驱动编程-idt hook--中断描述符表

最新推荐文章于 2018-10-08 19:30:10 发布
最新推荐文章于 2018-10-08 19:30:10 发布
阅读量951 收藏
点赞数
分类专栏: window驱动 文章标签: asm kernel
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_14972057/article/details/51317237
版权

整理下之前过驱动保护的学习,idt hook也是一个经常用到的hook思路。

还是要用到inline hook进入到中断函数地址进行jmp

//获取idt表地址
//修改int3中断函数
#include<ntddk.h>
#include <windef.h>
#ifdef __cplusplus
extern "C"
{
#endif
#include <NTDDK.h> //这里包含需要用C方式编译的头文件
#ifdef __cplusplus
}
#endif 

#pragma pack(push)
#pragma pack(1) //
typedef struct _IDTR //IDT基址
{
	USHORT limit; //范围 占8位
	ULONG base;  //基地址 占32位 PIDT_ENTRY类型指针
}IDTR,*PIDTR;

typedef struct _IDT_ENTRY
{
	USHORT offset_low; //中断处理函数地址低16位
	USHORT selector;
	UCHAR  reserved;
	UCHAR  type:4; 
    UCHAR  always0:1;
	UCHAR  dpl:2;
	UCHAR  present:1;
	USHORT offset_high;//中断处理函数地址低16位
}IDT_ENTRY,*PIDT_ENTRY;//+3.offset_high<<16+offset_low //int 3 中断处理函数地址
#pragma pack(pop) //#pragma pack(pop)
//======================value=============
ULONG jmpaddr_int3proc_9;
//======================value end=============
ULONG GetIDTAddr(){
	IDTR idt_info;
	__asm sidt idt_info
	//KdPrint(("\n idt_info.base %x\n",idt_info.base));
	return idt_info.base;

