多核发dpc安全inline hook

最新推荐文章于 2022-09-26 21:37:54 发布
最新推荐文章于 2022-09-26 21:37:54 发布
阅读量116 收藏
点赞数
原文链接:http://www.cnblogs.com/kedebug/archive/2010/12/22/2791752.html
版权 
VOID 
OpSafeInlineHook(PVOID TargetAddress, PVOID ReadyOpCode, ULONG OpCodeLength)
{
    PMDL MdlFuncAddress;

    ASSERT(TargetAddress && ReadyOpCode && OpCodeLength);

    if (ScmMapVirtualAddress(TargetAddress, 0x400, &MdlFuncAddress)) 
    {
        WPOFF();
        RtlCopyMemory(TargetAddress, ReadyOpCode, OpCodeLength);
        WPON();
        ScmUnmapVirtualAddress(MdlFuncAddress);
    }
}

VOID SafeHookDpcRoutine (
    __in struct _KDPC *Dpc,
    __in_opt PDPC_CONTEXT DeferredContext,
    __in_opt PVOID SystemArgument1,
    __in_opt PVOID SystemArgument2
    )
{
    InterlockedIncrement(&DeferredContext->LockedProcessors);
    do {
        __asm   pause;
    } while (DeferredContext->ReleaseFlag == FALSE);
    InterlockedDecrement(&DeferredContext->LockedProcessors);
}

BOOL ScHeSafeInlineHook(PVOID TargetAddress, PVOID ReadyOpCode, ULONG OpCodeLength)
{
    BOOL result = FALSE;
    DPC_CONTEXT DpcContext;
    KAFFINITY OrigAffinity;
    UNICODE_STRING NameString;
    CCHAR CurrentProcessor;
    CCHAR Processor;
    PKDPC Dpc;
    ULONG i;
    KIRQL OrigIrql;
    pFnKeSetAffinityThread KeSetAffinityThread = NULL;
    
    RtlInitUnicodeString(&NameString, L"KeSetAffinityThread");
    KeSetAffinityThread = (pFnKeSetAffinityThread)MmGetSystemRoutineAddress(&NameString);

    OrigAffinity = KeSetAffinityThread(KeGetCurrentThread(), 1); 
    OrigIrql = KeRaiseIrqlToDpcLevel();

    if (KeNumberProcessors > 1) {

        CurrentProcessor = (CCHAR)KeGetCurrentProcessorNumber();
        DpcContext.Dpcs = ExAllocatePoolWithTag(NonPagedPool, KeNumberProcessors * sizeof(KDPC), MEM_TAG);
        DpcContext.LockedProcessors = 1;
        DpcContext.ReleaseFlag = FALSE;

        for (Processor = 0; Processor < KeNumberProcessors; Processor++)
        {
            if (Processor == CurrentProcessor)  continue;
            Dpc = &DpcContext.Dpcs[Processor];
            KeInitializeDpc(Dpc, SafeHookDpcRoutine, &DpcContext);
            KeSetTargetProcessorDpc(Dpc, Processor);
            KeInsertQueueDpc(Dpc, NULL, NULL);
        }

        for (i = 0; i < 0x800000; i++) {
            __asm   pause;
            if (DpcContext.LockedProcessors == (ULONG)KeNumberProcessors) break;
        }
        
        if (DpcContext.LockedProcessors != (ULONG)KeNumberProcessors) {
            KdPrint(("[ScSafeInlineHook] Failed to insert dpc to other processors"));
            DpcContext.ReleaseFlag = TRUE;
            for (Processor = 0; Processor < KeNumberProcessors; Processor++) 
            {
                if (Processor != CurrentProcessor) {
                    KeRemoveQueueDpc(&DpcContext.Dpcs[Processor]);
                }
            }
        } else {
            KdPrint(("[ScSafeInlineHook] Insert dpc succeed, now start inline hook"));
            OpSafeInlineHook(TargetAddress, ReadyOpCode, OpCodeLength);
            result = TRUE;
            DpcContext.ReleaseFlag = TRUE;  
        }
        do {
            __asm   pause;
        } while (DpcContext.LockedProcessors != 1);

