idt hook 3

最新推荐文章于 2020-12-19 16:31:48 发布
最新推荐文章于 2020-12-19 16:31:48 发布
阅读量3.2k 收藏 5
点赞数
文章标签: hook service descriptor system struct object

二.IDT hook
   (一)基本思路:IDT(Interrupt Descriptor Table)中断描述符表,是用来处理中断的。中断就是停下现在的活动,去完成新的任务。一个中断可以起源于软件或硬件。比如,出现页错误,调用IDT中的0x0E。或用户进程请求系统服务(SSDT)时,调用IDT中的0x2E。而系统服务的调用是经常的,这个中断就能触发。我们现在就想办法,先在系统中找到IDT,然后确定0x2E在IDT中的地址,最后用我们的函数地址去取代它,这样以来,用户的进程(可以特定设置)一调用系统服务,我们的hook函数即被激发。
   (二)需解决的问题:从上面分析可以看出,我们大概需要解决这几个问题:
   1.IDT如何获取呢?SIDT指令可以办到,它可以在内存中找到IDT,返回一个IDTINFO结构的地址。这个结构中就含有IDT的高半地址和低半地址。为了方便把这两个半地址合在一起,我们可以用一个宏。IDTINFO,和宏的结构如下:
   typedef struct
   {
   WORD IDTLimit;
   WORD LowIDTbase;   //IDT的低半地址
   WORD HiIDTbase;     //IDT的高半地址
   } IDTINFO;
方便获取地址存取的宏
   #define MAKELONG(a, b)((LONG)(((WORD)(a))|((DWORD)((WORD)(b)))<< 16))
   2.IDT有最多256个入口,我们现在要的是其中的0x2E,这个中断号的入口地址如何获取呢
    #pragma pack(1)
   typedef struct
   {
   WORD LowOffset;            //入口的低半地址
   WORD selector;
   BYTE unused_lo;
   unsigned char unused_hi:5;      // stored TYPE ?
   unsigned char DPL:2;
   unsigned char P:1;          // vector is present
   WORD HiOffset;           //入口地址的低半地址
   } IDTENTRY;
   #pragma pack()
   知道了这个入口结构,就相当于知道了每间房(可以把IDT看作是一排有256间房组成的线性结构)的长度,我们先获取所有的入口idt_entrys,那么第0x2E个房间的地址也就可以确定了,即idt_entrys[0x2E]。


   3.如果得到了0x2e的地址,如何用我们的hook地址改写原中断地址呢? 见以下核心代码:
   DWORD KiRealSystemServiceISR_Ptr; // 真正的2E句柄,保存以便恢复hook
   #define NT_SYSTEM_SERVICE_INT 0x2e
   //我们的hook函数
   int HookInterrupts()
   {
  
      IDTINFO idt_info;           //SIDT将返回的结构
  
      IDTENTRY* idt_entries;     //IDT的所有入口
  
      IDTENTRY* int2e_entry;     //我们目标的入口
  
      __asm{
  
         sidt idt_info;          //获取IDTINFO
  
      }
     //获取所有的入口
      idt_entries =
  
     (IDTENTRY*)MAKELONG(idt_info.LowIDTbase,idt_info.HiIDTbase);


   //保存真实的2e地址
      KiRealSystemServiceISR_Ptr =
                                 MAKELONG(idt_entries[NT_SYSTEM_SERVICE_INT].LowOffset,
  
            idt_entries[NT_SYSTEM_SERVICE_INT].HiOffset);
  
   
   //获取0x2E的入口地址
      int2e_entry = &(idt_entries[NT_SYSTEM_SERVICE_INT]);
  
      __asm{
  
        cli;                        // 屏蔽中断,防止被打扰
  
        lea eax,MyKiSystemService; // 获得我们hook函数的地址,保存在eax
  
        mov ebx, int2e_entry;       // 0x2E在IDT中的地址,ebx中分地高两个半地址
  
        mov [ebx],ax;               // 把我们hook函数的地半地址写入真是第半地址
  
      shr eax,16                  //eax右移16,得到高半地址
  
        mov [ebx+6],ax;            // 写入高半地址
  
      sti;                       //开中断
  
      }
  
      return 0;
  
   }
具体代码见:www.rootkit.com/vault/fuzen_op/strace_Fuzen.zip
   (三)注意点:
   1.每个处理器都有个IDT,所以对于多CPU一定要注意,所有的IDT都要hook。
   2.在winxp,win2k3,vsta下失效。
  
   三.SYSENTRY hook
   为了性能的考虑,xp后的系统都改用sysentry命令来进入ring0,去调用SSDT中的服务,不再是通过IDT中的 int 2E。这也使得我们hook也变得相对容易了。


