在之前的一篇文章中介绍了替换IDT向量表中的地址来达到Hook的目的 IDT hook KiTrap03 但是这样很容易就可以被检测了。接下来要学习就是通过patch GDT来达到Hook IDT的目的。

首先,我们要了解一下,当触发INT 3号中断之后,CPU是如何找到接下来要执行的指令的地址。

CPU 在执行中断的时候,先会得到中断描述符表中该中断的中断例程(InterruptFunc ),然后得到该中断描述符中的段选择符,解析出段选择符对应的GDT(因为中断例程全都是在内核层中)中的地址(Base),然后执行:Base + InterruptFunc = 目标真正要执行的地址。

可能到这里还不太理解,我们以KiTrap03 3号中断为例来学习。

kd> !pcr

KPCR for Processor  at 83f6bc00:

    Major  Minor

    NtTib.ExceptionList: 83f680ac

        NtTib.StackBase:

       NtTib.StackLimit:

     NtTib.SubSystemTib: 801e4000

          NtTib.Version: 000bd40c

      NtTib.UserPointer:

          NtTib.SelfTib: 

                SelfPcr: 83f6bc00

                   Prcb: 83f6bd20

                   Irql: 0000001f

                    IRR:

                    IDR: ffffffff

          InterruptMode:

                    IDT: 80b95400

                    GDT: 80b95000

                    TSS: 801e4000

          CurrentThread: 83f75380

             NextThread:

             IdleThread: 83f75380

              DpcQueue:

我们可以看到当前处理器的控制块地址和IDT,GDT地址。

80b95400 83e78e000008efc0 83e78e000008f150

80b95418 83e7ee000008f5c0 83e7ee000008f748 83e78e000008f8a8

我们可以看到3号中断的描述项的地址是0x80b95418

typedef struct _IDTENTRY

{

    unsigned short LowOffset;

    unsigned short selector;

    unsigned char retention:;

    unsigned char zero1:;

    unsigned char gate_type:;

    unsigned char zero2:;

    unsigned char interrupt_gate_size:;

    unsigned char zero3:;

    unsigned char zero4:;

    unsigned char DPL:;

    unsigned char P:;

    unsigned short HiOffset;

} IDTENTRY,*PIDTENTRY;
kd> db 80b95418

80b95418  c0 f5    ee e7

我们可以得到LowOffset = 0xf5c0,HiOffset = 83e7 所以3号中断的InterruptFunc  = 0x83e7f5c0。

段选择符selector = 0x08 二进制表示即1000。这里就又牵扯到另一个概念,段选择符。

比如我们通知都知道 FS:[0] 指向的地址在内核层是处理器控制块,在应用层是当前线程的TEB的首地址。

之前分析KiTrap03的汇编的时候有几条指令:

.text:00436C5F mov     ebx, 30h

.text:00436C64 mov     fs, bx

.text:00436C67 mov     ebx, large fs:       ; fs对应处理器相关的_KPCR结构,kpcr,那么得到的是

.text:00436C67                               ; kpcr.NtTib.ExceptionList

这里,为什么fs=0x30了以后,fs:0指向的就是kpcr?

FS 寄存器在Windows下表示的不是我们通常意义上的段基址,而是段选择符。就是说CPU对于FS寄存器的寻址不是通常意义上的段基址+段偏移的方式,而是采用了另外的一种解析方式。我们这里还是以fs=0x30为例来讲解。

FS寄存器是16位寄存器,先大致了解一下每一位的意义:

0和1位:代表当前特权级,用户层:11     内核层:00::

2位:表指示位,0 表示在GDT(全局)中 ,1表示在LDT(局部)中:

3--15位:段索引。

先了解这么多就够了,然后回到我们的问题 FS=0x30   二进制表示就是110 0 00,特权级是0 内核态, GDT表,段索引是0x6。

我们之前有得到过GDT的地址,然后索引值为6的地址为0x80b95030

80b95000  00cf9b000000ffff 00cf93000000ffff0b95018 00cffb000000ffff 00cff3000000ffff 80008b1e400020ab0b95030 834093f6bc003748 
kd> db 80b95030

80b95030     bc f6   
typedef struct _KGDTENTRY                 // 3 elements, 0x8 bytes (sizeof)

