InlineHook与UnHook

最新推荐文章于 2019-01-25 16:34:23 发布
最新推荐文章于 2019-01-25 16:34:23 发布
阅读量1.7k 收藏
点赞数
分类专栏: windows内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/z6470975/article/details/8182805
版权

分享一个多核下的InlineHook与UnHook。XP SP3测试通过。如有朋友有问题,欢迎提出共同解决。

.h文件

#ifndef _INLINEHOOK_H_
#define _INLINEHOOK_H_

#include <ntddk.h>

#pragma pack(1)
typedef struct _SERVICE_DESCRIPTOR_TABLE
{
	unsigned int *ServiceTableBase;
	unsigned int *ServiceCounterTableBase; //仅适用于checked build版本
	unsigned int NumberOfServices;
	unsigned char *ParamTableBase;
}SERVICE_DESCRIPTOR_TABLE,*PSERVICE_DESCRIPTOR_TABLE; 
#pragma pack()

//变量及函数定义如下:
extern PSERVICE_DESCRIPTOR_TABLE KeServiceDescriptorTable;

UCHAR * PsGetProcessImageFileName(__in PEPROCESS Process);
#define PsGetCurrentProcessImageFileName() PsGetProcessImageFileName(PsGetCurrentProcess())

ULONG NumberOfRaisedCPU;
ULONG AllCPURaised;
PKDPC g_basePKDPC;

VOID CloseProtect()
{
	__asm
	{
		cli
			push eax
			mov eax,cr0
			and eax,not 10000h
			mov cr0,eax
			pop eax
	}
}

VOID OpenProtect()
{
	__asm
	{
		push eax
			mov eax,cr0
			or eax,10000h
			mov cr0,eax
			pop eax
			sti
	}
}

VOID RaiseCPUIrqlAndWait(
						 IN PKDPC Dpc,
						 IN PVOID DeferredContext,
						 IN PVOID SystemArgument1,
						 IN PVOID SystemArgument2
						 )
{
	InterlockedIncrement(&NumberOfRaisedCPU);
	while (!InterlockedCompareExchange(&AllCPURaised, 1, 1))
	{
		__asm nop;
	}
	InterlockedDecrement(&NumberOfRaisedCPU);
}

void ReleaseExclusivity()
{
	InterlockedIncrement(&AllCPURaised);
	while (InterlockedCompareExchange(&NumberOfRaisedCPU, 0, 0))
	{
		__asm nop;
	}
	if (NULL != g_basePKDPC)
	{
		ExFreePool((PVOID)g_basePKDPC);
		g_basePKDPC = NULL;
	}
	return;
}

BOOLEAN GainExlusivity(VOID)
{
	NTSTATUS ntStatus;
	ULONG u_currentCPU;
	CCHAR i;
	PKDPC pKdpc, temp_pkdpc;

	if (DISPATCH_LEVEL != KeGetCurrentIrql())
	{
		return FALSE;
	}

	InterlockedAnd(&NumberOfRaisedCPU, 0);
	InterlockedAnd(&AllCPURaised, 0);

	temp_pkdpc = (PKDPC)ExAllocatePoolWithTag(NonPagedPool, KeNumberProcessors * sizeof(KDPC),'xian');
	if (NULL == temp_pkdpc)
	{
		return FALSE;
	}
	g_basePKDPC = temp_pkdpc;
	u_currentCPU = KeGetCurrentProcessorNumber();
	for (i = 0; i < KeNumberProcessors; i++, *temp_pkdpc++)
	{
		if (i != u_currentCPU)
		{
			KeInitializeDpc(temp_pkdpc, RaiseCPUIrqlAndWait, NULL);
			KeSetTargetProcessorDpc(temp_pkdpc, i);
			KeInsertQueueDpc(temp_pkdpc, NULL, NULL);
		}
	}

	while (KeNumberProcessors - 1 != InterlockedCompareExchange(&NumberOfRaisedCPU, KeNumberProcessors - 1, KeNumberProcessors - 1))
	{
		__asm nop;
	}
	return TRUE;
}

void __stdcall SetWp()
{
	CloseProtect();
	ReleaseExclusivity();
}

void __stdcall ClearWp()
{
	GainExlusivity();
	OpenProtect();
}

/************************************************************************/
/*	函数名:SK_UnInlineHook

	参数:	IN ULONG OldFunction,		原函数地址
			IN ULONG HookCodeLength,	需要恢复的字节长度
			IN PVOID pOldFunctionCode	需要恢复的字节内容
*/
/************************************************************************/
NTSTATUS SK_UnInlineHook(IN ULONG OldFunction,IN ULONG HookCodeLength,IN PVOID pOldFunctionCode)
{
	NTSTATUS status = STATUS_SUCCESS;
	KIRQL OldIrql;

