两种HOOK IDT方法

最新推荐文章于 2024-06-01 09:32:15 发布
最新推荐文章于 2024-06-01 09:32:15 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: 内核驱动全部集合

IDT :就是系统中断表,是存放Windows的中断和异常的处理函数的表

IDT的数据结构:

 

  1. typedef struct _IDTENTRY

  2. {

  3. unsigned short LowOffset; //处理函数的低2字节

  4. unsigned short selector; //处理函数所在的段选择子

  5. unsigned char retention : 5;

  6. unsigned char zero1 : 3;

  7. unsigned char gate_type : 1;

  8. unsigned char zero2 : 1;

  9. unsigned char interrupt_gate_size : 1;

  10. unsigned char zero3 : 1;

  11. unsigned char zero4 : 1;

  12. unsigned char DPL : 2; //descriptor privilege level

  13. unsigned char P : 1;

  14. unsigned short HiOffset; //处理函数的高2字节

  15. } IDTENTRY, *PIDTENTRY;

 

 

何为段选择子参照上一篇博客

处理函数的地址可以通过一个MAKELONG(LoOffset,HiOffset)宏来获取

 

寻找IDT表:IDT表的长度与地址是由CPU的IDTR寄存器来描述的

 

 

IDTR的高32位为IDT表的地址,IDTR的低16位为IDT表的长度(以字节为单位)

求IDT表元素个数则需要用IDTR.IDT_limit / 8获取

 

  1. typedef struct _IDTR {

  2. USHORT IDT_limit;

  3. USHORT IDT_LOWbase;

  4. USHORT IDT_HIGbase;

  5. }IDTR, *PIDTR;

 

获取IDTR可以用SIDT指令获取

 

 

  1. IDTR idtr;

  2. __asm SIDT idtr;

 

 

获取IDT的地址可以通过IDTR的高32位地址获取,也可以通过遍历KiProcessorBlock数组;

为何遍历KiProcessorBlock:因为每个CPU都有自己的IDT表,所以对于多核CPU时候要获取每一个CPU对应的IDT结构。

怎么通过KiProcessorBlock来获取IDT:

KiProcessorBlock数组的每一个非0项都是指向一个_kprcb结构,而_kprcb结构正是再_kpcr结构的+0x120处,_kpcr结构的+0x38就是_IDT结构地址。

每一个IDT的成员项为8字节的_KIDTENTRY:

typedef struct _IDTENTRY
{
unsigned short LowOffset;                      //段基址低2字节
unsigned short selector; //段选择子
unsigned char retention : 5;
unsigned char zero1 : 3;
unsigned char gate_type : 1;
unsigned char zero2 : 1;
unsigned char interrupt_gate_size : 1;
unsigned char zero3 : 1;
unsigned char zero4 : 1;
unsigned char DPL : 2;
unsigned char P : 1;
unsigned short HiOffset;                           //段基址高两字节
} IDTENTRY, *PIDTENTRY;

 

可以通过windbg查看这_kpcr结构:

 

  1. lkd> dt _kpcr

  2. nt!_KPCR

  3. +0x000 NtTib : _NT_TIB

  4. +0x000 Used_ExceptionList : Ptr32 _EXCEPTION_REGISTRATION_RECORD

  5. +0x004 Used_StackBase : Ptr32 Void

  6. +0x008 Spare2 : Ptr32 Void

  7. +0x00c TssCopy : Ptr32 Void

  8. +0x010 ContextSwitches : Uint4B

  9. +0x014 SetMemberCopy : Uint4B

  10. +0x018 Used_Self : Ptr32 Void

  11. +0x01c SelfPcr : Ptr32 _KPCR

  12. +0x020 Prcb : Ptr32 _KPRCB

  13. +0x024 Irql : UChar

  14. +0x028 IRR : Uint4B

  15. +0x02c IrrActive : Uint4B

  16. +0x030 IDR : Uint4B

  17. +0x034 KdVersionBlock : Ptr32 Void

  18. +0x038 IDT : Ptr32 _KIDTENTRY

  19. +0x03c GDT : Ptr32 _KGDTENTRY

  20. +0x040 TSS : Ptr32 _KTSS

  21. +0x044 MajorVersion : Uint2B

  22. +0x046 MinorVersion : Uint2B

  23. +0x048 SetMember : Uint4B

  24. +0x04c StallScaleFactor : Uint4B

  25. +0x050 SpareUnused : UChar

  26. +0x051 Number : UChar

  27. +0x052 Spare0 : UChar

  28. +0x053 SecondLevelCacheAssociativity : UChar

  29. +0x054 VdmAlert : Uint4B

  30. +0x058 KernelReserved : [14] Uint4B

  31. +0x090 SecondLevelCacheSize : Uint4B

  32. +0x094 HalReserved : [16] Uint4B

  33. +0x0d4 InterruptMode : Uint4B

  34. +0x0d8 Spare1 : UChar

  35. +0x0dc KernelReserved2 : [17] Uint4B

  36. +0x120 PrcbData : _KPRCB

 

