win32 IDT HOOK

最新推荐文章于 2020-12-19 16:31:48 发布
最新推荐文章于 2020-12-19 16:31:48 发布
阅读量403 收藏
点赞数
分类专栏: windows操作系统 文章标签: win32
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013358112/article/details/73838742
版权

在win32中,如何HOOK IDT呢?
IDT的结构定义

    typedef unsigned char P2C_U8;
    typedef unsigned short P2C_U16;
    typedef unsigned long P2C_U32;

    #pragma pack(push,1)
    typedef struct P2C_IDTR_
    {
        P2C_U16 limit;
        P2C_U32 base;
    }P2C_IDTR,*PP2C_IDTR;
    #pragma pack(pop)

    #pragma pack(push,1)
    typedef struct P2C_IDT_ENTRY_
    {
        P2C_U16 offset_low;
        P2C_U16 selector;
        P2C_U8 reserved;
        P2C_U8 type:4;
        P2C_U8 always0:1;
        P2C_U8 dpl:2;
        P2C_U8 present:1;
        P2C_U16 offset_high;
    }P2C_IDTENTRY,*PP2C_IDTENTRY;
    #pragma pack(pop)

获取IDT地址

    void *p2cGetIdt()
    {
        P2C_IDTR idtr;
        _asm sidt idtr;
        return (void*)idtr.base;
    }

获取IDT项中的处理函数地址

    #define P2C_MAKELONG(low,high) ((P2C_U32)(((P2C_U16)((P2C_U32)(low)&0xffff)) | ((P2C_U32)((P2C_U16)((P2C_U32)(high)&0xffff)))<<16))

    #define P2C_LOW16_OF_32(data) ((P2C_U16)(((P2C_U32)data)&0xffff))

    #define P2C_HIGH16_OF_32(data) ((P2C_U16)(((P2C_U32)data)>>16))

HOOK IDT第93项为例

    ULONG g_p2c_old;
    void p2cUserFilter()
    {
        //加入过滤代码。
    }
    __declspec(naked) p2cInterruptProc()
    {
        __asm
        {
            pushad
            pushfd
            call p2cUserFilter // 过滤函数