{

    /*0x000*/     UINT16       LimitLow;

    /*0x002*/     UINT16       BaseLow;

    union                                 // 2 elements, 0x4 bytes (sizeof)

    {

        struct                            // 4 elements, 0x4 bytes (sizeof)

        {

            /*0x004*/             UINT8        BaseMid;

            /*0x005*/             UINT8        Flags1;

            /*0x006*/             UINT8        Flags2;

            /*0x007*/             UINT8        BaseHi;

        }Bytes;

        struct                            // 10 elements, 0x4 bytes (sizeof)

        {

            /*0x004*/             ULONG32      BaseMid : ;     // 0 BitPosition

            /*0x004*/             ULONG32      Type : ;        // 8 BitPosition

            /*0x004*/             ULONG32      Dpl : ;         // 13 BitPosition

            /*0x004*/             ULONG32      Pres : ;        // 15 BitPosition

            /*0x004*/             ULONG32      LimitHi : ;     // 16 BitPosition

            /*0x004*/             ULONG32      Sys : ;         // 20 BitPosition

            /*0x004*/             ULONG32      Reserved_0 : ;  // 21 BitPosition

            /*0x004*/             ULONG32      Default_Big : ; // 22 BitPosition

            /*0x004*/             ULONG32      Granularity : ; // 23 BitPosition

            /*0x004*/             ULONG32      BaseHi : ;      // 24 BitPosition

        }Bits;

    }HighWord;

}KGDTENTRY, *PKGDTENTRY;

我们对照着GDTENTRY的结构体,得出BaseLow = 0xbc00 , BaseMid = 0xf6 , BaseHi = 0x83,于是就得到了一个地址 0x83f6bc00 。

是不是很熟悉,没错,这就是我们KPCR的地址,也就是说CPU是按照段选择符的方式来解析FS寄存器的。

回到我们的问题,IDTENTRY中的selector域也是一个段选择符,它所解析出来的地址,就是我们要加上的Base,得到真正的中断例程的地址。

还是以 3号中断为例,selector = 0x08,二进制表示为1 0 00,也就是说是GDT表中的索引为1的项,

kd> db 80b95000+0x8

80b95008  ff ff    9b cf

可以得出 BaseLow =  0 , BaseMid = 0 , BaseHi = 0 ,得出的Base = 0;

所以真的执行的例程地址就是我们的lpInterruptFunc 。

既然中断向量的真正执行地址要经过GDT的查询,那么如果我们替换GDT中的内容,使最后CPU得到的Base = NewKiTrap03 - KiTrap03,就可以达到对IDT隐蔽性Hook的目的。但是这样又会出现一个问题,很多IDT处理例程的selector都是0x08,就是说和KiTrap03的段索引是一样的,也就是说我们不能直接替换KiTrap03对应的GDT中的内容,而是应该找一个没有用过的GDT表项,然后将KiTrap03的selector的段索引指向我们选定的GDT表项。

typedef struct _KGDTENTRY                 // 3 elements, 0x8 bytes (sizeof)

{

    /*0x000*/     UINT16       LimitLow;

    /*0x002*/     UINT16       BaseLow;

    union                                 // 2 elements, 0x4 bytes (sizeof)

    {

        struct                            // 4 elements, 0x4 bytes (sizeof)

        {

            /*0x004*/             UINT8        BaseMid;

            /*0x005*/             UINT8        Flags1;

            /*0x006*/             UINT8        Flags2;

            /*0x007*/             UINT8        BaseHi;

        }Bytes;

        struct                            // 10 elements, 0x4 bytes (sizeof)

        {

            /*0x004*/             ULONG32      BaseMid : ;     // 0 BitPosition

            /*0x004*/             ULONG32      Type : ;        // 8 BitPosition

            /*0x004*/             ULONG32      Dpl : ;         // 13 BitPosition

            /*0x004*/             ULONG32      Pres : ;        // 15 BitPosition

            /*0x004*/             ULONG32      LimitHi : ;     // 16 BitPosition

            /*0x004*/             ULONG32      Sys : ;         // 20 BitPosition

            /*0x004*/             ULONG32      Reserved_0 : ;  // 21 BitPosition

            /*0x004*/             ULONG32      Default_Big : ; // 22 BitPosition

            /*0x004*/             ULONG32      Granularity : ; // 23 BitPosition

            /*0x004*/             ULONG32      BaseHi : ;      // 24 BitPosition

        }Bits;