        ExFreePoolWithTag(DpcContext.Dpcs, MEM_TAG);

    } else {

        OpSafeInlineHook(TargetAddress, ReadyOpCode, OpCodeLength);
        result = TRUE;
    }
    KeLowerIrql(OrigIrql);
    KeSetAffinityThread(KeGetCurrentThread(), OrigAffinity); 
    return result;
}

 

转载于:https://www.cnblogs.com/kedebug/archive/2010/12/22/2791752.html

weixin_30906425
关注
多CPU下安全inline hook
埋vizee的墓
11-22 1039
去師父神牛的空間里看了下關於内核安全inline hook的討論,感覺受益匪淺,查閲資料后,得知了一種CPU中較爲安全的安裝鈎子的方法。 該代碼來自《Rootkits:Subverting the Windows Kernel》一書,原理是通過向所有非當前的CPU插入DPC,並且在DPC例程中實現忙等待,這是一種比較可愛的方法(PS:雖然我還是糾結于,如果其他CPU當前就已經在執行DPC那不是情
多核上的DPC
动则为奇,静则为陈
03-04 747
OS会针对每个CPU Core,生成一个DPC队列。因此仅仅对某个线程提高IRQL,并不会屏蔽其他核上的线程调度; 如果要实现多核上同步,唯一的方法就是使用自旋锁。自旋锁可以避免你自己的线程在多核上同时执行,但是不能保证其他的系统线程和你使用一样的自旋锁,所以自旋锁不能完全保证。
HOOK集合----SSDTDPC Hook(X86 win7)
qq_42021840的博客
04-25 189
介绍: SSDT DPC Hook 其实是建立在SSDT Hook的基础上的,建立一个定时器,然后设置触时间,反复去 SSDT Hook,这样会使直接进行SSDT UnHook的无法恢复,在学习过程中,算不上是一种全新的Hook,算是SSDT Hook 的一种设计版。 (一) ⚪建立定时器,定时回调函数为SSDTHook 函数,反复Hook。 ⚪首先找到全局...
zircon的dpc机制
jason的笔记
06-26 2383
zircon中的dpc 机制由于减少系统中的线程,用户可以将要执行函数给dpc dpc的入口函数如下: static void dpc_init(unsigned int level) { // initialize dpc for the main CPU dpc_init_for_cpu(); } dpc_init_for_cpu 会为当前cpu 创建一个dpc threa...
inline hook简介
03-18 188
1、简介 INLINE HOOK原理: Inline Hook通过硬编码的方式向内核API的内存空间(通常是开始的一段字节,且一般在第一个call之前,这么做是为了防止堆栈混乱)写入跳转语句,这样,该API只要被调用,程序就会跳转到我们的函数中来,我们在自己写的函数里需要完成3个任务: 1)重新调整当前堆栈。程序流程在刚刚跳转的时候,...
详谈内核的Inline_Hook实现
11-08
通过本文对Inline Hook技术的详细介绍,我们可以看到其作为一种强大的工具,在软件开尤其是安全领域有着广泛的应用前景。掌握了Inline Hook的核心原理和技术细节后,开者可以根据实际需求灵活运用,实现对系统...
Win64 驱动内核编程-23.Ring0 InLineHook 和UnHook
天使也掉毛
03-26 5148
Ring0InLineHook和UnHook 如果是要在R0里hook,作者的建议是InLineHOOK,毕竟SSDTHOOK和SHADOWSSDTHOOK比较麻烦,不好修改。目前R3的InLineHOOK我比较喜欢的是MINIHOOKENGINE,但是今天要解决的是R0的InLineHOOK问题。 下面说下InLineHOOK的思路: 一、实现...
