x64 内核 InlineHook

最新推荐文章于 2024-08-20 09:21:26 发布
最新推荐文章于 2024-08-20 09:21:26 发布
阅读量884 收藏 4
点赞数 1
分类专栏: X64 内核安全编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41490873/article/details/118280526
版权

需要使用LDE反汇编引擎

#include<ntddk.h>
#include"LDE.h"
#define kmalloc(_s) ExAllocatePoolWithTag(NonPagedPool, _s, 'SYSW')
#define kfree(_p) ExFreePool(_p)

KIRQL WPOFFx64()
{
	KIRQL irql = KeRaiseIrqlToDpcLevel();
	UINT64 cr0 = __readcr0();
	cr0 &= 0xfffffffffffeffff;
	__writecr0(cr0);
	_disable();
	return irql;

}

void WPONx64(KIRQL irql)
{
	UINT64 cr0 = __readcr0();
	cr0 |= 0x10000;
	_enable();
	__writecr0(cr0);
	KeLowerIrql(irql);
}

void *GetFunctionAddr(PCWSTR FunctionName)
{
	UNICODE_STRING UniCodeFunctionName;
	RtlInitUnicodeString(&UniCodeFunctionName, FunctionName);
	return MmGetSystemRoutineAddress(&UniCodeFunctionName);
}

ULONG GetPatchSize(PUCHAR Address)
{
	ULONG LenCount = 0, Len = 0;
	while (LenCount < 14)	//至少需要14字节
	{
		Len = LDE(Address, 64);
		Address = Address + Len;
		LenCount = LenCount + Len;
	}
	return LenCount;
}

//传入:待HOOK函数地址,代理函数地址,接收原始函数地址的指针,接收补丁长度的指针;返回:原来头N字节的数据
PVOID HookKernelApi(IN PVOID ApiAddress, IN PVOID Proxy_ApiAddress, OUT PVOID *Original_ApiAddress, OUT ULONG *PatchSize)
{

	KIRQL irql;
	UINT64 tmpv;
	PVOID head_n_byte, ori_func;
	UCHAR jmp_code[] = "\xFF\x25\x00\x00\x00\x00\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF";
	UCHAR jmp_code_orifunc[] = "\xFF\x25\x00\x00\x00\x00\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF";

	//计算需要多少完整字节数
	*PatchSize = GetPatchSize((PUCHAR)ApiAddress);

	//读取原函数头部被覆盖的值
	head_n_byte = kmalloc(*PatchSize);
	irql = WPOFFx64();
	memcpy(head_n_byte, ApiAddress, *PatchSize);
	WPONx64(irql);

	//step 2: Create ori function
	ori_func = kmalloc(*PatchSize + 14);	//原始机器码+跳转机器码
	RtlFillMemory(ori_func, *PatchSize + 14, 0x90);

	tmpv = (ULONG64)ApiAddress + *PatchSize;	//跳转到没被打补丁的那个字节
	memcpy(jmp_code_orifunc + 6, &tmpv, 8);
	memcpy((PUCHAR)ori_func, head_n_byte, *PatchSize);
	memcpy((PUCHAR)ori_func + *PatchSize, jmp_code_orifunc, 14);
	*Original_ApiAddress = ori_func;

	//step 3: fill jmp code
	tmpv = (UINT64)Proxy_ApiAddress;
	memcpy(jmp_code + 6, &tmpv, 8);

	//step 4: Fill NOP and hook
	irql = WPOFFx64();
	RtlFillMemory(ApiAddress, *PatchSize, 0x90);
	memcpy(ApiAddress, jmp_code, 14);

	WPONx64(irql);
	return head_n_byte;
}

//传入:被HOOK函数地址,原始数据,补丁长度
VOID UnhookKernelApi(IN PVOID ApiAddress, IN PVOID OriCode, IN ULONG PatchSize)
{
	KIRQL irql;
	irql = WPOFFx64();
	memcpy(ApiAddress, OriCode, PatchSize);
	WPONx64(irql);

	//后续还要释放申请的内存
}


typedef NTSTATUS(__fastcall *PSLOOKUPPROCESSBYPROCESSID)(HANDLE ProcessId, PEPROCESS *Process);
ULONG64 my_eprocess = 0;	//待保护进程的eprocess
ULONG pslp_patch_size = 0;	//PsLookupProcessByProcessId被修改了N字节
PUCHAR pslp_head_n_byte = NULL;	//PsLookupProcessByProcessId的前N字节数组
PVOID ori_pslp = NULL;	//PsLookupProcessByProcessId的原函数


