rootkit hook之[四]-- IDT Hook

最新推荐文章于 2022-08-06 17:23:07 发布
最新推荐文章于 2022-08-06 17:23:07 发布
阅读量1.5k 收藏 3
点赞数
文章标签: hook 任务 descriptor vector 编程 汇编

标 题: 【原创】rootkit hook之[四]-- IDT Hook
作 者: combojiang
时 间: 2008-02-19,17:05
链 接: http://bbs.pediy.com/showthread.php?t=59867

今天我们一起来学习下Rootkit里面的IDT hook. 由于涉及到一些基本概念,在这里也顺便提一下。呵呵,帖子比较长,慢慢看。闲话少说,直奔主题。

我们首先来了解下什么是IDT?
IDT = Interrupt Descriptor Table 中断描述表

IDT是一个有256个入口的线形表,每个IDT的入口是个8字节的描述符,所以整个IDT表的大小为256*8=2048 bytes,每个中断向量关联了一个中断处理过程。所谓的中断向量就是把每个中断或者异常用一个0-255的数字识别。Intel称这个数字为向量(vector).如图所示。

对于中断描述表,操作系统使用IDTR寄存器来记录idt位置和大小。
IDTR寄存器是48位寄存器,用于保存idt信息。其中低16位代表IDT的大小,大小为7FFH,高32位代表IDT的基地址。在我的机器上,基地址是8003F400H. 我们可以利用指令sigt读出IDTR寄存器中的信息,从而找到IDT在内存中的位置。
名称: 1.JPG查看次数: 1864文件大小: 17.1 KB
IDT有三种不同的描述符或者说是入口,分别是:
1。任务门描述符
2。中断门描述符
3。陷阱门描述符

也就是说,在保护模式下,80386只有通过中断门、陷阱门或任务门才能转移到对应的中断或异常处理程序。


Intel参考手册上指出“同步中断”(在一个指令执行完成后,由CPU控制单元产生的)作为“异常”。
异步中断(可能会在任意时刻由其他硬件产生的)才称为“中断”。中断被外部的I/O设备产生。
但是异常是由编程错误或者是由反常情况(必须由内核来处理)触发的。在该文档中,
术语“中断信号”既指异常又指中断。

中断分为两种类型:可屏蔽中断--它在短时间片段里可被忽略;不可屏蔽中断--它必须被立即处理。例如:硬件失败为不可屏蔽中断,IRQS(中断请求)失败为可屏蔽中断。

异常被分为不同的两类:处理器产生的异常(Faults, Traps, Aborts)和编程安排的异常(用汇编指令int or int3 触发)。后一种就是我们经常说到的软中断。

我们先看看这三种描述符:
名称: 2.JPG查看次数: 1863文件大小: 26.7 KB

其中:后两种描述符,非常的相似,只有1个bit位的差别。在处理上,采用相同的处理方式。如图所示,在这后两类的描述符里面记录了一个中断服务程序(ISR )的地址offset. 在IDT的256个向量中,除3个任务门入口外,其他都是这两种门的入口。并且所有的trap/interrupt gate的入口,他们的segment selector都是一样的,即:08h. 我们察看GDT中Selector = 8的描述符,描述的是00000000h ~ 0ffffffffh的4G地址空间。 因此,在描述符中的中断服务程序(ISR )的地址offset就代表了函数的入口地址。windows在处理的时候,按照下图方式,来处理这两类的描述符入口。即:根据segment selector在GDT中找出段基地址等信息,然后跟描述符中的中断服务程序(ISR )的地址offset相加得到代码段中的函数入口地址。然后调用该函数。
这个过程,我写得比较直接,在操作系统执行这过程时,还有很多的出错判断和异常保护,这里我们略过。
名称: 3.JPG查看次数: 1850文件大小: 19.7 KB
接下来,我们看看任务门描述符的情况。
名称: 4.JPG查看次数: 1843文件大小: 16.1 KB
首先,根据IDT中任务门描述符的TSS Segment   Selector ,我们在GDT中找出这个选择子。在这个选择子中,对应一个tss描述符,即:任务状态段描述符。这个描述符大小为068h, 即104字节。
下面是这个任务状态段描述符的格式。
名称: 5.JPG查看次数: 1849文件大小: 14.8 KB
我们看到在这个描述符中记录了任务状态段的位置和大小。
我们根据任务状态段描述符中的base Address, 找到TSS的内存位置。然后我们就可以进行任务切换。所谓任务切换是指,挂起当前正在执行的任务,恢复或启动另一任务的执行。在任务切换过程中,首先,处理器中各寄存器的当前值被自动保存到TR所指定的TSS中;然后,下一任务的TSS的选择子被装入TR;最后,从TR所指定的TSS中取出各寄存器的值送到处理器的各寄存器中。由此可见,通过在TSS中保存任务现场各寄存器状态的完整映象,实现任务的切换。 TR寄存器可见部分保存了tss selector, 不可见部分,保存了任务状态段的位置和大小.如下图所示。
任务状态段TSS的基本格式如下图所示。


从图中可见,TSS的基本格式由104字节组成。这104字节的基本格式是不可改变的,但在此之外系统软件还可定义若干附加信息。
名称: 6.JPG查看次数: 1844文件大小: 17.7 KB

