hook idt

最新推荐文章于 2020-12-19 16:31:48 发布
最新推荐文章于 2020-12-19 16:31:48 发布
阅读量1.5k 收藏
点赞数
文章标签: hook descriptor struct object string c
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/x313695373/article/details/7038496
版权 
extern "C"{
#include <ntddk.h>
}
typedef unsigned int DWORD;
typedef unsigned short WORD;
typedef unsigned char BYTE;
#pragma pack(1)
typedef struct{
	WORD IDTLimit;
	DWORD IDTBase;
}IDTR;
typedef struct{
	WORD LowOffset;
	WORD Selector;
	BYTE unused0;
	unsigned char unused1:3;
	unsigned char D:1;
	unsigned char unused2:1;
	unsigned char DPL:2;
	unsigned char P:1;
	WORD HiOffset;
}INTERRUPT_DESCRIPTOR;
#pragma pack()
//HookFunction:该函数需要为naked函数,寄存器需要自己维护
#define MAKEDWORD(Hi, Lo) (((DWORD)Hi<<16) | (DWORD)(Lo))
DWORD HookInterrupt(DWORD Index, DWORD HookFunction)
{
	KdPrint(("Enter HookInterrupt\n"));
	IDTR idtr;
	INTERRUPT_DESCRIPTOR *pEntry;
	DWORD OldFunction;
	__asm sidt idtr;
	pEntry = (INTERRUPT_DESCRIPTOR*)idtr.IDTBase;
	pEntry = &pEntry[Index];
	OldFunction = MAKEDWORD(pEntry[0].HiOffset, pEntry[0].LowOffset);
	__asm{
		mov eax, HookFunction;
		mov ebx, pEntry;
		cli;
		mov [ebx], ax;
		shr eax, 16;
		mov [ebx+6], ax;
		sti;
	}
	KdPrint(("Exit  HookInterrupt\n"));
	return OldFunction;