    }HighWord;

}KGDTENTRY, *PKGDTENTRY;

typedef struct _IDTR{

    USHORT   IDT_limit;

    USHORT   IDT_LOWbase;

    USHORT   IDT_HIGbase;

}IDTR,*PIDTR;

typedef struct _IDTENTRY

{

    unsigned short LowOffset;

    unsigned short selector;

    unsigned char retention:;

    unsigned char zero1:;

    unsigned char gate_type:;

    unsigned char zero2:;

    unsigned char interrupt_gate_size:;

    unsigned char zero3:;

    unsigned char zero4:;

    unsigned char DPL:;

    unsigned char P:;

    unsigned short HiOffset;

} IDTENTRY,*PIDTENTRY;

typedef struct _X86_KTRAP_FRAME {

    ULONG   DbgEbp;

    ULONG   DbgEip;

    ULONG   DbgArgMark;

    ULONG   DbgArgPointer;

    ULONG   TempSegCs;

    ULONG   TempEsp;

    ULONG   Dr0;

    ULONG   Dr1;

    ULONG   Dr2;

    ULONG   Dr3;

    ULONG   Dr6;

    ULONG   Dr7;

    ULONG   SegGs;

    ULONG   SegEs;

    ULONG   SegDs;

    ULONG   Edx;

    ULONG   Ecx;

    ULONG   Eax;

    ULONG   PreviousPreviousMode;

    ULONG   ExceptionList;

    ULONG   SegFs;

    ULONG   Edi;

    ULONG   Esi;

    ULONG   Ebx;

    ULONG   Ebp;

    ULONG   ErrCode;

    ULONG   Eip;

    ULONG   SegCs;

    ULONG   EFlags;

    ULONG   HardwareEsp;    // WARNING - segSS:esp are only here for stacks

    ULONG   HardwareSegSs;  // that involve a ring transition.

    ULONG   V86Es;          // these will be present for all transitions from

    ULONG   V86Ds;          // V86 mode

    ULONG   V86Fs;

    ULONG   V86Gs;

} X86_KTRAP_FRAME, *PX86_KTRAP_FRAME;
KIRQL  Irql;

ULONG_PTR g_jmp_offset = ;

ULONG_PTR  OldBase;

PKGDTENTRY NewGDTAddr;

ULONG_PTR g_OrigKiTrap03;

unsigned short OldSelector;

IDTENTRY*  idt_entries;

__declspec(naked) void NewKiTrap03()

{

    __asm

    {

            push       ;ErrorCode

            push    ebp

            push    ebx

            push    esi

            push    edi

            push    fs

            mov     ebx,30h

            mov     fs,bx

            mov     ebx,dword ptr fs:[]

            push    ebx

            sub     esp,

            push    eax

            push    ecx

            push    edx

            push    ds

            push    es

            push    gs

            sub     esp,30h    //esp此时就指向陷阱帧

            push    esp         //FilterExceptionInfo自己清理了

            call   FilterExceptionInfo   //过滤函数

            add     esp , 0x30

            pop        gs

            pop        es

            pop        ds

            pop        edx

            pop        ecx

            pop        eax

            add        esp ,

            pop        ebx

            pop        fs

            pop        edi

            pop        esi

            pop        ebx

            pop        ebp

            add     esp , 0x4

            jmp     g_OrigKiTrap03

    }

}

VOID __stdcall FilterExceptionInfo(PX86_KTRAP_FRAME pTrapFrame)

{

    //eip的值减一过int3,汇编代码分析中dec,

    DbgPrint("Eip:%x\r\n",(pTrapFrame->Eip)-);

}

NTSTATUS

DriverEntry(IN PDRIVER_OBJECT pDriverObj, IN PUNICODE_STRING pRegistryString)

{

    ULONG    oriaddr=;

    ULONG    newaddr=;

    PKGDTENTRY GDT_Addr;

    KGDTENTRY  GDTInfo;