理论的部分,我们简单介绍这么多。接下来,我们透过几个例子来说明下,IDT HOOK

yaneng
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
驱动编程-idt hook--中断描述符表
健景的博客
05-04 950
整理下之前过驱动保护的学习,idt hook也是一个经常用到的hook思路。 还是要用到inline hook进入到中断函数地址进行jmp //获取idt表地址 //修改int3中断函数 #include #include #ifdef __cplusplus extern "C" { #endif #include //这里包含需要用C方式编译的头文件 #ifdef __cplusplu
linux 虚拟接口,linux 半虚拟化接口(paravirt_ops)
weixin_29038155的博客
05-13 310
摘自:linux 2.6.23.13\arch\i386\kernelstruct paravirt_ops paravirt_ops = {.name = "bare hardware",.paravirt_enabled = 0,.kernel_rpl = 0,.shared_kernel_pmd = 1, /* Only used when CONFIG_X86_PAE is set ...
中断描述符表IDT的预初始化
yarsen的专栏
10-06 1346
中断描述符表IDT的预初始化    当计算机运行在实模式时,IDT被初始化并由BIOS使用。然而,一旦真正进入了Linux内核,IDT就被移到内存的另一个区域,并进行进入实模式的初步初始化。  1.中断描述表寄存器IDTR的初始化      用汇编指令LIDT对中断向量表寄
Action Recognition:iDT论文解读(Improved Dense Trajectories)
冬后晚晴的博客
03-12 4905
  主要参考博文 行为识别笔记:improved dense trajectories算法(iDT算法)   一.DT介绍   先简单介绍DT(Dense Trajectories)方法:利用光流场来获得视频序列中的轨迹,在沿着轨迹提取轨迹形状特征和HOF,HOG,MBH特征,然后利用BoF(Bag of Features)方法对特征进行编码,最后基于编码结果训练SVM分类器。     ...
rootkit hook之[六] -- sysenter Hook
kansa1988的专栏
03-14 259
<br />SYSENETER是一条汇编指令,它是在Pentium® II 处理器及以上处理器中提供的,是快速系统调用的一部分。 SYSENTER/SYSEXIT这对指令专门用于实现快速调用。在这之前是采用INT 0x2E来实现的。INT 0x2E在系统调用的时候,需要进行 栈切换的工作。由于Interrupt/Exception Handler的调用都是通过 call/trap/task这一类的gate来实现的,这 种方式会进行栈切换,并且系统栈的地址等信息由TSS提供。这种方式可能会引起多次内存访
hook了所有IDTrootkit代码
03-12
代码用c编写 实现hook了所有的256个IDT,并在dbgview下打印输出了每个IDT的调用次数
【专题Rootkit的学习与研究
04-07
│ ├─4)idt hook │ │ bhwin_keysniff.rar │ │ IDT Hook .doc │ │ │ ├─5)IRP hook │ │ 5)IRP hook.doc │ │ irphook1.rar │ │ irphook2.rar │ │ irphook3.rar │ │ │ ├─6)...
一款rootkit源码
02-13
2010年写的,比较烂,不过里面有IAT HOOK,SSDT HOOK,EAT HOOK,INLINE HOOK,IDT HOOK,OBJECT HOOK.很多很多的内核HOOK技术,我自己也记不太清楚了,我觉得是提供给新手学习的好资料。
IDTKeyboard_rootkit_zip_
10-04
ROOTKIT_IDT HOOK_KEYBOARD
Hisilicon映像下载工具IDT_V9
04-22
海思的K3系列刷机工具最新V9版,绿色包无需安装直接运行,进入设置菜单密码为0
华为idt工具
02-11
华为idt工具压054565+6432165
海思方案通用刷机工具IDT 版本号V1.1.1.02 IDT_V111_02.RAR
12-23
海思方案通用刷机工具IDT 版本号V1.1.1.02 IDT_V111_02.RAR
SSDT-hook,IDT-hook原理
fun0526的专栏
08-04 2500
<br /><br />【详细过程】<br />这次主要说说核心层的hook。包括SSDT-hookIDT-hook,sysenter-hook。欢迎讨论,指正!内核层需要驱动,有这方面的基础最好,如果不会,了解下其中的思路也可以的。<br /><br />II. SSDT-hook,IDT-hook,sysenter-hook<br />一.SSDT-hook<br />(一)一般思路:<br />1.先来了解一下,什么是SSDT<br />SSDT既System Service Dispath Tab
idt hook 原版
05-14 421
#include "ntddk.h" #define WORD USHORT #define DWORD ULONG #define MAKELONG(a, b) ((LONG)(((WORD)(((DWORD_PTR)(a)) & 0xffff)) \ | ((DWORD)((WORD)(((DWORD_PTR)(b)) & 0xffff))) << 16)) typedef s
读取IDT寄存器
weixin_33743703的博客
06-29 326
#include <stdio.h> #include <windows.h> #include <winioctl.h> #pragma pack(1) typedef struct _IDT { WORD idtl; DWORD idtr; }IDT; int main(void) { IDT idt; __as...
x86 idt
kexinxin1的博客
11-10 154
Interrupt/trap gate
iDT算法
zakexu的专栏
08-21 5997
Improve dense trajectory简称iDT,是一种用来提取视频密集跟踪轨迹的算法;通常基于该轨迹进行取块计算descriptor; 1.iDT计算 (1)概念:在视频序列中对每一帧的兴趣点进行跟踪就形成trajectory,若是对每一帧密集采样兴趣点进行跟踪就形成dense trajectory; (2)算法: 1)对整个视频序列进行光流场计算(光流场,它是指图
Intel汇编知识整理
Fyantu的博客
08-06 1643
linux rootkit
最新发布
03-16
Linux rootkit是一种恶意软件,它可以隐藏在操作系统内核中,以避免被检测和删除。它可以允许攻击者远程控制受感染的计算机,窃取敏感信息,修改文件和系统设置,甚至可以使系统崩溃。为了保护计算机安全,用户应该定期更新操作系统和安全软件,避免下载和安装来自不可信来源的软件,以及使用强密码和多因素身份验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值