}

//获取Int3的入口函数
ULONG GetInt3Addr(){
	IDT_ENTRY *idtInt3 = (PIDT_ENTRY)GetIDTAddr();
	//KdPrint(("idtInt3 %x\n",idtInt3));
	//KdPrint(("*idtInt3 %x\n",*idtInt3));
	idtInt3 += 3; //去Int3入口结构
	//KdPrint(("idtInt3 %x\n",idtInt3));
	//ULONG int3Addr = (idtInt3->offset_high)<<16+(idtInt3->offset_low);//错误实例 。。。先+在进行<<的
	ULONG int3Addr = (idtInt3->offset_high<<16)+idtInt3->offset_low;
	//KdPrint(("int3Addr %x\n",int3Addr));
最低0.47元/天 解锁文章
健景
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
<寒江独钓>Windows内核安全编程__键盘过滤之内核级Hook(二)
The New Old Things
10-17 3741
Windows内核安全编程__键盘过滤内核级Hook(二) 如果不想让键盘过滤驱动程序或回调函数首先获得按键,则必须比端口驱动更加底层一些。 早期版本的QQ反盗号驱动的原理是这样的:用户要输入密码时(比如把输入焦点移动到了密码框里),就注册一个中断服务来接管键盘中断,比如0x
windwos键盘的过滤(Hook键盘中断反过滤与利用IOAPIC重定位修改处理函数)
u012640985的专栏
04-24 1379
果不想让键盘过滤驱动程序或回调函数首先获得按键,则必须比端口驱动更加底层一些。 早期版本的QQ反盗号驱动的原理是这样的:用户要输入密码时(比如把输入焦点移动到了密码框里),就注册一个中断服务来接管键盘中断,比如0x93中断,之后按键就不关键驱动的事了。
中断描述符IDT的预初始化
yarsen的专栏
10-06 1350
中断描述符IDT的预初始化    当计算机运行在实模式时,IDT被初始化并由BIOS使用。然而,一旦真正进入了Linux内核,IDT就被移到内存的另一个区域,并进行进入实模式的初步初始化。  1.中断描述寄存器IDTR的初始化      用汇编指令LIDT中断向量
寒江独钓-键盘过滤学习2修改IDT + IOAPIC重定位截获PS2键盘中断
weixin_30423977的博客
12-07 249
分析在源码上 直接上源码吧 读取出了扫描码 其实就知道了 按了哪些健了 一般按一下 有两个 扫描码 一个是 按下 一个是弹起 我将原来的源码改写可以输出 ASCII码···························· 主要是如果台式机的USB键盘可能就不支持了 但想来大多数都是用的 PS/2系列键盘的吧? 修改IDT-- 说白了...
开启键盘中断
wanyongtai的博客
05-13 1515
设置中断描述符 struct GATE_DESCRIPTOR *idt = (struct GATE_DESCRIPTOR *)0x0026f800; int i; for(i = 0; i &amp;amp;amp;amp;lt; 256; i++){ set_gatedesc(idt + i, 0, 0, 0); } load_idtr(0x7ff, 0x0026f800); //键盘是IRQ1中断响...
IDT hook_hookidt_idtHook_重载IDT中断_hook_
10-03
中断描述符(Interrupt Descriptor Table, IDT)是x86架构下操作系统用来管理中断和异常的关键数据结构。IDT Hooking是一种技术,用于监控或修改系统中断处理流程,通常在系统调试、恶意软件分析和安全研究中被...
内核模式的apihook.zip_HOOK 内核_hook_内核_内核 hook_驱动hook应用api
09-21
2. **创建Hook**:一旦找到API地址,就需要创建一个钩子,这可能涉及替换函数入口点、设置中断描述符IDT)项或使用其他内核级的拦截机制。 3. **处理钩子**:当API被调用时,钩子代码会先被执行。这里可以进行...
寒江独钓-Windows内核安全编程(高清完整版).part6
01-04
主要知识重点包括:Windows串口与键盘过滤驱动、Windows虚拟存储设备与存储设备过滤驱动、Windows文件系统过滤驱动、文件系统透明加密/解密驱动、Windows各类网络驱动(包括TDI过滤驱动及三类NDIS驱动),以及最新的...
寒江独钓-Windows内核安全编程(高清完整版).part1
01-04
主要知识重点包括:Windows串口与键盘过滤驱动、Windows虚拟存储设备与存储设备过滤驱动、Windows文件系统过滤驱动、文件系统透明加密/解密驱动、Windows各类网络驱动(包括TDI过滤驱动及三类NDIS驱动),以及最新的...
寒江独钓-Windows内核安全编程(高清完整版).part4
01-04
主要知识重点包括:Windows串口与键盘过滤驱动、Windows虚拟存储设备与存储设备过滤驱动、Windows文件系统过滤驱动、文件系统透明加密/解密驱动、Windows各类网络驱动(包括TDI过滤驱动及三类NDIS驱动),以及最新的...
键盘idt hook 示键
03-28
修改IDT,使键盘中断IDT指向自己定义的中断处理函数,之后向跳向默认处理函数,实现HOOK
捕捉键盘中断消息
coral333的博客
06-17 431
(void) signal(SIGQUIT, handleExitSignal);     (void) signal(SIGINT,  handleExitSignal);     (void) signal(SIGABRT, handleExitSignal);     (void) signal(SIGTERM, handleExitSignal);     (void) atexi
IDT系统中断描述以及绕过Xurtr检测的HOOK姿势
weixin_30646505的博客
07-12 334
什么是中断? 指当出现需要时,CPU暂时停止当前程序的执行转而执行处理新情况的程序和执行过程。即在程序运行过程中,系统出现了一个必须由CPU立即处理的情况,此时,CPU暂时中止程序的执行转而处理这个新的情况的过程就叫做中断。 比如:除零(0号中断)、断点(3号中断)、系统调用(2e号中断)、以及异常处理等都会引发中断,所以自然需要相应的中断例程去进行处理。 这样操作系统就会用数据结构...
IDT HOOK
crkres9527
10-08 563
  A、实例演示    B、替换IDT处理函数    C、IDT HOOK 代码书写      //840dFaa1  //-----------全局变量-------------------------------- ULONG int3proc_addr; //用来存放int 3处理函数地址 ULONG jmpaddr_int3proc_9; //用来存放intproc+9处理...
IDT hook KiTrap03
weixin_30632899的博客
03-23 190
关于idt的基本知识就不进行赘述了,先看一个例子 0x1000: mov eax,0 0x1006: Int 3 ;------->进入内核,找到中断处理例程KiTrap03 0x1007: Mov eax,1 这段代码执行,触发3号中断,然后开始执行KiTrap03例程,要知道,执行完中断以后还是要回到原来的程序处继续执行...
SSDT-hook,IDT-hook原理
fun0526的专栏
08-04 2507
<br /><br />【详细过程】<br />这次主要说说核心层的hook。包括SSDT-hookIDT-hook,sysenter-hook。欢迎讨论,指正!内核层需要驱动,有这方面的基础最好,如果不会,了解下其中的思路也可以的。<br /><br />II. SSDT-hook,IDT-hook,sysenter-hook<br />一.SSDT-hook<br />(一)一般思路:<br />1.先来了解一下,什么是SSDT<br />SSDT既System Service Dispath Tab
键盘过滤_IDT中断与_修改IOAPIC重定位寄存器_hook_单核
06-17 877
#include &lt;ntddk.h&gt; //#define BUILD_FOR_IDT_HOOK// 这一句存在,则本程序编译为替换INT0x93的做法。如果不存在,则为IOAPIC重定位做法。 typedef unsigned char P2C_U8;// 由于这里我们必须明确一个域是多少位,所以我们预先定义几个明确知道多少位长度的变量,以避免不同环境下编译的麻烦. typedef ...
rootkit hook之[四]-- IDT Hook
kansa1988的专栏
03-14 309
<br />今天我们一起来学习下Rootkit里面的IDT hook. 由于涉及到一些基本概念,在这里也顺便提一下。呵呵,帖子比较长,慢慢看。闲话少说,直奔主题。<br /><br /> 我们首先来了解下什么是IDT?<br /> IDT = Interrupt Descriptor Table 中断描述<br /><br /> IDT是一个有256个入口的线形,每个IDT的入口是个8字节的描述符,所以整个IDT的大小为256*8=2048 bytes,每个中断向量关 联了一个中断处理过程
第7章中断处理程序
xiezhi123456的博客
09-17 3192
7.2 中断处理程序 在响应一个特定中断的时候,内核会执行一个函数,该函数叫做中断处理程序或中断服务例程。产生中断的每个设备都有一个相应的中断处理程序。例如,由一个函数专门处理来自系统时钟的中断,而另外一个函数专门处理由键盘产生的中断。一个设备的中断处理程序是它设备驱动程序的一部分——设备驱动程序是用于对设备进行管理的内核代码。 在Linux中,中断处理程序是普通的C函数。只不过这些函数必须按...
pre-receive hook declined
最新发布
01-31
pre-receive hook declined是指在Git版本控制系统中,pre-receive钩子被拒绝执行的情况。pre-receive钩子是在Git服务器接收到推送操作之前执行的脚本,用于验证推送的内容或者执行其他自定义操作。 当pre-receive...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值