 

那么获取IDT的方法知道了,如何获取KiProcessorBlock:

用IDA分析内核模块ntkrnlpa模块,加载符号链接后(将windbg的symsrv.yes拷贝到IDA目录下),然后搜索KiProcessorBlock,一般ntkrnlpa导出的内核函数会有使用这个全局变量的,这里选取KeSetTimeIncrementAPI,这里直接通过硬编码定位到这个KiProcessorBlock:

 

  1. ULONG GetKiProcessorBlock()

  2. {

  3. UNICODE_STRING usFuncName;

  4. ULONG uFuncAddrKeSetTimeIncrement;

  5. RtlInitUnicodeString(&usFuncName,L"KeSetTimeIncrement");

  6. uFuncAddrKeSetTimeIncrement = (ULONG)MmGetSystemRoutineAddress(&usFuncName);

  7. if (!MmIsAddressValid((PVOID)uFuncAddrKeSetTimeIncrement))

  8. return 0;

  9.  

  10. return *(ULONG *)(uFuncAddrKeSetTimeIncrement + 44); //通过IDA搜索KiProcessorBlock来获取到偏移

  11. }

 

获取到IDT表的地址后就能够进行HOOK操作:

比如要HOOK IDT的3 号中断函数:

一法:直接修改IDT中成员的地址为Hook函数(要初始化fs寄存器,因为这是内核环境下,并且要还原fs寄存器,供原IDT函数使用):

 

  1. _declspec(naked)

  2. void Fake_InterruptFun()

  3. {

  4. _asm {

  5. pushad

  6. pushfd

  7.  

  8. push fs

  9. push 0x30

  10. pop fs //初始化fs寄存器

  11.  

  12. call FilterInterruptFun;

  13. pop fs

  14.  

  15. popfd

  16. popad

  17.  

  18. jmp g_Interrupt3

  19. }

  20. };

FilterInterruptFun这个就是自己写的过滤函数,具体想怎么实现过滤或者其他操作自己写。

后面再跳转回原来的IDT函数地址。

关键代码:

 

二法:

通过修改段选择子实现

 

段选择子结构

段选择子就是一个数字,一共有16位,结构如下:

 

  1. | 1 | 0 | 字节

  2. |7654321076543 2 10| 比特

  3. |-------------|-|--| 占位

  4. | INDEX |T|R | 含义

  5. | |I|P |

  6. | | |L |

  • INDEX:在GDT数组或LDT数组的索引号
  • TI:Table Indicator,这个值为0表示查找GDT,1则查找LDT
  • RPL:请求特权级。以什么样的权限去访问段。

段描述符结构

 

  1. | 7 | 6 | 5 | 4 | 3 | 2 | 1 | 0 | 字节

  2. |76543210|7 6 5 4 3210 |7 65 4 3210|76543210|76543210|76543210|76543210|76543210| 比特

  3. |--------|-|-|-|-|---- |-|--|-|----|--------|--------|--------|--------|--------| 占位

  4. | BASE |G|D|0|A|LIMIT|P|D |S|TYPE|<------- BASE 23-0 ------>|<-- LIMIT 15-0 ->| 含义

  5. | 31-24 | |/| |V|19-16| |P |

  6. |B| |L| | |L |

  • BASE: 段基址,由上图中的两部分(BASE 31-24 和 BASE 23-0)组成
  • G:LIMIT的单位,该位 0 表示单位是字节,1表示单位是 4KB
  • D/B: 该位为 0 表示这是一个 16 位的段,1 表示这是一个 32 位段
  • AVL: 该位是用户位,可以被用户自由使用
  • LIMIT: 段的界限,单位由 G 位决定。数值上(经过单位换算后的值)等于段的长度(字节)- 1。
  • P: 段存在位,该位为 0 表示该段不存在,为 1 表示存在。
  • DPL:段权限
  • S: 该位为 1 表示这是一个数据段或者代码段。为 0 表示这是一个系统段(比如调用门,中断门等)
  • TYPE: 根据 S 位的结果,再次对段类型进行细分。