    PKGDTENTRY Gdt_Addr3e0;

    PKGDTENTRY Gdt_Addr8;

    ULONG    jmpoffset=;

    IDTR    idt_info;

    unsigned short selector;

#ifdef _DBG

    __asm int

#endif

    pDriverObj->DriverUnload = DriverUnLoad;

    __asm

    {

        sidt  idt_info

        push edx

        sgdt [esp-]

        pop edx

        mov GDT_Addr,edx

    }

    idt_entries = (IDTENTRY*) MAKELONG(idt_info.IDT_LOWbase,idt_info.IDT_HIGbase);

    g_OrigKiTrap03 = MAKELONG(idt_entries[].LowOffset,idt_entries[].HiOffset);

    jmpoffset    =    (ULONG)NewKiTrap03 - g_OrigKiTrap03;

    selector = idt_entries[].selector;

    //我选择的是索引为0x10的,空白的GDT表项

    NewGDTAddr = GDT_Addr + 0x10;

    //保存原来的

     memcpy((UCHAR*)&OldBase,(char*)(&(NewGDTAddr->BaseLow)),);

     memcpy((UCHAR*)&OldBase+,(char*)(&(NewGDTAddr->HighWord.Bytes.BaseMid)),);

     memcpy((UCHAR*)&OldBase+,(char*)(&(NewGDTAddr->HighWord.Bytes.BaseHi)),);

    //修改

    WPOFF();

    memcpy((char*)(&(NewGDTAddr->BaseLow)),(UCHAR*)&jmpoffset,);

    memcpy((char*)(&(NewGDTAddr->HighWord.Bytes.BaseMid)),(UCHAR*)(&jmpoffset)+,);

    memcpy((char*)(&(NewGDTAddr->HighWord.Bytes.BaseHi)),(UCHAR*)(&jmpoffset)+,);

    OldSelector = idt_entries[].selector;

    idt_entries[].selector  = 0x80;

    WPON();

    return  STATUS_SUCCESS;

}

void DriverUnLoad(PDRIVER_OBJECT pDriverObject)

{

    WPOFF();

    memcpy((char*)(&(NewGDTAddr->BaseLow)),(UCHAR*)(&OldBase),);

    memcpy((char*)(&(NewGDTAddr->HighWord.Bytes.BaseMid)),(UCHAR*)(&OldBase)+,);

    memcpy((char*)(&(NewGDTAddr->HighWord.Bytes.BaseHi)),(UCHAR*)(&OldBase)+,);

    idt_entries[].selector = OldSelector;

    WPON();

}

VOID WPOFF()

{

    ULONG_PTR cr0 = ;

    Irql = KeRaiseIrqlToDpcLevel();

    cr0 =__readcr0();

    cr0 &= 0xfffffffffffeffff;

    __writecr0(cr0);

}

VOID WPON()

{

    ULONG_PTR cr0=__readcr0();

    cr0 |= 0x10000;

    __writecr0(cr0);

    KeLowerIrql(Irql);

}

IDTHook 深入学习的更多相关文章

  1. 从直播编程到直播教育:LiveEdu.tv开启多元化的在线学习直播时代

    2015年9月,一个叫Livecoding.tv的网站在互联网上引起了编程界的注意.缘于Pingwest品玩的一位编辑在上网时无意中发现了这个网站,并写了一篇文章<一个比直播睡觉更奇怪的网站:直 ...

  2. Angular2学习笔记(1)

    Angular2学习笔记(1) 1. 写在前面 之前基于Electron写过一个Markdown编辑器.就其功能而言,主要功能已经实现,一些小的不影响使用的功能由于时间关系还没有完成:但就代码而言,之 ...

  3. ABP入门系列(1)——学习Abp框架之实操演练

    作为.Net工地搬砖长工一名,一直致力于挖坑(Bug)填坑(Debug),但技术却不见长进.也曾热情于新技术的学习,憧憬过成为技术大拿.从前端到后端,从bootstrap到javascript,从py ...

  4. 消息队列——RabbitMQ学习笔记

    消息队列--RabbitMQ学习笔记 1. 写在前面 昨天简单学习了一个消息队列项目--RabbitMQ,今天趁热打铁,将学到的东西记录下来. 学习的资料主要是官网给出的6个基本的消息发送/接收模型, ...

