpenProcess`的地址位于SSDT中,...
端口通信
07-11 336
应用程序function.h function.cppmain.cpp #ifndef FUNCTION_H #define FUNCTION_H //#include "../MyDriver/Ioctls.h" DWORD ReadPort(HANDLE hDevice,DWORD port); VOID WritePort(HANDLE hDevice,DWORD po...
系统回调介绍
06-13 448
这个BugCheckCallback每当系统发出错误检查时,都会执行例程。 这个KBUGCHECK_次要转储数据结构描述了一段驱动程序提供的数据,这些数据由KbCallbackSecdaryDumpData例程写入崩溃转储文件。 使用   设置 PspNotifyEnableMask 为 0 CreateProcess CreateThread LoadImage 回调函数都不会起作用 ...
lua内置函数读写文件
03-15 1231
用lua内置函数读写文件 --io.open(文件名,操作方式) --操作方式有"w" 写模式 "r"读模式 "a"追加模式 function writefile_test() myfile=io.open("lisaisai.txt","w") --myfile相当于文件句柄 文件指针 if myfile==nil then print("创建文件出错") else myfi
c++加载驱动文件
weixin_30478619的博客
08-12 1046
#include <windows.h> #include <winsvc.h> #include <conio.h> #include <stdio.h> #define DRIVER_NAME "HelloDDK" #define DRIVER_PATH "..\\MyDriver\\MyDriver_Check\\...
魔恩:如何找CALL参数[esp/ebp+*]来源与局部变量[ebp-*]来源
10-25 2485
找这种:MOV EBX,DWORD PTR SS:[ESP+10]  的来源,要知道:[esp/ebp+8]  是CALL的第一个参数         [esp/ebp+0c] 是CALL的第二个参数         [esp/ebp+10] 是CALL的第三个参数      类推,每次都是加4,因为push 占用4字节。找法的话,通过找上一层CALL的参数,例如:[esp+8] 是上一层第一个参...
国内首部大型C++网络游戏开发教程624+课时,MINI快跑、水果忍者、DirectX技术、传奇游戏3 2014年3月
07-21 1012
国内首部大型C++网络游戏开发教程624+课时,MINI快跑、水果忍者、DirectX技术、传奇游戏3 500联系方式 见主页
DKOM隐藏驱动
08-28 521
DKOM(Direct Kernel Object Manipulation)就是直接内核对象操作技术。所有的操作系统都在内存中存储记账信息,他们通常采用结构或对象的形式,由对象管理器管理。当用户空间进程请求操作系统信息例如进程、线程或设备驱动程序列表时,这些对象被报告给用户。这些对象或结构位于内存中,因此可以直接对其进行修改。隐藏进程主要关注的windows关键数据结构是:进程的EPROCESS...
过TesSafe反WinDbg双机调试
cqyczj的专栏
06-09 1244
貌似论坛里面有关游戏的贴子都很火,所以发篇帖子涨点人气。 正文: 在论坛搜索了下发现去年的时候有人发过一篇过TesSafe反双机调试的帖子,但是现在已经过时了,并且帖子里面也没提到怎么处理被IAT HOOK的两个函数。在这里呢,我就给大家彻底的讲明白吧。 先开ARK工具看看游戏干了什么。 从图片可以看到游戏启动的时候对ntkrnlmp.exe中的kdcom.KdSe
win2003服务器360修复漏洞打不开网页,WIN2003服务器出现HookPort 服务启动失败的解决办法!...
weixin_28864485的博客
08-11 279
[全站通告]如需人工一对一付费服务(业务),请加微信 2589053300 进行沟通处理-非诚勿扰问题描述:Win2003系统每次开机启动时都弹出个对话框报HookPort 服务启动失败,很多网友都遇到同类问题,问题根源是360安全卫士引起的,官方一直没有给出解决方案,去他们论坛上发贴也没人理,哥只有自己处理了,现在发上来和广大网友们共享!解决办法:1.删除360安全卫士或升级他们的软件试下;2....
USE_TICK_HOOK
最新发布
04-18
USE_TICK_HOOK是一个宏定义,用于在编程中启用或禁用tick hook功能。tick hook是一种机制,允许在每个时钟周期(tick)执行特定的操作或函数。在一些实时系统或需要精确控制时间的应用中,tick hook可以用于实现定时...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值