   首先获得sysentry的地址,然后改之,不用再考虑IDT了。见下面的代码:
   #include "ntddk.h"
  
   ULONG d_origKiFastCallEntry; // 原ntoskrnl!KiFastCallEntry地址
  
   VOID OnUnload( IN PDRIVER_OBJECT DriverObject )
   {
     DbgPrint("ROOTKIT: OnUnload called/n");
   }
  
   // Hook function
   __declspec(naked) MyKiFastCallEntry()
   {
     __asm {
       jmp [d_origKiFastCallEntry]   //这啥都没做,换成你想干的
           }
   }
  
   NTSTATUS DriverEntry( IN PDRIVER_OBJECT theDriverObject, IN PUNICODE_STRING theRegistryPath )
   {
     theDriverObject->DriverUnload   = OnUnload;
  
     __asm {
                      mov ecx, 0x176                 
       rdmsr                           // 读IA3_SYSENTER_EIP寄存器值,存有sysenter的地址             
       mov d_origKiFastCallEntry, eax //保存原值,以便恢复
       mov eax, MyKiFastCallEntry      // hook函数地址
       wrmsr                           // 将hook函数移入IA32_SYSENTER_EIP寄存器
     }
  
     return STATUS_SUCCESS;
   }
  
  
基本的改变数据结构的hook就说到这里,当然还有DKOM这种高级的技术,有兴趣的自己去看看吧。

yaneng
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
驱动编程-idt hook--中断描述符表
健景的博客
05-04 973
整理下之前过驱动保护的学习,idt hook也是一个经常用到的hook思路。 还是要用到inline hook进入到中断函数地址进行jmp //获取idt表地址 //修改int3中断函数 #include #include #ifdef __cplusplus extern "C" { #endif #include //这里包含需要用C方式编译的头文件 #ifdef __cplusplu
利用SEH和INT3实现API HOOK.rar
09-17
利用SEH和INT3实现API HOOK.rar
IDT hook_hookidt_idtHook_重载IDT中断表_hook_
10-03
hook idt表(中断描述符表)只是替换地址没有做任何事
hook idt
云淡风轻
12-03 1552
extern "C"{ #include } typedef unsigned int DWORD; typedef unsigned short WORD; typedef unsigned char BYTE; #pragma pack(1) typedef struct{ WORD IDTLimit; DWORD IDTBase; }IDTR; typedef struct{ WOR
rootkit hook之[四]-- IDT Hook
08-25 852
 作 者: combojiang时 间: 2008-02-19,17:05链 接: http://bbs.pediy.com/showthread.php?t=59867今天我们一起来学习下Rootkit里面的IDT hook. 由于涉及到一些基本概念,在这里也顺便提一下。呵呵,帖子比较长,慢慢看。闲话少说,直奔主题。我们首先来了解下什么是IDT?IDT = Interrupt Descripto
IDT hook KiTrap03
weixin_30632899的博客
03-23 196
关于idt的基本知识就不进行赘述了,先看一个例子 0x1000: mov eax,0 0x1006: Int 3 ;------->进入内核,找到中断处理例程KiTrap03 0x1007: Mov eax,1 这段代码执行,触发3号中断,然后开始执行KiTrap03例程,要知道,执行完中断以后还是要回到原来的程序处继续执行...
IDT HOOK
crkres9527
10-08 572
  A、实例演示    B、替换IDT处理函数    C、IDT HOOK 代码书写      //840dFaa1  //-----------全局变量-------------------------------- ULONG int3proc_addr; //用来存放int 3处理函数地址 ULONG jmpaddr_int3proc_9; //用来存放intproc+9处理...
IDT-Hook-.rar_hook idt_hook中断表_idt_idt hook
09-19
IDT是一个有256个入口的线形表,每个IDT的入口是个8字节的描述符,所以整个IDT表的大小为256*8=2048 bytes,每个中断向量关联了一个中断 处理过程。所谓的中断向量就是把每个中断或者异常用一个0-255的数字识别
键盘idt hook 示键
03-28
3. **备份原处理函数**: 在修改IDT之前,保存原有的键盘中断处理程序的地址,这样可以在完成自定义操作后恢复默认处理。 4. **插入自定义函数**: 替换IDT中的键盘中断处理程序地址,将其改为我们的自定义处理函数。...
所有种类的钩子,用户层的API HOOK,内核驱动层的SSDT-hookIDT-hook,sysenter-hook.zip