 

在保护模式下不像在实模式下通过cs:xx来访问,而是通过段选择子和段描述符表来得到段基址 再加上IDTENTRY中的虚拟偏移得到真正的地址

所以可以修改IDT表指定中断IDTENTRY的段选择子(SELECTOR)为我们再GDT表中自己创建的GDTENTRY,再修改我们修改的GDTENTRY的offset来实现跳转到我们的Fake_InterruptFunction,实现Hook。

注意:

1.只修改想要修改的GDTENTRY的OFFSET其他的属性都不去改变

2.只修改IDTENTRY的段选择子部分

3.在Fake_InterruptFunction中要跳转回原来的段内再实现过滤或者其他的操作,Fake_InterruptFunction只是实现跳转回远啦的段内的功能。(保护模式下段间跳转使用jmp fword ptr [address],address为6位大小,前四位为跳转的函数虚拟偏移地址,后两位为所在的段选择子)

4.在实现过滤操作时候一定要保存下fs的,因为在返回用户层时候,会恢复原来的fs寄存器。

「已注销」
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[内核安全4]内核态Rootkit之IDT Hook
輚至消亡
12-19 566
IDT Hook是通过挂钩中断描述符表的一种Ring0挂钩形式。在保护模式下和实模式下的中断机制是完全不同的。实模式下有256个中断例程以供调用,可以通过对应的中断号来调用。在保护模式下中断机制变得相对复杂了,但更好用。保护模式下中断由对应的门描述符来描述,其中有三种格式,分别为: 任务门描述符 中断门描述符 陷阱门描述符 任务门描述符一般用于不同特权级的非一致代码段间跳转。和IDT HOOK没有什么关系,因为IDT HOOK是通过挂钩中断门 比如希望低特权级代码段跳转至高特权级的代码段运行就一般需
键盘过滤_IDT中断表与_修改IOAPIC重定位表寄存器_hook_单核
06-17 881
#include &lt;ntddk.h&gt; //#define BUILD_FOR_IDT_HOOK// 这一句存在,则本程序编译为替换INT0x93的做法。如果不存在,则为IOAPIC重定位做法。 typedef unsigned char P2C_U8;// 由于这里我们必须明确一个域是多少位,所以我们预先定义几个明确知道多少位长度的变量,以避免不同环境下编译的麻烦. typedef ...
推荐项目:Rusty-Hook,让您的Rust代码库更加健壮
最新发布
gitblog_00077的博客
06-01 431
推荐项目:Rusty-Hook,让您的Rust代码库更加健壮 项目地址:https://gitcode.com/swellaby/rusty-hook 在开发过程中,自动化工具的介入能极大提升效率和代码质量。今天,我们向您推荐一个专为Rust代码库设计的Git钩子实用工具——Rusty-Hook。 项目介绍 Rusty-Hook 是一款正处于Beta阶段,但功能完备的Git钩子管理器,它允许开发者...
IDT系统中断描述表以及绕过Xurtr检测的HOOK姿势
weixin_30646505的博客
07-12 339
什么是中断? 指当出现需要时,CPU暂时停止当前程序的执行转而执行处理新情况的程序和执行过程。即在程序运行过程中,系统出现了一个必须由CPU立即处理的情况,此时,CPU暂时中止程序的执行转而处理这个新的情况的过程就叫做中断。 比如:除零(0号中断)、断点(3号中断)、系统调用(2e号中断)、以及异常处理等都会引发中断,所以自然需要相应的中断例程去进行处理。 这样操作系统就会用数据结构...
简单的IDT HOOK介绍
liujiayu2的专栏
06-30 1682
IDT即中断描述表。当然系统发生中断时(有可能是CPU中断,也有可能是I/O中断等)。系统会通过中断向量查找IDT保存的ISR(中断服务程序)来调用相关的处理例程。IDT Hook就是替换这个ISR。 也许上面的过程你不是很明白。我们具体的了解下过程。 IDT是一个有256个入口的线性表。每个入口大小为8字节。每个入口值我们称为中断向量(0..255)。比如 int 30。30即中断向
x86内核页错误处理流程
小气球归来的博客
11-11 1610
Page Fault的IDTidtentry page_fault do_page_fault has_error_code=1 read_cr2=1 idtentry是一个汇编宏。 /** * idtentry - Generate an IDT entry stub * @sym: Name of the generated entry point * @do_sym: C function to be called * @has_error_code: True if t
