通过内核HOOK处理某个进程对SetCursorPos的调用

最新推荐文章于 2021-10-30 17:06:18 发布
最新推荐文章于 2021-10-30 17:06:18 发布
阅读量2.5k 收藏 5
点赞数
分类专栏: 内核学习 文章标签: SetCursorPos 内核 函数 鼠标 ShadowSSDT HOOK
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wei5635607/article/details/53385245
版权

最近打开一个游戏,发现该游戏不断调用SetCursorPos这个函数,所以想着在内核中PASS掉它,经过两周断断续续的研究,终于在今晚成功PASS掉它。

经过两周断断续续的查资料,看视频,分析,终于达到目的。
关于鼠标的处理:
获得鼠标的位置函数GetCursorPos,设置鼠标的位置SetCursorPos
获得暂且不分析,这里只说SetCursorPos,其实这两个也是异曲同工。
SetCursorPos的调用过程: User32!SetCursorPos-->User32!NtUserCallTwoParam-->win32k!NtUserCallTwoParam
通过反汇编可以看出来调用NtUserCallTwoParam这个函数时候 根据第一个参数的不同而区分不同的函数
SetCursorPos的参数正是74h,另外两个参数随机,只需要判断该参数是74h就知道是SetCursorPos在调用
关于win32k!NtUserCallTwoParam的HOOK,该函数是ShadowSSDT表中的函数
在程序中想获得ShadowSSDT就必须先附加一个进程 它的结构和SSDT相同但是不是导出的
1.所以先获得ShadowSSDT表地址:
<1>声明SSDT表结构

typedef struct _SDT_ENTRY  //SSDT
{
	PVOID *ServiceTableBase;
	PULONG ServiceCounterTableBase;
	ULONG NumberOfServices;
	PUCHAR ParamTableBase;
}SDT_ENTRY, *PSDT_ENTRY;

<2>声明一个SSDT结构的变量 

EXTERN_C SDT_ENTRY *KeServiceDescriptorTable;
<3>要获得ShadowSSDT表的地址,必须得通过特征码定义,IDA中可以看出KeRemoveSystemServiceTable该函数是导出的,
在该函数中有它的地址,然后通过特征码定位到,这个即为ShadowSSDT的地址。
具体代码: 

PVOID GetShadowSSDTAddr()
{
	ULONG uKeRemoveSystemServiceTable = (ULONG)KeRemoveSystemServiceTable;
	PUCHAR p = NULL;
	PVOID uKeServiceDescriptionShadowTableAddr = NULL;
	for (int i = 0; i < 50; i++, uKeRemoveSystemServiceTable++)
	{
		p = (PUCHAR)*(PULONG)uKeRemoveSystemServiceTable;
		if (MmIsAddressValid(p) && MmIsAddressValid(p + sizeof(SDT_ENTRY) - 1))
		{
			__try
			{
				if (memcmp(p, KeServiceDescriptorTable, sizeof(SDT_ENTRY)) == 0)
				{
					if (p == (PUCHAR)KeServiceDescriptorTable)
					{
						continue;
					}
					uKeServiceDescriptionShadowTableAddr = p;
					return  (PVOID)p;
				}
			}
			__except (EXCEPTION_EXECUTE_HANDLER)
			{
				return NULL;
			}
		}
	}
	if (uKeServiceDescriptionShadowTableAddr == NULL)
	{
		KdPrint(("获取ShadowSSDT 地址失败"));
	}
	return NULL;
}
2.关于附加进程:  
要附加进程得先获得某个进程的EPROCESS,据查看csrss.exe该进程在WIN7 32系统里面长存,可以获得该进程的EPRCESS来进行附加
要获得csrss.exe进程,首先需要遍历进程,我采用的是ZwQuerySystemInformation来遍历,通过获得进程结构体,来获得进程名
就可以来判断获得的进程是不是csrss.exe,直到遍历得到csrss.exe退出循环。
得到目标进程的结构体后  里面有ProcessId表示进程标识PID ,通过PID可以调用NtOpenProcess来获得进程句柄
然后就可以通过进程句柄调用ObReferenceObjectByHandle函数来获得EPROCESS结构
最后通过KeStackAttachProcess来附加进程 到这里进程就附加成功了 
具体代码如下.. 