NTSTATUS Proxy_PsLookupProcessByProcessId(HANDLE ProcessId, PEPROCESS *Process)
{
	NTSTATUS st;
	st = ((PSLOOKUPPROCESSBYPROCESSID)ori_pslp)(ProcessId, Process);
	DbgPrint("进入代理函数\n");
	return st;
}

VOID HookPsLookupProcessByProcessId()
{
	pslp_head_n_byte = HookKernelApi(GetFunctionAddr(L"PsLookupProcessByProcessId"),
		(PVOID)Proxy_PsLookupProcessByProcessId,
		&ori_pslp,
		&pslp_patch_size);
}

VOID UnhookPsLookupProcessByProcessId()
{
	UnhookKernelApi(GetFunctionAddr(L"PsLookupProcessByProcessId"),
		pslp_head_n_byte,
		pslp_patch_size);
}

VOID DriverUnload(PDRIVER_OBJECT pDriver)
{
	UnhookPsLookupProcessByProcessId();
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver,PUNICODE_STRING pRegPath)
{
	LDE_init();
	pDriver->DriverUnload = DriverUnload;

	HookPsLookupProcessByProcessId();

	return 0;
}
qq_857305819
关注
专栏目录
Windows内核API HOOKInline Hook
daiwen的专栏
04-18 1413
名字起得好,Inline hook,乍一听,似乎很高深。此处的Inline,我以为,意指将汇编代码直接写入内核API的内存区域。Inline Hook不像用户态Hook或SSDT hook(用C语言就足够),它需要在程序中嵌入汇编代码(Inline Assembly)以操作堆栈和执行内核API对应的部分汇编指令。当然,这些都须以驱动的形式进行。所谓API Hook,就是用自己写的函数去替代系统AP
Win64 驱动内核编程-23.Ring0 InLineHook 和UnHook
天使也掉毛
03-26 5157
Ring0InLineHook和UnHook 如果是要在R0里hook,作者的建议是InLineHOOK,毕竟SSDTHOOK和SHADOWSSDTHOOK比较麻烦,不好修改。目前R3的InLineHOOK我比较喜欢的是MINIHOOKENGINE,但是今天要解决的是R0的InLineHOOK问题。 下面说下InLineHOOK的思路: 一、实现...
Inline Hook_inlinehook_x86_x64_64位HOOK_
09-28
一个Inline Hook插件
And64InlineHook 开源项目教程
最新发布
gitblog_01144的博客
08-20 329
And64InlineHook 开源项目教程 And64InlineHook项目地址:https://gitcode.com/gh_mirrors/an/And64InlineHook 项目介绍 And64InlineHook 是一个轻量级的 ARMv8-A(ARM64 AArch64 Little-Endian)内联挂钩库,专为 Android C/C++ 开发设计。该项目允许开发者在 And...
Windows下x86和x64平台的Inline Hook介绍
PeaZomboss的博客
02-17 1851
Windows下Inline Hook技术可以用来拦截一个指定的函数,并使其跳转到指定的地址执行相应的程序,从而实现某种想要的效果,本文介绍了x86和x64平台下Inline Hook的原理和基本使用方法,着重于x64下可行的方案,以及适用于多线程的方法。
详谈内核三步走Inline Hook实现
ivan240的专栏
11-30 1180
 http://www.cppblog.com/sleepwom/archive/2009/10/17/98819.html?opt=admin 详谈内核三步走Inline Hook实现(一)Inline hook原理Inline hook通俗的说就是对函数执行流程进行修改,达到控制函数过滤操作的目的。理论上我们可以在函数任何地方把原来指令替换成我们的跳转指令,也确实有些人在inline
inline hook x86 x64
01-27
inline hook x86 x64 windows
简单linux 下 x64任意地址的inlinehook
liutianheng654的博客
03-25 1368
相对主流工具frida,更加快速的inlinehook,代码简单,可以针对性进行修改
WIN64位驱动 InLine_HOOK框架