01-27
本压缩包包含的资源涉及了用户层API Hook、内核驱动层的SSDT(System Service Dispatch Table)HookIDTInterrupt Descriptor Table)Hook以及sysenter Hook,这些都是Windows操作系统中实现系统级控制的关键技术...
IDT Hook
yaneng的专栏
06-18 2070
这两天读了combojiang(此君真乃天牛也)一篇关于IDT Hook的文章,于是自己实现了一个Hook鼠标中断服务的程序,自己也总结一下。IDTInterrupt Descriptor Table,描述了系统硬件/软件中断以及异常,这张表总共描述了0x7ff个中断(XP SP2),表中的每个元素代表一个中断门(Interrupt Gate),其格式如下所示:在我的程序中将该结构定
断门 内联 钩子断门 内联 钩IDT inline hook
05-04
IDT内联钩子,可以做某些拦截IDT内联钩子,可以做某些拦截
[内核安全4]内核态Rootkit之IDT Hook
輚至消亡
12-19 584
IDT Hook是通过挂钩中断描述符表的一种Ring0挂钩形式。在保护模式下和实模式下的中断机制是完全不同的。实模式下有256个中断例程以供调用,可以通过对应的中断号来调用。在保护模式下中断机制变得相对复杂了,但更好用。保护模式下中断由对应的门描述符来描述,其中有三种格式,分别为: 任务门描述符 中断门描述符 陷阱门描述符 任务门描述符一般用于不同特权级的非一致代码段间跳转。和IDT HOOK没有什么关系,因为IDT HOOK是通过挂钩中断门 比如希望低特权级代码段跳转至高特权级的代码段运行就一般需
使用INT3进行HOOK处理
IT男也疯狂
03-21 1983
原理:设置异常捕获,然后将需要HOOK的代码直接修改成INT3即可 用的一个关键的API:SetUnhandledExceptionFilter //异常处理函数 function MyInt3(CONST P:EXCEPTION_POINTERS):Integer;cdecl; var add:Pointer; begin OutputDebugString(PChar(inttohe
简单的IDT HOOK介绍
liujiayu2的专栏
06-30 1687
IDT即中断描述表。当然系统发生中断时(有可能是CPU中断,也有可能是I/O中断等)。系统会通过中断向量查找IDT保存的ISR(中断服务程序)来调用相关的处理例程。IDT Hook就是替换这个ISR。 也许上面的过程你不是很明白。我们具体的了解下过程。 IDT是一个有256个入口的线性表。每个入口大小为8字节。每个入口值我们称为中断向量(0..255)。比如 int 30。30即中断向
win32 IDT HOOK
博客
06-28 396
HOOK IDT
两种HOOK IDT方法
08-06 1781
IDT :就是系统中断表,是存放Windows的中断和异常的处理函数的表 IDT的数据结构:   typedef struct _IDTENTRY { unsigned short LowOffset; //处理函数的低2字节 unsigned short selector; //处理函数所在的段选择子 unsigned char retent...
RootKit学习之 IDT Hook
afsafs1231的博客
09-21 128
0x00 前言 IDT(Interrupt Descriptor Table)中断描述符表,中断就是停下现在的活动,去完成新的任务。一个中断可以起源于软件或硬件。比如,出现页错误,调用IDT中的0x0E。或用户进程请求系统服务(SSDT)时,调用IDT中的0x2E。而系统服务的调用是经常的,这个中断就能触发。我们现在就想办法,先在系统中找到IDT,然后确定0x2E在IDT中的地址,最后...
ShadowWalker1.0学习笔记4 ——Hook IDT
ccx_john的专栏
10-26 805
//Hook & Unhook IDT //俩函数,位于idtHook.cpp中。 //功能就是根据中断号Hook/Unhook IDT struct IDT_GATE {     unsigned OffsetLo        :16;   //bits 15....0         unsigned Selector        :16;   //segment s
memcpy hook
最新发布
08-27
引用中提到,hook可以分为两类:一种是修改函数代码,一种是修改函数地址。其中,修改函数代码的方式可以通过Inline hook实现,而修改函数地址的方式可以通过IAT hook、SSDT hook、IRP hookIDT hook等方法实现。引用中给出了一个使用memcpy函数进行hook的示例代码。在这个示例中,先定义了一个结构体Thook修改代码,结构体中包含了一些汇编指令和跳转地址等信息。然后通过调用memcpy_s函数,将这个结构体的内容拷贝到目标函数的地址,从而实现对目标函数的hook。同样地,引用中也给出了另一个使用memcpy函数进行hook的示例代码,并且提到了备份被覆盖的代码以及跳转地址等操作。综上所述,可以使用memcpy函数进行hook操作,通过拷贝特定的指令或者结构体内容到目标函数的地址来实现hook。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [浅谈hook攻防](https://blog.csdn.net/hongduilanjun/article/details/124676926)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [各种HOOK方式和检测对抗方法](https://blog.csdn.net/qq_43355637/article/details/127061136)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值