PRKAPC_STATE AttachToProcess()
{
	//1.get csrss.exe eprocess
	UNICODE_STRING targetProcessName;
	int recount = 1;
	int checkProcess = 0;
	PSYSTEM_PROCESS_INFORMATION pInfo = NULL;
	PVOID pBuffer = NULL;
	ULONG rtnLen = 0;
	ULONG dwSize = 1000 * sizeof(SYSTEM_PROCESS_INFORMATION);
	NTSTATUS status = STATUS_SUCCESS; 
	PRKAPC_STATE ApcState = NULL;
	RtlInitUnicodeString(&targetProcessName, L"csrss.exe");
	do
	{
		if (pBuffer != NULL)
		{
			ExFreePoolWithTag(pBuffer, '0123');
			pBuffer = NULL;
		}
		pBuffer = ExAllocatePoolWithTag(PagedPool, dwSize, '0123');
		if (pBuffer == NULL)
		{
			KdPrint(("分配内存空间失败\n"));
			return NULL;
		}
		status = ZwQuerySystemInformation(SystemProcessInformation, pBuffer, dwSize, &rtnLen);
		if (status == STATUS_INFO_LENGTH_MISMATCH)
		{
			KdPrint(("缓冲区大小不足"));
			dwSize = 2 * dwSize;
			KdPrint(("重新分配大小%d次\n",recount++));
			continue;
		}
	} while (status == STATUS_INFO_LENGTH_MISMATCH  && dwSize<1000000);
	if (status == STATUS_SUCCESS)
	{
		pInfo = (PSYSTEM_PROCESS_INFORMATION)pBuffer;
		do
		{
			if (RtlCompareUnicodeString(&targetProcessName, &pInfo->ImageName, TRUE) == 0)
			{
				KdPrint(("找到目标进程\n"));
				KdPrint(("目标进程ID%d\n", pInfo->ProcessId));
				HANDLE hProcess = NULL;
				OBJECT_ATTRIBUTES ObjectAttributes;
				CLIENT_ID ClientId;
				ClientId.UniqueProcess = pInfo->ProcessId;
				ClientId.UniqueThread = 0;
				InitializeObjectAttributes(&ObjectAttributes, NULL, OBJ_KERNEL_HANDLE, NULL, NULL);
				//通过进程ID获得进程句柄
				status = NtOpenProcess(&hProcess, PROCESS_ALL_ACCESS, &ObjectAttributes, &ClientId);
				if (status == STATUS_SUCCESS)
				{
					KdPrint(("获取进程句柄成功\n"));
					//通过进程句柄获得EPROCESS
					PEPROCESS pEprocess = NULL;
					status = ObReferenceObjectByHandle(hProcess, PROCESS_ALL_ACCESS, NULL, KernelMode, (PVOID*)&pEprocess, NULL);
					if (status == STATUS_SUCCESS && pEprocess != NULL)
					{
						KdPrint(("获取进程EPROCESS成功\n"));
						//附加进程
						if (checkProcess == 1)
						{
							ApcState = (PRKAPC_STATE)ExAllocatePoolWithTag(NonPagedPool, sizeof(KAPC_STATE), 'APC');
							if (ApcState)
							{
								KeStackAttachProcess(pEprocess, ApcState);
							}
						}
						//释放
						ObDereferenceObject(pEprocess);
					}
					//关闭句柄
					ZwClose(hProcess);
				}
				if (checkProcess == 1)
				{
					break;
				}
				checkProcess++;
			}
			//KdPrint(("%wZ\n", pInfo->ImageName));
			pInfo = (PSYSTEM_PROCESS_INFORMATION)((ULONG)pInfo + pInfo->NextEntryOffset);
		} while (pInfo->NextEntryOffset);
	}
	else
	{
		KdPrint(("获取进程信息失败"));
	}
	if (pBuffer != NULL)
	{
		ExFreePoolWithTag(pBuffer, '0123');
		pBuffer = NULL;
	}
	return ApcState;
}
3.HookNtUserCallTwoParam来达到一些不可告人的目的
有了ShadowSSDT表结构,那么就可以获得tUserCallTwoParam的地址,然后就可以在该函数头部做跳转,
在我们的中继函数中做判断,如果是某个进程调用,那么就直接返回它,不执行,而且调用这个函数的第一个
参数也必须是74h,这样判断之后就可以了。
中继函数代码: 

__declspec(naked) void FuckNtUserCallTwoParam()
{
	__asm
	{
		nop
		nop
		nop
		nop
		nop
		nop
		nop
		nop
		nop
		nop
		cmp dword ptr [esp + 0x10], 0x74
		jnz NOTFIND
		pushad
		pushfd
		call IsGame
		mov g_bGameProcessAccess, al
		popfd
		popad
		cmp g_bGameProcessAccess,1
		jnz NOTFIND
		pop ebp
		ret 0x14
	NOTFIND:
		jmp NtUserCallTwoParamRetAddr
	}
}
BOOLEAN IsGame()
{
	PEPROCESS pCurrentProcess = IoGetCurrentProcess();
	PUCHAR pszCurName = PsGetProcessImageFileName(pCurrentProcess);
	if (strstr("bluem2_ysmir2_cd.dat", (const char*)pszCurName) != NULL)
	{
		//KdPrint(("来自目标进程的调用\n"));
		return TRUE;
	}
	return FALSE;
}
我的目的是为了让某一个进程失去使用SetCursorPos的权利,那么通过上面的说明,你也可以让某一个进程失去使用任何
ShadowSSDT函数或者各种获得移动鼠标键盘函数的权利,这就是内核编程的强大,但也只是冰山一角,学海无涯,加油。