12-28
《关于WIN64位驱动InLine_HOOK框架的深入解析》 在计算机编程领域,驱动程序是操作系统与硬件设备之间的桥梁,而InLine_HOOK框架则是一种常见的驱动技术,它允许开发者在不修改目标代码的情况下,对特定函数进行...
12.内核拦截 inLine Hook.mp4
09-10
windows x64驱动程序开发 12.内核拦截
SSDT 对抗 ring0 inline hook, 通过SSDT绕过inline Hook.zip
01-24
在x86/x64架构的CPU中,操作系统运行在ring0特权级别,这是最高的权限等级,可以访问所有的硬件资源。黑客或恶意软件通常会使用ring0 inline hook来监控或篡改系统关键函数的行为。它们会直接在内核模式下的原函数...
X64 inline hook CreateProcessInternalW
11-24
X64 inline hook explorer.exe-->CreateProcessInternalW监视进程创建. vc2008+WIN7 64测试通过.
HOOK 完美支持x86/x64
05-24
完美支持x86、x64,调用方式灵活,x64下可以支持 5字节跳转,12字节跳转,14字节跳转,配合 HookApp 内核注入驱动使用,能达到做好的效果。
普及X64 ssdtshadow inline HOOK
落笔飞花笑百生的博客
09-22 3094
序: 我只想说~~再不发帖老大就 不搭理我了~~~ 原因:玩保护玩到了 XINGCODE3 就他的各种检测就让我不得不重视这个问题了:o: 各种窗口 各种X 我的工具 让我忍无可忍,就决定先HOOK了在说其他 最开始我用TA 的代码里面的 HOOK 方法 在 挂钩 NT 内核中的函数算是无往不利 在SHADOWSSDT中就蛋疼菊花紧了~~ 于是 开始自己搞:mad::mad:
win10 x64inlineHook SSDT里面的函数
吾无法无天的博客
02-13 4651
inlineHook的原理: 为了方便好理解,一些变量名和函数名在这里使用中文命名,有些编译器不支持中文命名,在这里要注意(我的是VS2019) hook.h: #pragma once #include<ntifs.h> #include<ntddk.h> #pragma intrinsic(__readmsr) //SSDT表 typedef str...
驱动开发:内核InlineHook挂钩函数
CSDN
10-31 9586
在上一章中,LyShark教大家如何通过LDE64引擎实现计算反汇编指令长度,本章将在此基础之上实现内联函数挂钩,内核中的InlineHook函数挂钩其实与应用层一致,都是使用劫持执行流并跳转到我们自己的函数上来做处理,唯一的不同的是内核Hook只针对内核API函数,但由于其身处在最底层所以一旦被挂钩其整个应用层都将会受到影响,这就直接决定了在内核层挂钩的效果是应用层无法比拟的,对于安全从业者来说学会使用内核挂钩也是很重要。挂钩的原理可以总结为,通过得到原函数地址,然后保存该函数的前15。
pg3 bypass源码阅读 —— 学习x64内核hook跳板技术
Returns' Station
07-28 3863
如之前描述的 pg3复杂了许多 先来看看都要hook哪些点 1、hook dpc和定时器分发器,防止seh路线触发pg KiTimerListExpire,KiRetireDpcList 看一下hookhook的就是call的位置。 这里有两种方案:一种是直接jmp + 64bit addr,显然有同步问题,需要暂停所有c
win7 x64 inline hook的尝试
Jaylon的专栏
07-11 3738
最近因为虚机性能问题,需要验证下是不是因为内核态加锁时间过长导致,所以需要在内核hook两个内核函数:KeAcquireSpinLockAtDpcLevel和KeReleaseSpinLock,虚机的操作系统是win7 64位。所以在内核hook,我采用inline hook的方式,有借鉴的blog:https://blog.csdn.net/u013761036/article/detail...
360内核 inline Hook 分析
09-09 562
今天下载了360的最新的版本,想看下最近360在内核的钩子与以前有没有变化! 与以前一样还是通过分析找到360下钩子的地方。结果发现与以前没有什么变化。 Hook之前: kd&gt; u nt!KiFastCallEntry+0xe1 nt!KiFastCallEntry+0xe1: 8053e621 2be1 sub esp,ecx 8053e623 c1e9...
深入解析内核 Inline Hook 实现
"详谈内核Inline Hook实现" 本文深入探讨了内核Inline Hook的原理和实现,Inline Hook是一种强大的技术,它允许我们在函数执行过程中插入自定义的行为,以达到控制或过滤函数操作的目的。在理解Inline Hook之前...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值