  5. js学习笔记:webpack基础入门(一)

    之前听说过webpack,今天想正式的接触一下,先跟着webpack的官方用户指南走: 在这里有: 如何安装webpack 如何使用webpack 如何使用loader 如何使用webpack的开发者 ...

  6. Unity3d学习 制作地形

    这周学习了如何在unity中制作地形,就是在一个Terrain的对象上盖几座小山,在山底种几棵树,那就讲一下如何完成上述内容. 1.在新键得项目的游戏的Hierarchy目录中新键一个Terrain对 ...

  7. 《Django By Example》第四章 中文 翻译 (个人学习,渣翻)

    书籍出处:https://www.packtpub.com/web-development/django-example 原作者:Antonio Melé (译者注:祝大家新年快乐,这次带来<D ...

  8. 菜鸟Python学习笔记第一天:关于一些函数库的使用

    2017年1月3日 星期二 大一学习一门新的计算机语言真的很难,有时候连函数拼写出错查错都能查半天,没办法,谁让我英语太渣. 关于计算机语言的学习我想还是从C语言学习开始为好,Python有很多语言的 ...

  9. 多线程爬坑之路-学习多线程需要来了解哪些东西?(concurrent并发包的数据结构和线程池,Locks锁,Atomic原子类)

    前言:刚学习了一段机器学习,最近需要重构一个java项目,又赶过来看java.大多是线程代码,没办法,那时候总觉得多线程是个很难的部分很少用到,所以一直没下决定去啃,那些年留下的坑,总是得自己跳进去填 ...

随机推荐

  1. 使用ViewSwitcher和ViewFlipper在不同布局中切换

    xml布局: <?xml version="1.0" encoding="utf-8"?><LinearLayout xmlns:androi ...

  2. OSGi 对软件复杂度的影响

    出自 深度理解 osgi equinox 原理 1.2.1 OSGi 能让软件开发变得更容易吗 不可否认,OSGi 的入门门槛在 Java 众多技术中算是比较高的,相对陡峭的学习曲线会 为第一次使用 ...

  3. VS模板文件修改,自动生成注释

    VS的模板文件存放在IDE下的ItemTemplatesCache文件夹下 1.不同VS版本IDE文件夹路径个有不同,下面以VS2012为例,IDE文件夹路径如图:

  4. RTLviewer与TechnologyMapViewer的区别?

    区别: 1.QUARTUS II 中往往要查看RTL Viewer,其实RTLview是编译后的结果,显示的图形都是调用标准单元的结果,这是和思维有关联的显示结果,跟工艺库,FPGA类型,都没有关系: ...

  5. QT 按钮类继承处理带定时器

    01.class KeyButton : public QPushButton  02.{  03.    Q_OBJECT  04.public:  05.    explicit KeyButto ...

  6. TI IPNC Web网页之流程分析

    流程 Appro IPNC使用的web服务器是boa. 请仔细理解下面这段话. boa这个web服务器是GUI界面和IPNC应用程序之间的通信的桥梁.它的责任是从web GUI中接收HTTP请求,并且 ...

  7. git创建分支并提交项目

    git 创建分支, 切换分支, 合并分支, 删除分支及提交[commit提交到本地仓库push名利提交到远程服务器], 检出[pull], 冲突修改, 本地仓库同步远程服务器[pul和push命令l] ...

  8. 在Mac中如何显示和隐藏文件

    1.显示Mac隐藏文件的命令: 在终端中输入"defaults write com.apple.finder AppleShowAllFiles YES":  鼠标单击窗口左上角 ...

  9. Entity Framework技术导游系列开篇与热身

    在微软平台写程序有年头了,随着微软数据存取技术的持续演化,我在程序中先后使用过ODBC.DAO.ADO.ADO.NET.LINQ to SQL. Entity Framework这些技术. 近几年来, ...

  10. android手机配置hosts文件

    Android设备测试服务器时,可能需要修改 hosts 文件指定域名到对应的 IP 地址.Android 是基于 Linux 的系统,与 Linux 类似,通过 hosts 文件来设置. 在 And ...