            popfd
            popad
            jmp g_p2c_old  //原本函数
        }
    }   
    void p2cHookInt93(bool hook_or_unhook)
    {
        PP2C_IDTENTRY idt_addr = (PP2C_IDTENTRY)p2cGetIdt();
        idt_addr += 0x93;
        if(hook_or_unhook)
        {
            /*保存旧地址*/
            g_p2c_old=(ULONG)(void*)P2C_MAKELONG(idt_addr->offset_low,idt_addr->offset_high);
            /*写入新地址*/
            idt_addr->offset_low = P2C_LOW16_OF_32(p2cInterruptProc);
            idt_addr->offset_high = P2C_HIGH16_OF_32(p2cInterruptProc);
        }else
        {
            idt_addr->offset_low=P2C_LOW16_OF_32(g_p2c_old);
            idt_addr->offset_high=P2C_HIGH16_OF_32(g_p2c_old);
        }
    }
Guangzhe_Zhou
关注
专栏目录
SSDT Hook
zhuhuibeishadiao
04-10 3275
看看大概的调用情况 左边是2000有的,右边是xp后走的 Ntdll.dll 中的 API 是一个简单的包装函数。 当 Kernel32.dll 中的 API 通过 Ntdll.dll 时,会完成参数的检查再调用一个中断(int 2Eh 或者 SysEnter 指令),从而实现从 Ring3 进入 Ring0 层 并且将所要调用的服务号(也就是在 S
通过硬件断点对抗hook检测
hongduilanjun的博客
04-21 2232
前言 我们知道常见的注入方式有IAT hook、SSDT hook、Inline hook等,但其实大体上可以分为两类,一类是基于修改函数地址hook,一类则是基于修改函数代码的hook。而基于修改函数地址hook最大的局限性就是只能hook已导出的函数,对于一些未导出函数是无能为力的,所以在真实的hook中,Inline hook反而是更受到青睐的一方。 hook测试 这里我用win32写了一个MessageBox的程序,当点击开始按钮就会弹窗,这里我写了一个Hook_E9函数用来限制对Message
IDT hook_hookidt_idtHook_重载IDT中断表_hook_
10-03
hook idt表(中断描述符表)只是替换地址没有做任何事
rootkit hook之[四]-- IDT Hook
08-25 862
 作 者: combojiang时 间: 2008-02-19,17:05链 接: http://bbs.pediy.com/showthread.php?t=59867今天我们一起来学习下Rootkit里面的IDT hook. 由于涉及到一些基本概念,在这里也顺便提一下。呵呵,帖子比较长,慢慢看。闲话少说,直奔主题。我们首先来了解下什么是IDT?IDT = Interrupt Descripto
IDT hook KiTrap03
weixin_30632899的博客
03-23 197
关于idt的基本知识就不进行赘述了,先看一个例子 0x1000: mov eax,0 0x1006: Int 3 ;------->进入内核,找到中断处理例程KiTrap03 0x1007: Mov eax,1 这段代码执行,触发3号中断,然后开始执行KiTrap03例程,要知道,执行完中断以后还是要回到来的程序处继续执行...
IDT HOOK
crkres9527
10-08 586
  A、实例演示    B、替换IDT处理函数    C、IDT HOOK 代码书写      //840dFaa1  //-----------全局变量-------------------------------- ULONG int3proc_addr; //用来存放int 3处理函数地址 ULONG jmpaddr_int3proc_9; //用来存放intproc+9处理...
IDT Hook
yaneng的专栏
06-18 2076
这两天读了combojiang(此君真乃天牛也)一篇关于IDT Hook的文章,于是自己实现了一个Hook鼠标中断服务的程序,自己也总结一下。IDT即Interrupt Descriptor Table,描述了系统硬件/软件中断以及异常,这张表总共描述了0x7ff个中断(XP SP2),表中的每个元素代表一个中断门(Interrupt Gate),其格式如下所示:在我的程序中将该结构定
所有种类的钩子,用户层的API HOOK,内核驱动层的SSDT-hookIDT-hook,sysenter-hook.zip
01-27
本压缩包包含的资源涉及了用户层API Hook、内核驱动层的SSDT(System Service Dispatch Table)HookIDT(Interrupt Descriptor Table)Hook以及sysenter Hook,这些都是Windows操作系统中实现系统级控制的关键技术...
windows下通过更改SSDT表hook内核函数
10-02
通过更改SSDT表的内核函数跳转地址来实现对windows内核函数hook,需要安装WDK来实现编译。 注:本例主要实现对内核函数ZwSetValueKey的hook,本程序仅用于学习用途,任何人不得利用该代码从事非法活动。
HOOK NtOpenProcess 保护指定进程
05-15
实施HOOK技术需要深入理解Windows内核的工作理,包括系统调用表(System Service Dispatch Table, SSDT)和中断描述符表(Interrupt Descriptor Table, IDT)。在Windows中,`NtOpenProcess`的地址位于SSDT中,...
hook idt
云淡风轻
12-03 1556
extern "C"{ #include } typedef unsigned int DWORD; typedef unsigned short WORD; typedef unsigned char BYTE; #pragma pack(1) typedef struct{ WORD IDTLimit; DWORD IDTBase; }IDTR; typedef struct{ WOR
[内核安全4]内核态Rootkit之IDT Hook
輚至消亡
12-19 604
IDT Hook是通过挂钩中断描述符表的一种Ring0挂钩形式。在保护模式下和实模式下的中断机制是完全不同的。实模式下有256个中断例程以供调用,可以通过对应的中断号来调用。在保护模式下中断机制变得相对复杂了,但更好用。保护模式下中断由对应的门描述符来描述,其中有三种格式,分别为: 任务门描述符 中断门描述符 陷阱门描述符 任务门描述符一般用于不同特权级的非一致代码段间跳转。和IDT HOOK没有什么关系,因为IDT HOOK是通过挂钩中断门 比如希望低特权级代码段跳转至高特权级的代码段运行就一般需
简单的IDT HOOK介绍
liujiayu2的专栏
06-30 1693
IDT即中断描述表。当然系统发生中断时(有可能是CPU中断,也有可能是I/O中断等)。系统会通过中断向量查找IDT保存的ISR(中断服务程序)来调用相关的处理例程。IDT Hook就是替换这个ISR。 也许上面的过程你不是很明白。我们具体的了解下过程。 IDT是一个有256个入口的线性表。每个入口大小为8字节。每个入口值我们称为中断向量(0..255)。比如 int 30。30即中断向
RootKit学习之 IDT Hook
afsafs1231的博客
09-21 135
0x00 前言 IDT(Interrupt Descriptor Table)中断描述符表,中断就是停下现在的活动,去完成新的任务。一个中断可以起源于软件或硬件。比如,出现页错误,调用IDT中的0x0E。或用户进程请求系统服务(SSDT)时,调用IDT中的0x2E。而系统服务的调用是经常的,这个中断就能触发。我们现在就想办法,先在系统中找到IDT,然后确定0x2E在IDT中的地址,最后...
idt hook 3
yaneng的专栏
06-18 3255
二.IDT hook   (一)基本思路:IDT(Interrupt Descriptor Table)中断描述符表,是用来处理中断的。中断就是停下现在的活动,去完成新的任务。一个中断可以起源于软件或硬件。比如,出现页错误,调用IDT中的0x0E。或用户进程请求系统服务(SSDT)时,调用IDT中的0x2E。而系统服务的调用是经常的,这个中断就能触发。我们现在就想办法,先在系统中找到IDT,然后确
idt hook
05-14 437
#include "ntddk.h" #define WORD USHORT #define DWORD ULONG #define MAKELONG(a, b) ((LONG)(((WORD)(((DWORD_PTR)(a)) & 0xffff)) \ | ((DWORD)((WORD)(((DWORD_PTR)(b)) & 0xffff))) << 16)) typedef s
WINDOWS下的各类HOOK
weixin_34252686的博客
07-29 230
1、HOOK SERVICE TABLE:HOOK SSDT 这种方法对于拦截 NATIVE API 来说用的比较多。 SSDT hook,一句话——Windows把需要调用的内核API地址全都存在了 一个表中(System Service Dispatch Table),要想hook一个内核API,比较简单的办法就是把 该内核API在表(SSDT)中保存的地址修改为...
Windows全局热键实现:Delphi与Win32键盘Hook技术
"Win32键盘Hook的Delphi编程主要探讨了如何在Windows环境下使用Delphi实现系统范围的热键功能。通过键盘Hook技术,开发者可以创建程序,即使在后台或非活动状态下也能响应特定的热键组合。本文详细介绍了Win32按键...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值