	SetWp();
	__try
	{
		RtlCopyMemory((PULONG)OldFunction,pOldFunctionCode,HookCodeLength);
	}
	__except(1)
	{
		status = STATUS_UNSUCCESSFUL;
	}
	ClearWp();
	return status;
}
/************************************************************************/
/*	函数名:SK_InlineHook

	参数:	IN ULONG OldFunction,		需要hook的函数
			IN ULONG MyFunction,		跳转到我们自己的函数
			IN ULONG HookCodeLength,	需要hook的长度
			OUT PULONG JmpBackAddress,	跳回原函数的地址
			OUT PVOID pOldFunctionCode	保存原函数被hook的字节
*/
/************************************************************************/
NTSTATUS SK_InlineHook(IN ULONG OldFunction,IN ULONG MyFunction,IN ULONG HookCodeLength,OUT PULONG JmpBackAddress,OUT PVOID pOldFunctionCode)
{
	NTSTATUS status = STATUS_SUCCESS;
	KIRQL OldIrql;
	UCHAR Jmp[0x10];

	SetWp();
	__try
	{
		memset(Jmp,0x90,0x10);
		RtlCopyMemory(pOldFunctionCode,(PULONG)OldFunction,HookCodeLength);
		*(PUCHAR)Jmp = 0xe9;
		*(PULONG)((PUCHAR)Jmp + 1) = (ULONG)MyFunction - (ULONG)OldFunction - HookCodeLength;
		*JmpBackAddress = (ULONG)OldFunction + HookCodeLength;
		RtlCopyMemory((PULONG)OldFunction,Jmp,HookCodeLength);
	}
	__except(1)
	{
		status = STATUS_UNSUCCESSFUL;
	}
	
	ClearWp();

	return status;
}

#endif


.c 文件

#include "InlineHookTest.h"

UCHAR g_OldCode[5] = {0x90};
ULONG g_JmpBackAddress = 0;

__declspec(naked)VOID MyOpenProcess()
{
	KdPrint(("%s 调用了NtOpenProcess!\n",PsGetCurrentProcessImageFileName()));
	__asm
	{
		push 0xC4
		jmp [g_JmpBackAddress]
	}
}

VOID UnloadDriver(PDRIVER_OBJECT pDriver)
{
	SK_UnInlineHook((ULONG)(KeServiceDescriptorTable->ServiceTableBase[122]),5,g_OldCode);
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver,PUNICODE_STRING pRegt)
{
	pDriver->DriverUnload = UnloadDriver;

	SK_InlineHook((ULONG)(KeServiceDescriptorTable->ServiceTableBase[122]),(ULONG)MyOpenProcess,5,&g_JmpBackAddress,g_OldCode);