wei5635607
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
linux内核hook系统调用execve函数
12-07
功能:hook系统调用execve函数,在系统调用dpkg命令时返回。 这样系统无法安装软件,以及删除软件。 1.下载后 解压直接 make编译 2. sudo insmod hook.ko 进行安装 3. sudo dmesg --follow 查看内核调试信息 4....
从零开始之窗体二
不以物喜,不以己悲
09-05 2048
窗体两大组成部分,非客户区与客户区. 大部分时候,我们编程都是针对客户区的,那么非客户区包括那几个部分呢?就我知道的列举如下:1.标题.2,标题图标,3,标题上按钮,4,边框,5,滚动条.6.菜单栏.其实工具栏以及状态栏等.所以窗口对象本身也是有很多小对象组成的. 下面看下窗体对象结构: typedef struct _WINDOW_OBJECT {   /* NOTE: Do *NOT* Mov...
鼠标在编程中的一些注意事项
ProgramRookie的专栏
09-13 1281
1.获取窗口外鼠标消息 如果鼠标在窗口中按下,在窗口外释放,那么会导致在窗口中的鼠标仍处于按下状态,为了正确获取鼠标在窗口外的窗台,应使用SetCapture(HWND)函数来将鼠标缩定在特定窗口中。 2.设定鼠标位置 在游戏程序中,通常通过SetCursorPos(POINT)函数来为鼠标定位,但是,需要注意的是SetCursorPos接受的是鼠标的屏幕坐标而不是窗口坐标,因此必须使用Cl
用windbg 中断系统api 函数查找和调试问题,实例总结
blacet的专栏
01-03 1990
工作中,经常遇到因窗口焦点莫名丢失或转移的bug,我们知道设置焦点的系统API 函数SetFocus,因此,我想断到调用这个函数的地方。所以,需要查看这个api 在哪个dll里,MSDN描述这个api在User32.dll里,而当尝试中断时,发现断点没用,用depends.exe查看user32.dll的导出函数,确实有这个api函数,可能真实的API函数可能另有一个,微软利用某...
关于Win7 x64 Shadow SSDT 的探索和 Inline HOOK
fyfy
05-15 3833
http://bbs.pediy.com/thread-210481.htm 来看雪一年了,在这里面学到了很多知识,非常感谢各位前辈对知识的分享和不懈的研究,也非常感谢各位大神对我们这些小白的照顾,特别要感谢MaMy、hksoobe、luolinlove等大神的指导。我也一直非常希望能为看雪贡献一点什么,但是小白的理解估计大神也看不上,这次也是注册看雪一周年,冲着这个也来发表一点自己的理
apihook钩子截获对DLL的调用.zip
03-28
在IT领域,API Hook是一种广泛使用的调试和监控技术,它允许开发者截获并处理系统或应用程序中的函数调用。在“apihook钩子截获对DLL的调用.zip”这个压缩包中,包含了一系列用于实现API Hook的源代码文件,如Test_...
易语言-apihook达到对指定进程隐藏窗口
06-25
5. **处理Hook回调**:当目标进程调用Hook的API时,我们的Hook函数会被执行。在这里,我们可以修改函数的返回值,使其不再返回指定进程的窗口,从而达到隐藏窗口的效果。 6. **解除Hook**:当不再需要隐藏窗口时...
内核模式的apihook.zip_HOOK 内核_hook_内核_内核 hook_驱动hook应用api
09-21
内核模式API Hook是一种高级技术,它涉及到操作系统内核、驱动程序开发...通过对"KernelApiSpy"的分析和实验,我们可以更深入地理解内核Hook的工作原理和实现方法,这对于提升在操作系统底层的编程能力具有极大的帮助。
apihook拦截对Win Api函数调用_可钩任意指定的进程.zip
04-04
本资料包“apihook拦截对Win Api函数调用_可钩任意指定的进程.zip”显然关注于这个主题,提供了如何在任意指定的进程中实现API Hook的技术细节。 API Hook主要分为几种类型: 1. **全局Hook**:全局Hook在系统...
注入CSRSS 亲测有效 不蓝屏
05-06
注入CSRSS 亲测有效 不蓝屏 `````````````````````````````````````````
Hook脚本注入动态库
05-25
XcodeHook其他app的脚本软件,可以快速修改签名信息,完成重签名
黑客技术:利用Hook技术实现键盘监控(转)
cuankuangzhong6373的博客
12-29 867
 在许多系统中,出于安全或其它原因,常常要求随时对键盘进行监控,一个专业的监控程序必须具备两点,一是实时;二是作为指示图标运行。实际应用中把利用Hook(即钩子)技术编写的应用程序添加到Windows的任务栏的指示区中就能够很好...
挂钩 NtResumeThread 实现全局Hook
weixin_34082177的博客
06-29 202
创建时间:2008-05-25文章属性:原创文章提交:BITS (zhouzhenster_at_gmail.com)挂钩 NtResumeThread 实现全局Hookzhouzhenster@gmail.comzhouzhen[E.S.T]挂钩一直是Hack 编程中永恒的主题,基本高级的Rootkit 程序多多少少都会使用Hook 技术。似乎Hook 都被讲烂了,不论是Ring3 的还是Rin...
RegisterShellHookWindow使用
myworldbig的专栏
04-25 3890
