关键点:
调试函数得到的信息:
kd> u nt!IofCallDriver
nt!IofCallDriver:
804ef120 ff2500d25480 jmp dword ptr [nt!pIofCallDriver (8054d200)]
804ef126 cc int 3
804ef127 cc int 3
804ef128 cc int 3
804ef129 cc int 3
804ef12a cc int 3
804ef12b cc int 3
nt!IoCheckQuerySetFileInformation:
804ef12c 8bff mov edi,edi
我们知道,在调用IoCallDriver 的时候,它会先调用 IofCallDriver,所以,我们必须替换 这个 JMP 的地址,也就是
替换成我们的函数地址。。。
替换的过程:
ULONG uAddress;
KIRQL Irql;
uAddress = (ULONG)IofCallDriver; // 得到原函数地址
__asm
{
mov eax, uAddress;
mov esi, [eax+2]; // 取得 FF 后边的地址
mov eax, esi; // 保存原来函数的地址(也就是 FF 后边的 4 字节:也就是IoCallDriver 的地址 )
mov OldIofCallDriver, eax; // 用我们定义好的指向函数的指针 指向 IoCallDriver 这个函数。。。因为我们处理完后,
// 可以把控制权还给系统
}
Irql = KeRaiseIrqlToDpcLevel(); // 提高中断等级,防止被抢占。。。
ClearMemoryProtect(); // 去除内存的写保护,我自己把它们封装了
__asm
{
mov eax, uAddress; // 再次得到函数地址
mov esi, [eax+2]; // 同上
mov dword ptr [esi], offset MyIofCallDriver; // 将原来函数的地址覆盖成我们定义的 HOOK 函数,
// 然后,当请求到来的时候,程序会首先执行我们,
// 然后,在我们的函数中,我们通过前边得到的函数指针,调用原来的函数...
}
RecoverMemoryProtect();
KeLowerIrql(Irql);
卸载呢?
也就是,我们将 jmp 后 的4 个字节 替换成原来的函数地址,一切就是这样,从这里可以看出,指针的威力是很强大的。。。