cpuid hook(转载)
07-25
在VMX中,`CPUID`指令的hook可以发生在两种模式下:根操作模式(Root Operation Mode)和非根操作模式(Non-Root Operation Mode)。 在根操作模式下,虚拟机管理程序(VMM,Virtual Machine Monitor)可以直接控制...
卡巴斯基HOOK引擎分析
11-07
卡巴斯基的主要ring3进程是"avp.exe",它会以两种方式运行:一次是以NTAUTHORITY\SYSTEM权限运行,提供保护服务;另一次则是用于用户界面。还有其他如ProtectedObjectsSrv.exe,用于加密服务,以及运行在后台的...
键盘锁定程序调用HOOK 函数,锁定键盘,用中断的方式实现对硬件的控制。
12-16
键盘HOOK通常分为两种类型:WH_KEYBOARD和WH_KEYBOARD_LL。WH_KEYBOARD是线程级别的HOOK,适用于捕获本线程的键盘事件;而WH_KEYBOARD_LL是全局低级HOOK,可以捕获所有线程的键盘输入,无论其属于哪个进程。 当调用...
内核注入DLL驱动
11-14
通过HOOK这两个函数,可以在进程和线程创建时插入自定义代码,例如在此时注入DLL,使得注入在进程启动时就已经完成,可以避开常规的查杀机制。 5. **绕过安全检查**:由于内核注入是在操作系统的核心层进行操作,...
用户模式下的挂机中断和调用内核例程
04-07
在Windows中,主要有以下方法: 1. **系统调用(System Call)**:通过执行特定的陷阱指令(如INT 2E或SYSCALL),将控制权传递给内核。系统调用号作为参数指示要执行的服务。 2. **设备驱动接口(Device Driver ...
IDT hook_hookidt_idtHook_重载IDT中断表_hook_
10-03
hook idt表(中断描述符表)只是替换地址没有做任何事
断门 内联 钩子断门 内联 钩IDT inline hook
05-04
IDT内联钩子,可以做某些拦截IDT内联钩子,可以做某些拦截
键盘idt hook 示键
03-28
修改IDT表,使键盘中断IDT指向自己定义的中断处理函数,之后向跳向默认处理函数,实现HOOK
驱动编程-idt hook--中断描述符表
健景的博客
05-04 953
整理下之前过驱动保护的学习,idt hook也是一个经常用到的hook思路。 还是要用到inline hook进入到中断函数地址进行jmp //获取idt表地址 //修改int3中断函数 #include #include #ifdef __cplusplus extern "C" { #endif #include //这里包含需要用C方式编译的头文件 #ifdef __cplusplu
win32 IDT HOOK
博客
06-28 391
HOOK IDT
中断描述符表IDT的预初始化
yarsen的专栏
10-06 1353
中断描述符表IDT的预初始化    当计算机运行在实模式时,IDT被初始化并由BIOS使用。然而,一旦真正进入了Linux内核,IDT就被移到内存的另一个区域,并进行进入实模式的初步初始化。  1.中断描述表寄存器IDTR的初始化      用汇编指令LIDT对中断向量表寄
IDT 中断提权
南宫封清的博客
11-08 215
搭建双机调试环境 我这里2台都是win10 查看系统的IDT表 获取IDT表的地址 r idtr 然后使用dq 地址 l40 查看各异常的处理函数地址 l42 的最后一条就是0x20 的中断处理函数 与虚拟机中的进行比较 现在我们在中断表中加一个我们自己定义的中断,我们发现int 0x20没有被使用 在vs中新建控制台工程,注意是64位的程序因为我们...
黑客爱用的HOOK技术大揭秘!
2201_75362610的博客
06-18 1347
病毒木马为何惨遭杀软拦截?商业软件为何频遭免费破解?系统漏洞为何能被补丁修复?《什么是HOOK技术?上面是开个玩笑,言归正传,今天来聊的话题就是安全领域一个非常重要的技术:HOOK技术。HOOK,英文意思是“钩子”在计算机编程中,HOOK是一种「劫持」程序原有执行流程,添加额外处理逻辑的一种技术。按照这个定义,其实我们Python中的装饰器和Java中的注解,这种面向切面编程的手法在某种程度上来说,也算是HOOK
android hook静态方法
03-28
总的来说,Hook静态方法是一种强大的技术手段,它允许开发者在不改变原有代码的情况下,增加或修改方法的行为。这在很多场景下都非常有用,比如在测试、调试、安全分析以及一些特殊的需求实现中。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值