}


DWORD OriginalFunction;
__declspec(naked) XKiSystemService()
{
	__asm{
		pushad;
		pushfd;
		push fs;
		mov bx, 0x30;
		mov fs, bx;
		push ds;
		push es;
	}
	//c code
	KdPrint(("Suhk\n"));
	__asm{
		pop es;
		pop ds;
		pop fs;
		popfd;
		popad;
		jmp OriginalFunction;
	}
}
VOID DriverUnload(IN PDRIVER_OBJECT pDriObj)
{
	KdPrint(("Enter DriverUnload"));
	HookInterrupt(14, OriginalFunction);
	KdPrint(("Exit  DriverUnload"));
}
extern "C" NTSTATUS DriverEntry(IN PDRIVER_OBJECT pDriObj,
		IN PUNICODE_STRING pRegPath)
{
	KdPrint(("Enter DriverEntry\n"));
	pDriObj->DriverUnload = DriverUnload;
	OriginalFunction = HookInterrupt(14, (DWORD)XKiSystemService);
	KdPrint(("Exit  DriverEntry\n"));
	return STATUS_SUCCESS;
}
发现在执行idt里面指定的代码时,irql为0
x313695373
关注
X64 HOOK IDT
落笔飞花笑百生的博客
11-06 3974
kd> dt nt!_KIDTENTRY64 @idtr + @@(sizeof(nt!_KIDTENTRY64))    +0x000 OffsetLow        : 0x44c0    +0x002 Selector         : 0x10    +0x004 IstIndex         : 0y000    +0x004 Reserved0        : 0y0
IDT hook_hookidt_idtHook_重载IDT中断表_hook_
10-03
hook idt表(中断描述符表)只是替换地址没有做任何事
rootkit hook之[四]-- IDT Hook
08-25 859
 作 者: combojiang时 间: 2008-02-19,17:05链 接: http://bbs.pediy.com/showthread.php?t=59867今天我们一起来学习下Rootkit里面的IDT hook. 由于涉及到一些基本概念,在这里也顺便提一下。呵呵,帖子比较长,慢慢看。闲话少说,直奔主题。我们首先来了解下什么是IDT?IDT = Interrupt Descripto
IDT hook KiTrap03
weixin_30632899的博客
03-23 197
关于idt的基本知识就不进行赘述了,先看一个例子 0x1000: mov eax,0 0x1006: Int 3 ;------->进入内核,找到中断处理例程KiTrap03 0x1007: Mov eax,1 这段代码执行,触发3号中断,然后开始执行KiTrap03例程,要知道,执行完中断以后还是要回到原来的程序处继续执行...
idt hook 3
yaneng的专栏
06-18 3253
二.IDT hook   (一)基本思路:IDT(Interrupt Descriptor Table)中断描述符表,是用来处理中断的。中断就是停下现在的活动,去完成新的任务。一个中断可以起源于软件或硬件。比如,出现页错误,调用IDT中的0x0E。或用户进程请求系统服务(SSDT)时,调用IDT中的0x2E。而系统服务的调用是经常的,这个中断就能触发。我们现在就想办法,先在系统中找到IDT,然后确
IDT HOOK
crkres9527
10-08 576
  A、实例演示    B、替换IDT处理函数    C、IDT HOOK 代码书写      //840dFaa1  //-----------全局变量-------------------------------- ULONG int3proc_addr; //用来存放int 3处理函数地址 ULONG jmpaddr_int3proc_9; //用来存放intproc+9处理...
IDT-Hook-.rar_hook idt_hook中断表_idt_idt hook
09-19
IDT是一个有256个入口的线形表,每个IDT的入口是个8字节的描述符,所以整个IDT表的大小为256*8=2048 bytes,每个中断向量关联了一个中断 处理过程。所谓的中断向量就是把每个中断或者异常用一个0-255的数字识别
hook了所有IDT的rootkit代码
03-12
标题中的“hook了所有IDT的rootkit代码”是指一种技术,它涉及到计算机系统的中断描述符表(Interrupt Descriptor Table, IDT)以及rootkit的概念。Rootkit是一种恶意软件,其目的是隐藏自身存在并控制受感染系统的...
所有种类的钩子,用户层的API HOOK,内核驱动层的SSDT-hookIDT-hook,sysenter-hook.zip
01-27
本压缩包包含的资源涉及了用户层API Hook、内核驱动层的SSDT(System Service Dispatch Table)HookIDT(Interrupt Descriptor Table)Hook以及sysenter Hook,这些都是Windows操作系统中实现系统级控制的关键技术...
IDT Hook
yaneng的专栏
06-18 2073
这两天读了combojiang(此君真乃天牛也)一篇关于IDT Hook的文章,于是自己实现了一个Hook鼠标中断服务的程序,自己也总结一下。IDT即Interrupt Descriptor Table,描述了系统硬件/软件中断以及异常,这张表总共描述了0x7ff个中断(XP SP2),表中的每个元素代表一个中断门(Interrupt Gate),其格式如下所示:在我的程序中将该结构定
两种HOOK IDT方法
08-06 1787
IDT :就是系统中断表,是存放Windows的中断和异常的处理函数的表 IDT的数据结构:   typedef struct _IDTENTRY { unsigned short LowOffset; //处理函数的低2字节 unsigned short selector; //处理函数所在的段选择子 unsigned char retent...
win32 IDT HOOK
博客
06-28 397
HOOK IDT
ShadowWalker1.0学习笔记4 ——Hook IDT
ccx_john的专栏
10-26 808
//Hook & Unhook IDT //俩函数,位于idtHook.cpp中。 //功能就是根据中断号Hook/Unhook IDT struct IDT_GATE {     unsigned OffsetLo        :16;   //bits 15....0         unsigned Selector        :16;   //segment s
[内核安全4]内核态Rootkit之IDT Hook
輚至消亡
12-19 596
IDT Hook是通过挂钩中断描述符表的一种Ring0挂钩形式。在保护模式下和实模式下的中断机制是完全不同的。实模式下有256个中断例程以供调用,可以通过对应的中断号来调用。在保护模式下中断机制变得相对复杂了,但更好用。保护模式下中断由对应的门描述符来描述,其中有三种格式,分别为: 任务门描述符 中断门描述符 陷阱门描述符 任务门描述符一般用于不同特权级的非一致代码段间跳转。和IDT HOOK没有什么关系,因为IDT HOOK是通过挂钩中断门 比如希望低特权级代码段跳转至高特权级的代码段运行就一般需
简单的IDT HOOK介绍
liujiayu2的专栏
06-30 1690
IDT即中断描述表。当然系统发生中断时(有可能是CPU中断,也有可能是I/O中断等)。系统会通过中断向量查找IDT保存的ISR(中断服务程序)来调用相关的处理例程。IDT Hook就是替换这个ISR。 也许上面的过程你不是很明白。我们具体的了解下过程。 IDT是一个有256个入口的线性表。每个入口大小为8字节。每个入口值我们称为中断向量(0..255)。比如 int 30。30即中断向
RootKit学习之 IDT Hook
afsafs1231的博客
09-21 131
0x00 前言 IDT(Interrupt Descriptor Table)中断描述符表,中断就是停下现在的活动,去完成新的任务。一个中断可以起源于软件或硬件。比如,出现页错误,调用IDT中的0x0E。或用户进程请求系统服务(SSDT)时,调用IDT中的0x2E。而系统服务的调用是经常的,这个中断就能触发。我们现在就想办法,先在系统中找到IDT,然后确定0x2E在IDT中的地址,最后...
idt hook 原版
05-14 432
#include "ntddk.h" #define WORD USHORT #define DWORD ULONG #define MAKELONG(a, b) ((LONG)(((WORD)(((DWORD_PTR)(a)) & 0xffff)) \ | ((DWORD)((WORD)(((DWORD_PTR)(b)) & 0xffff))) << 16)) typedef s
"分析卡巴斯基HOOK引擎:反病毒软件技术综述
本文将主要讨论用户空间进程、内联HOOK、IAT和EAT、虚拟地址描述符、隐藏注册表项、IDT、SSDT、MINI-FILTER、IRP、TDI HOOKING、CALLBACKS等内容,并根据分析结果作出结论。 首先,我们将介绍卡巴斯基在用户空间的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值