驱动开发:内核层InlineHook挂钩函数

最新推荐文章于 2023-12-07 21:39:03 发布
最新推荐文章于 2023-12-07 21:39:03 发布
阅读量167 收藏
点赞数
分类专栏: android 文章标签: 驱动开发 计算机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012804784/article/details/127626364
版权
本文介绍内核层驱动开发中的InlineHook挂钩技术。通过保存原函数指令并替换为代理函数地址,实现在内核层对函数的控制。这种方式影响全局,对于安全从业者具有重要意义。示例代码展示了如何保护进程免于被任务管理器结束。
摘要由CSDN通过智能技术生成

🚀 优质资源分享 🚀

学习路线指引(点击解锁) 知识定位 人群定位
🧡 Python实战微信订餐小程序 🧡 进阶级 本课程是python flask+微信小程序的完美结合,从项目搭建到腾讯云部署上线,打造一个全栈订餐系统。
💛Python量化交易实战💛 入门级 手把手带你打造一个易扩展、更安全、效率更高的量化交易系统

在上一章《驱动开发:内核LDE64引擎计算汇编长度》中,LyShark教大家如何通过LDE64引擎实现计算反汇编指令长度,本章将在此基础之上实现内联函数挂钩,内核中的InlineHook函数挂钩其实与应用层一致,都是使用劫持执行流并跳转到我们自己的函数上来做处理,唯一的不同的是内核Hook只针对内核API函数,但由于其身处在最底层所以一旦被挂钩其整个应用层都将会受到影响,这就直接决定了在内核层挂钩的效果是应用层无法比拟的,对于安全从业者来说学会使用内核挂钩也是很重要。

挂钩的原理可以总结为,通过MmGetSystemRoutineAddress得到原函数地址,然后保存该函数的前15个字节的指令,将自己的MyPsLookupProcessByProcessId代理函数地址写出到原始函数上,此时如果有API被调用则默认会转向到我们自己的函数上面执行,恢复原理则是将提前保存好的前15个原始字节写回则恢复原函数的调用。

原理很简单,基本上InlineHook类的代码都是一个样子,如下是一段完整的挂钩PsLookupProcessByProcessId的驱动程序,当程序被加载时则默认会保护lyshark.exe进程,使其无法被用户使用任务管理器结束掉。