2010年03月10日 星期三 20:12<br />   今晚因为某种用途用到RegisterShellHookWindow ,使用还是比较简单的,功能也不错,详细看下MSDN。把代码贴出来<br />HWND Hwnd = GetSafeHwnd();<br /><br />msgShellHook = RegisterWindowMessage("SHELLHOOK");<br />    <br />RegisterShellHookWindow( Hwnd );<br />    <br />lp
Windows 7 RC - Shadow SSDT 服务名表
Tommy(凌飞)的专栏
11-20 1846
NtGdiAbortDoc NtGdiAbortPath NtGdiAddFontResourceW NtGdiAddRemoteFontToDC NtGdiAddFontMemResourceEx NtGdiRemoveMergeFont NtGdiAddRemoteMMInstanceToDC NtGdiAlphaBlend NtGdiAngleA
NtUserCallOneParam - XP - 5.1.2600.3099
zzz3265的专栏
12-30 4641
NtUserCallOneParam 0                                         dd offset __CreateMenu@0 1   .rdata:BF98F54C D2 C5 89 BF           dd offset __CreatePopupMenu@0        2   .rdata:BF9
Hook函数三步走(SetWindowsHookEx、UnhookWindowsHookEx、CallNextHookEx)
流楚丶格念的博客
10-30 3032
文章目录Hook(Windows系统机制)Hook定义Hook原理系统钩子与线程钩子钩子函数设置钩子: SetWindowsHookEx参数说明:释放钩子: UnhookWindowsHookEx继续钩子: CallNextHookExHook小案例 Hook(Windows系统机制) Hook定义 Hook是Windows中提供的一种用以替换DOS下“中断”的系统机制,中文译为“挂钩”或 “钩子” 。 在对特定的系统事件进行hook后,一旦发生已hook事件,对该事件进行hook的程 序就会收到系统的通
驱动编程:注册表回调,进程回调,文件回调,进程隐藏断链,窗口保护
追逐光芒,追随内心
10-28 1807
#include "struct.h" #define debug_pott_offset 0x298 //#define debug_pott_offset 0x1f0 DWORD changge_size_NtClose = 0; //NtClose被修改了N字节 PUCHAR ori_head_NtClose = NULL; //NtClose的前N字节数组 PVOID ori_addr_NtClose = NULL; //NtCl..
C# 通过Hook函数来监控进程内部的API调用
最新发布
06-06
在C#中,可以使用第三方库如EasyHook来实现API Hook。下面是一个简单的示例代码: ```C# using System; using System.Runtime.InteropServices; using EasyHook; namespace HookDemo { class Program { [UnmanagedFunctionPointer(CallingConvention.StdCall, CharSet = CharSet.Unicode, SetLastError = true)] public delegate int MessageBoxWDelegate(IntPtr hWnd, string lpText, string lpCaption, uint uType); static MessageBoxWDelegate MessageBoxWHook; static void Main(string[] args) { // 目标进程ID int targetProcessId = 1234; // 要Hook函数名 string functionName = "MessageBoxW"; // Hook函数 LocalHook hook = LocalHook.Create( LocalHook.GetProcAddress("user32.dll", functionName), new MessageBoxWDelegate(MessageBoxWHook), null); // 启动Hook hook.ThreadACL.SetExclusiveACL(new int[] { 0 }); // 打开目标进程 // ... // 在目标进程调用MessageBoxW函数 // ... // 关闭目标进程 // ... // 卸载Hook hook.Dispose(); } static int MessageBoxWHook(IntPtr hWnd, string lpText, string lpCaption, uint uType) { // 在MessageBoxW函数执行前进行一些操作 Console.WriteLine("MessageBoxW called"); // 调用原始的MessageBoxW函数 return MessageBoxWHook(hWnd, lpText, lpCaption, uType); } } } ``` 在上面的代码中,通过EasyHook库实现了对MessageBoxW函数Hook,当目标进程调用MessageBoxW函数时,会自动转而调用MessageBoxWHook函数,从而实现了对目标进程内部API调用的监控。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值