KiFastCallEntryHook

最新推荐文章于 2022-12-03 21:30:11 发布
最新推荐文章于 2022-12-03 21:30:11 发布
阅读量987 收藏 2
点赞数 3
分类专栏: Hook系列 文章标签: Hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37957965/article/details/79880418
版权
本文详细探讨了KiFastCallEntryHook,这是一种在Windows系统中实现钩子的高级技术。通过讲解其工作原理,介绍了如何利用此技术来拦截和修改函数调用,从而在系统层面实现监控和调试目的。同时,文章还讨论了可能遇到的安全和性能问题,以及如何避免这些潜在风险。
摘要由CSDN通过智能技术生成

     先根据SSDTHook给SSDTTableBase下钩子(Hook掉NtSetEvent函数),然后通过调用ZwSetEvent函数进入FakeSetEvent函数,在FakeSetEvent函数中我们通过栈回溯(ebp+4)找到主调函数KiFastCallEntry的EIP(KiFastCallEntry函数Call NtXX函数指令的下一条指令处,被调函数执行完后主调函数会从EIP中的地址继续执行),把EIP中的地址存入__KiFastCallEntryRetAddress。然后我们通过循环在KiFastCallEntry函数体中查找关键指令码,找到之后用跳转指令Hook到我们的钩子函数FakeKiFastCallEntry中。在FakeKiFastCallEntry中我们调用SysCallfilter对服务索引(ServiceIndex)进行过滤,如果是NtOpenProcess的索引我们就将FakeNtOpenProcess函数地址返回给KiFastCallEntry的ebx中,KiFastCallEntry会执行 call ebx。
KiFastCallEntryHook.h: 
#pragma once

#include<fltKernel.h>

#define MAX_PATH 260

//系统描述符 结构体
typedef struct _SYSTEM_SERVICE_DESCRIPTOR_TABLE_
{
	PVOID ServiceTableBase;		//该成员是一个指针数组 存储很多函数地址
	PVOID ServiceCounterTableBase;
	ULONG_PTR NumberOfServices;
	PVOID ParamterTableBase;
}SYSTEM_SERVICE_DESCRIPTOR_TABLE, *PSYSTEM_SERVICE_DESCRIPTOR_TABLE;



//驱动卸载派遣例程
void DriverUnload(PDRIVER_OBJECT DriverObject);

typedef
NTSTATUS
(__stdcall* LPFN_ZWSETEVENT)(IN PHANDLE EventHandle,
	OUT PLONG PreviousState OPTIONAL);


//主要函数
NTSTATUS KiFastCallEntryHook();


//调用钩子函数 更换函数地址
NTSTATUS SSDTHook(PUCHAR ZwFunctionAddress, PVOID FakeFunctionAddress, PVOID* OriginalFunctionAddress);
NTSTATUS SSDTUnhook(PUCHAR ZwFunctionAddress, PVOID FakeFunctionAddress, PVOID* OriginalFunctionAddress);


//获取KiFastCallEntry函数体中Call NtXX指令的下一行指令处
NTSTATUS FakeSetEvent (IN PHANDLE EventHandle,OUT PLONG PreviousState OPTIONAL);

//关闭写保护
VOID OnEnableWrite();
//打开写保护
VOID OnDisableWrite();
//钩子函数
VOID FakeKiFastCallEntry();