inlinehook NtCreateFile
test
04-25 2580
<br /><br />#include "Driver.h"<br /> <br />unsigned char OrgCode[5];//原函数开头5个字节的代码<br />unsigned char HookJmp[5] = {0xe9,0,0,0,0};//放入原函数开头的Hook跳转<br />INT old_cr0;//存放cr0寄存器的内容<br />ULONG CreateAddr;//存放NtCreateFile的地址<br />#pragma LOCKEDCODE<br />/*****
DPC.rar_DPC_DPC matlab _MATLAB DPC_dpc算法
07-15
DPC( Dirty Paper Coding)是一种先进的信道编码技术,主要用于多用户通信系统,尤其是在无线通信领域,能够提高系统的传输效率和抗干扰能力。在给定的压缩包"DPC.rar"中,包含了一个名为"DPC.m"的MATLAB脚本文件,...
各种HOOK方式和检测对抗方法
热门推荐
任鸟飞2217777779的博客
09-26 1万+
hook翻译过来是拦截的意思, 我们很多时候也叫钩子,其实是很形象的.hook有什么作用呢?1.当代码执行到某行时,获取寄存器值和内存里的值,进行调试分析,例如hook明文包.2.当代码执行到某行时,插入想执行的代码.例如迅雷拦截包函数.3.当代码执行到某行时,修改寄存器,达到某些篡改目的.
PaddleX-YOLOv3.zip
10-04
PaddleX-YOLOv3
HarmonyOS Sans字体资源
10-04
官方 HarmonyOS Sans字体资源。(来自官方公开资料)
深圳技术大学在辽宁2020-2024各专业最低录取分数及位次表.pdf
10-04
那些年,与你同分同位次的同学都去了哪里?全国各大学在辽宁2020-2024年各专业最低录取分数及录取位次数据,高考志愿必备参考数据
软件开C++重要培训资料分享13软件开C++开技术资料.zip
10-04
软件开C++重要培训资料分享13软件开C++开技术资料.zip
掌握 QT 嵌入式开:打造高效、美观的嵌入式应用
最新发布
10-04
亲爱的嵌入式开者们, 您是否在寻找一种强大且灵活的工具来创建高效的嵌入式应用程序?QT 是您的不二选择!我们为您精心准备了一份全面的 QT 嵌入式开教程,帮助您从零开始,逐步掌握这门强大的技术。 为什么选择 QT 嵌入式开? 跨平台支持:支持多种操作系统(如 Linux, Windows, macOS)和硬件平台(如 ARM, x86),实现一次编写,到处运行。 丰富的 UI 组件:内置大量高质量的 UI 组件,轻松创建美观且响应迅速的用户界面。 高性能:优化的图形渲染引擎和高效的内存管理,确保应用程序在资源受限的环境中也能流畅运行。 强大的生态系统:庞大的社区支持和丰富的第三方库,助您解决各种开难题。 易于学习:C++ 和 QML 语言结合,既适合初学者也适合有经验的开者。 本教程适合谁? 嵌入式开新手:从未接触过 QT 的新手,希望快速入门。 专业工程师:希望提升技能,提高工作效率的专业人士。 学生:对嵌入式系统和 GUI 开感兴趣的在校学生。 研究人员:需要进行嵌入式系统开的研究
西安石油大学在辽宁2020-2024各专业最低录取分数及位次表.pdf
10-04
那些年,与你同分同位次的同学都去了哪里?全国各大学在辽宁2020-2024年各专业最低录取分数及录取位次数据,高考志愿必备参考数据
基于东方世界的微信小程序商城.zip
10-04
基于东方世界的微信小程序商城
深入解析内核 Inline Hook 实现
通过这两个例子,文章展示了如何在实际操作中应用Inline Hook,同时也指出,虽然网上有很多关于Inline Hook的信息,但往往缺乏系统的介绍,本文旨在提供一个更为全面和系统的理解。 Inline Hook是一种强大但复杂的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值