// 署名权
// right to sign one's name on a piece of work
// PowerBy:
最低0.47元/天 解锁文章
u012804784
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Windows内核API HOOKInline Hook
daiwen的专栏
04-18 1387
名字起得好,Inline hook,乍一听,似乎很高深。此处的Inline,我以为,意指将汇编代码直接写入内核API的内存区域。Inline Hook不像用户态Hook或SSDT hook(用C语言就足够),它需要在程序中嵌入汇编代码(Inline Assembly)以操作堆栈和执行内核API对应的部分汇编指令。当然,这些都须以驱动的形式进行。所谓API Hook,就是用自己写的函数去替代系统AP
内核三步走实现Inline Hook
06-18
内核中实现Inline Hook的第一步是定位到要挂钩内核函数。这通常涉及到读取内核符号表,确定函数的入口地址。在Linux系统中,可以使用`/proc/kallsyms`文件或者内核模块的符号导出来获取函数地址。此外,了解目标...
Hook内核函数ZwSetValueKey
05-11
给初学驱动的人的一个简单例子,Hook内核函数ZwSetValueKey,实现一个在IE或者注册表调用SetValueKey函数的时候附加了一个修改主页的操作。代码内还提供了一个简单的获取默认浏览器的功能,另外还有其他小惊喜
详谈内核三步走Inline Hook实现
ivan240的专栏
11-30 1145
 http://www.cppblog.com/sleepwom/archive/2009/10/17/98819.html?opt=admin 详谈内核三步走Inline Hook实现(一)Inline hook原理Inline hook通俗的说就是对函数执行流程进行修改,达到控制函数过滤操作的目的。理论上我们可以在函数任何地方把原来指令替换成我们的跳转指令,也确实有些人在inline
360内核 inline Hook 分析
09-09 544
今天下载了360的最新的版本,想看下最近360在内核的钩子与以前有没有变化! 与以前一样还是通过分析找到360下钩子的地方。结果发现与以前没有什么变化。 Hook之前: kd> u nt!KiFastCallEntry+0xe1 nt!KiFastCallEntry+0xe1: 8053e621 2be1 sub esp,ecx 8053e623 c1e9...
64-bits-inline-hook:内联挂钩PsLookupProcessByProcessId
04-29
内联挂钩Inline Hook)是计算机编程中一种高级技术,主要应用于逆向工程、调试以及系统监控等领域。在64位环境下,内联挂钩的实现相比32位环境更为复杂,因为64位架构通常有更严格的指令集和内存对齐要求。本文将...
Windows Inline Hook Demo
12-16
在Ring0级别,Inline Hook常用于监控或修改系统关键函数的行为,例如控制设备驱动、优化系统性能或进行恶意活动。 在Windows中,实现Ring0级别的Inline Hook需要编写驱动程序,这里提到的"MyDriver"很可能是这样一...
Inline Hook Demo
12-16
内核Inline Hook是Windows操作系统开发中的一个高级技术,它涉及到系统级编程、驱动开发以及逆向工程等领域。本文将深入探讨Inline Hook的概念、工作原理,并通过提供的"MyDriver"压缩包文件,展示如何在内核态...
HOOK graphics driver_.zip_d3d_d3d驱动hook_显卡D3D_显卡驱动_驱动源码
07-15
在Windows系统中,这可能包括使用 ZwCreateSection、ZwMapViewOfSection 等内核API来挂钩内存操作,或者使用IoCreateDevice、DriverEntry等函数来修改设备驱动的行为。 四、驱动源码分析 压缩包中的"HOOK graphics...
NT内核下的inline hook
04-29 1154
inline hook原理大概如下:     修改被HOOK函数A的头5个字节,使其跳转到我们自定义的函数B,函数B的类型与函数A要相同。因为我们是使用JMP直接跳转到函数B, 而不是使用正常的CALL指令。在函数B内,我们可以检查函数参数,然后可以直接返回。也可以再调用函数A的一个副本。这个副本在HOOK动作发生的同时,就保存下来了。     代码非常简单,工程打包供大家学习。高手飘过/* * 
5.9 Windows驱动开发内核InlineHook挂钩技术
最新发布
CSDN
12-07 7326
内核挂钩的原理是一种劫持系统函数调用的技术,用于在运行时对系统函数进行修改或者监控。其基本思想是先获取要被劫持的函数的地址,然后将该函数的前15个字节的指令保存下来,接着将自己的代理函数地址写入到原始函数上,这样当API被调用时,就会默认转向到自己的代理函数上执行,从而实现函数的劫持。
arm64 内核 inline hook
inquisiter
02-17 2034
linux 内核对于安全可能是比较重要的一环。 关于syscall table 表替换的问题 这里以linux 4.15和4.19为代表的说明我遇到的问题。 syscall hook 4.15 4.19 拥有可读写状态 hook成功 hook失败 这里似乎到4.19添加了对systable的保护。 如果非要对systable进行hook,可能替换这页表,改变物理地址指向是一种解...
x64 内核 InlineHook
qq_41490873的博客
06-27 858
需要使用LDE反汇编引擎 #include<ntddk.h> #include"LDE.h" #define kmalloc(_s) ExAllocatePoolWithTag(NonPagedPool, _s, 'SYSW') #define kfree(_p) ExFreePool(_p) KIRQL WPOFFx64() { KIRQL irql = KeRaiseIrqlToDpcLevel(); UINT64 cr0 = __readcr0(); cr0 &= 0xff
Windows内核实验005 Inline Hook
鬼手的博客
11-17 1147
文章目录准备工作寻找Inline Hook的返回地址编写代码动态变化的返回地址JmpTargetAddrInline Hook基本框架示例代码实战HOOK KiTrap01无需计算偏移的Inline Hook方法示例代码 准备工作 寻找Inline Hook的返回地址 假设我们现在要HOOK KiFastCallEntry这个内核函数,让所有的程序在进入零环之前先跳到我们自己的代码。 但是会出现...
必备绝技——hook大法(中)
04-26 1562
 【文章标题】: 必备绝技——hook大法( 中 )【文章作者】: LvG【作者邮箱】: LvG2008@gmail.com【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!--------------------------------------------------------------------------------【详细过程】  这次主要说说核心hook。包
Rootkit---HOOK内核驱动
q759451733的博客
04-16 1316
当插入一个内核驱动时,一般会使用工具insmod,该工具实际上调用了系统调用init_module,在该系统调用函数中,首先调用 load_module,把用户空间传入的整个内核模块文件创建成一个内核模块,返回一个struct module结构体。内核中便以这个结构体代表这个内核模块。 init_module系统调用定义,可以看到主要是调用了load_module。 在load_module中,主要prepare_coming_module,准备将内核模块进行加载。 prepare_coming_mo
再谈360内核inline Hook
anxi2128的博客
09-30 293
  前几天写了一篇 360内核 inline Hook 分析 有朋友感觉我没有把360的Hook函数说清楚以至于产生误会。上一篇博客确实没有把这个问题说清楚。   在上篇文章中说到360是Hook nt!KiFastCallEntry+0xe1 这个位置是没有错的,只是严格的讲是在_KiSystemServiceRepeat 当中进行的Hook,很有意思的是_KiSystemSe...
Hook 内核函数技术细节
FISH 的专栏
09-24 3870
刚开始看到通过 SSDT 来 HOOK ZwXXX 内核函数的方法时不是很了解, 等把 ZwXXX 反汇编后才发现技术细节.原来也没什么新鲜的,就是找到目标函数在 SSDT 中的位置( 偏移量=位置*4 ), 然后保存并替换偏移量处的值为自己新的函数地址就行了。 这种技术现在已是老掉牙了,不过在实际的软件开发中也比较常用, 可以实现各种监控功能.上次安了个诺顿, 它把所有的 ZwXXX 都给
深入解析内核 Inline Hook 实现
"详谈内核Inline Hook实现" 本文深入探讨了内核Inline Hook的原理和实现,Inline Hook是...通过本文的学习,读者可以更好地掌握Inline Hook的原理和实现方法,从而在需要控制或拦截内核函数行为的场景中游刃有余。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值