//在钩子函数中调用 判断ServiceIndex是不是NtOpenProcess函数在SSDTTableBase中的索引
//如果是 返回FakeNtOpenProcess函数地址
//如果不是 返回正常的NtXX函数地址
ULONG SysCallfilter(ULONG ServiceIndex, ULONG FunctionAddress,
最低0.47元/天 解锁文章
拉塞尔
关注
专栏目录
hook KiFastCallEntry
爱杀之爪的矩阵
11-14 2542
<br /> <br />//从hookport.sys学到的hook方法,主要是KiFastCallEntry地址的获取及hook的地方思路 //DRIVER.CPP #include "Driver.h" #define MAX_POOL_EXA 0x1000 /************************************************************************ 全局结构变量 *********************
HOOK KiFastCallEntry
weixin_34221112的博客
11-16 135
#include <ntddk.h> #include <windef.h> #include <stdlib.h> typedef struct _ServiceDescriptorTable { PVOID ServiceTableBase; //System Service Dispatch Table 的...
inline hook KiFastCallEntry
Sunny_wwc的专栏
10-14 4545
#include "ntddk.h"#include "sysenterhook.h"#if DBG#define dprintf DbgPrint#else#define dprintf(x)#endif#define BYTE unsigned char #define MEM_TAG 'CQ'#define NT_DEVICE_NAME L"//Device//sysenterhook"#define DOS_DEVICE_NAME L"//DosDevices//sysenterhook"NTSTA
KiFastCallEntry() 机制分析
无本之木
05-28 1182
本文转自:http://www.mouseos.com/windows/kernel/KiFastCallEntry.html 1. 概述 从 windows xp 和 windows 2003 开始使用了快速切入内核的方式提供系统服务例程的调用。 KiFastCallEntry() 的实现是直接使用汇编语言,C 语言不能直接表达某些操作。我从 windows 2003
转30行Hook KiFastCallEntry
XboxMicro
02-19 863
膜拜一下 #include ULONG d_origKiFastCallEntry; // Original value of ntoskrnl!KiFastCallEntry VOID OnUnload( IN PDRIVER_OBJECT DriverObject ) { DbgPrint("ROOTKIT: OnUnload called\n"); } __decl
Hook-KiFastCallEntry.rar_钩子与API截获_Visual_C++_
08-11
Hook KiFastCallEntry监控系统调用这是一个监控特定进程系统调用的小程序,整理硬盘时找到的,发出来跟大家分享。原理很简单,通过hook KiFastCallEntry实现,很老的技术了。
hook pte_菜鸟开始学习SSDT HOOK((附带源码)
weixin_35399893的博客
01-17 586
看了梦无极的ssdt_hook教程,虽然大牛讲得很细,但是很多细节还是要自己去体会,才会更加深入。在这里我总结一下我的分析过程,若有不对的地方,希望大家指出来。首先我们应该认识 ssdt是什么?从梦无极的讲解过程中,我联想到了这样一个场景:古时候有一户人家,姓李,住在皇宫外面,他们家有一个女儿进皇宫当宫女。有一天,李家的老大爷要送东西给他女儿,我们假定他可以进皇宫,于是就开始了这样一个过程。进皇宫...
OD插件之重载内核.rar
05-31
《OD插件与内核重载:深入理解驱动技术》 在计算机系统中,驱动程序是连接硬件设备和操作系统之间的桥梁,它负责管理和控制硬件设备的功能。本文将围绕"OD插件之重载内核"的主题,深入探讨驱动程序的工作原理、内核...
监控应用层通信_hook_kifastcallentry(系统服务调用)
02-02 904
#include"ntddk.h" #pragma pack(1) //写这个内存以一字节对齐 如果不写是以4字节的对齐的 typedef struct ServiceDescriptorEntry {//这个结构就是为了管理这个数组而来的 内核api所在的数组 才有这个结构的 这个是ssdt unsigned int *ServiceTableBase;//就是ServiceT
挂钩KiFastCallEntry实现驱动级进程保护
06-12
采用挂钩KiFastCallEntry函数来保护进程,使运行进程不会被恶意软件非正常终止,代码包含VC,vb调用实例.
KiFastCallEntry
Sunny_wwc的专栏
10-14 3089
<br /> PUBLIC _KiFastCallEntry<br />_KiFastCallEntry        proc<br /> <br />;此时:<br />;eax指向服务编号<br />;edx指向当前用户栈,edx+8为参数列表<br />;<br />; Sanitize the segment registers<br />;<br />        mov     ecx, KGDT_R3_DATA OR RPL_MASK    <br />        push    KG
Sysenter/Kifastcallentry hook 检测与恢复
weixin_30443747的博客
04-18 324
关于Sysenter、Kifastcallentry、中断之类的内核入口hook技术早就烂大街了,可是对hook的检测与恢复代码却是寥寥无几,一切抛开代码将原理的行为都是耍流氓。 下面以Sysenter hook技术为例子,重点分析下这类钩子的检测与恢复技术。 Sysenter简述 :   Windows2000以前用int 2e作为中断指令进入内核发起系统调用。从Windows2...
KiFastCallEntry自己理解
whowho的专栏
07-19 868
#define KI_USER_SHARED_DATA         0xffdf0000 #define SharedUserData  ((KUSER_SHARED_DATA * const) KI_USER_SHARED_DATA)   KUSER_SHARED_DATA 结构区域在 User 和 Kernel 层地址分别为: User 层地址为:0x7ffe0000
逆向分析KiFastCallEntry
最新发布
weixin_73368512的博客
12-03 183
个人的逆向分析KiFastCallEntry笔记
2、逆向分析KiFastCallEntry
Windows内核学习笔记
07-23 314
sysenter指令做了那些事情 在 Ring3 的代码调用了 sysenter 指令之后,CPU 会做出如下的操作: 1. 将 SYSENTER_CS_MSR 的值装载到 cs 寄存器 174 2. 将 SYSENTER_EIP_MSR 的值装载到 eip 寄存器 176 3. 将 SYSENTER_CS_MSR 的值加 8(Ring0 的堆栈段描述符)装载到 ss 寄存器。 4. 将 SYSENTER_ESP_MSR 的值装载到 esp 寄存器 175 5. 将特权级切换到 Ring0 6. 如果
_KiFastCallEntry静态分析
qq_41490873的博客
06-13 188
.text:0040689F _KiFastCallEntry proc near ; DATA XREF: _KiTrap01+71o .text:0040689F ; KiLoadFastSyscallMachineSpecificRegisters(x)+24o .text:0040...
系统调用计算KiFastCallEntry地址的过程以及由此得到的一种获取KiFastCallEntry地址的方式
Lagon的专栏
03-23 1838
SYENTER和SYSEXIT指令首次出现于Pentium II处理器中,其目的是为了提供一个快速(低负载) 的调用操作系统或者执行体过程的机制.SYSENTER用于运行特权级别为3的用户 调用特权级0 的系统内核代码。 WinDbg中反汇编 KiFastSystemCall可以看到SYSENTER指令。 在调用SYSENTER指令前,CPU会通过下面的MSR
KiFastCallEntry逆向&_KiSystemService 逆向
weixin_45678798的博客
07-17 452
调用NTDLL下的系统服务存根函数时,会指定一个系统服务号,在内核下,会通过_KeServiceDescriptorTable查找到指定的系统服务例程。这个过程就是系统服务分发,系统服务分发主要通过SDT表进行分发,系统可支持多个SDT表,根据传入的系统服务号进行拆分,0-11位是号的索引,12位是表的索引号。..................
Windows消息机制与Hook详解
"Window消息机制和Hook介绍" 在Windows操作系统中,消息机制是窗口程序间通信的核心。消息机制是基于事件驱动的,当用户与窗口交互或者系统发生某些事件时,Windows会生成并发送消息到相应的窗口。这些消息通常包含...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值