	return STATUS_SUCCESS;
}




z6470975
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Win64 驱动内核编程-23.Ring0 InLineHookUnHook
天使也掉毛
03-26 5109
Ring0InLineHookUnHook 如果是要在R0里hook,作者的建议是InLineHOOK,毕竟SSDTHOOK和SHADOWSSDTHOOK比较麻烦,不好修改。目前R3的InLineHOOK我比较喜欢的是MINIHOOKENGINE,但是今天要解决的是R0的InLineHOOK问题。 下面说下InLineHOOK的思路: 一、实现...
# inline hook 的几种方式概述----简单介绍而已,没有代码
商少
07-28 1061
inline hook 的几种方式概述       阅读本文之前推荐阅读这篇博客http://blog.csdn.net/masefee/article/details/6326634,里面详细介绍了三种inline hook 的方法并给出了代码实例。 最基本的hook:保存目标函数的前5个字节,然后覆盖其为跳转指令,跳转到我们的代码的位置,在执行完我们的代码之后恢复代码的前5个字节,将函
PyHook3简明教程
一个博客
01-25 2万+
PyHook底层还是使用windows API实现,而我们可以直接拿来用的相关函数定义都在Python\Lib\site-packages\PyHook3下的HookManager.py文件中。 因为官方并没给出一个API文档,所以我自己看了一下源文件,发现其实PyHook的方法很少,用法也很简单,基本上example.py中大概都给出了。下面也是通过对example.py给出的例子的解析来了解编...
UnHook示例源码
09-19
对应于《关于Detours/Minhook挂钩引擎的UnHook》博客的示例源代码
Inline Hook 之(监视任意函数)
热门推荐
masefee C/C++游戏编程
04-15 4万+
前面已经写过两次inline hook的博文了,第一篇为:《C/C++ HOOK API(原理深入剖析之-LoadLibraryA)》,这篇博文的方法是通过修改任意函数的前面N个字节,实现跳转并进入到我们自定义的hook函数里,执行完毕我们的hook函数之后,再直接调用被hook的函数。第一篇的方法没有考虑多线程的情况,所以在多线程环境下会有问题。第二篇为:《Inline HOOK API 改进版(hot-patching)》,这篇的初衷是为了解决多线程的问题,因为这种方式是一直hook的,直到程序结束。
inline hook 源码
11-14
**inline hook**是一种在程序运行时修改代码行为的技术,它涉及到计算机编程中的底层知识,特别是与操作系统、处理器架构和动态代码篡改相关的概念。本文将深入探讨inline hook的原理、实现方式以及它在x86和x64架构...
代码实例分析android中inline hook
08-28
Android 中的 Inline Hook 技术详解 Android 中的 Inline Hook 技术是指在 Android 操作系统中,使用 Hook 技术来拦截和修改应用程序的行为。Inline Hook 是一种常用的 Hook 技术,通过在应用程序的代码中注入一段...
Inline Hook_inlinehook_x86_x64_64位HOOK_
09-28
3. **钩子注册与解除**:为了能够正确地启用和禁用Hook,需要维护一个钩子注册表,以便在适当的时候恢复原始函数的行为。 4. **兼容性**:由于不同版本的操作系统和处理器可能有不同的内存保护机制和执行模型,因此...
使用内核三步实现InlineHook的详细分析
07-06
Inlinehook.通俗的说就是对函数执行流程进行修改。达到控制函数过滤操作的目的。理论上我们可以在函数任何地方把原来指令替换成我们的跳转指令,也确实有些人在inlineHook的时候做得很深,来躲避inlineHook的检测。...
delphi 超级hook inlinehook
10-28
delphi的超级hook类 纯原创,找了很久没找到 自己琢磨很久 注入yx。然后就可以愉快的hook了 处理方法暂不支持类方法 可以用了 有问题或建议可以联系我qq。
C++事件处理中的__hook与__unhook用法详解
01-20
__hook __hook将处理程序方法与事件关联。 语法 long __hook( &SourceClass::EventMethod, source, &ReceiverClass::HandlerMethod [, receiver = this] ); long __hook( interface, source ); 参数 &SourceClass::EventMethod 指向要将事件处理程序方法挂钩到的事件方法的指针: 本机 C++ 事件:SourceClass 是事件源类,EventMethod 是事件。 COM 事件:SourceClass 是事件源接口,
锁定键盘的钩子函数void SetHook(HHOOK &key;)
02-06
很好的东西 键盘钩子SetHook和UnHook
inlineHOOK 函数
u011569253的博客
05-17 1280
最近在研究如何hook自己的函数。现在我们来讲一下hook函数的过程,首先要hook自己函数要找到自己函数的地址,之后找到不少于5个字节的硬编码地址替换成E9(JMP)跳转到我们制定的函数地址。我们制定的函数设置成裸函数,我们要保持进入我们定制函数前和后的寄存器和标志寄存器值不变和堆栈的平衡。同时我们要在函数里实现我们替换的代码。这样才能保持程序的正常执行。下面不多说了上代码讲解。int CInj...
详谈内核三步走Inline Hook实现
Rprop
08-16 3646
前置知识:汇编 驱动 windbg 函数参数调用 关键词:堆栈平衡  inline hook  详谈内核三步走InlineHook实现 文/图  wofeiwo (一)Inline hook原理 Inline hook通俗的说就是对函数执行流程进行修改,达到控制函数过滤
关于Detours/Minhook挂钩引擎的UnHook
Fly Follow the Heart
09-19 5729
关于Detours/Minhook挂钩引擎的UnHook         文章本身可能用处不大,很少有人会用到所说的这些,权当积累。         一直在使用Detours 和 MinHook 两个Hook引擎进行一些系统API的挂钩,实现特殊的功能。就如标题所用词,UnHook,很少将一个已经Hook的函数再次进行UnHook,所以一直没有注意到问题所在。同事的提醒,让自己有了一点兴趣
180313 逆向-反调试技术(6)Hook和AntiHook
whklhhhh的博客
04-03 1245
1625-5 王子昂 总结《2018年3月13日》 【连续第528天总结】 A. 反调试技术(6) B. Hook和AntiHook 壳通过调用ThreadHideFromDebugger检测调试器,于是OD的HideOD插件就是通过对ThreadHideFromDebugger的Hook来对抗的 最早期直接在入口写入retn 10来直接返回,防止函数的调用 于是外壳也进行了改进:...
关于蓝屏错误IRQL_NOT_LESS_OR_EQUAL
02-03 1万+
有一个驱动出现很几率性的蓝屏,蓝屏错误提示IRQL_NOT_LESS_OR_EQUAL,错误码0xa。 0xa错误码一般都是访问非法内存所致,而IRQL_NOT_LESS_OR_EQUAL单从字面上面来看不难看出——在IRQL级别高的地方访问了分页内存。 在内核编程中,核心栈只有大概两个页的大小,所以DDK文档中特意标注出,内核中不宜使用递归调用。 通过ExAllocatePoolW
inlinehook下载
最新发布
07-09
InlineHook是一种用于动态修改程序执行流程的技术,常用于逆向工程、安全研究和移动应用开发。它能够拦截指定的函数调用,并在其执行之前或之后插入自定义的代码,从而改变程序的行为。 要进行InlineHook下载,首先...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值