在前面的文章《驱动开发:内核解析PE结构导出表》中我们封装了两个函数KernelMapFile()函数可用来读取内核文件,GetAddressFromFunction()函数可用来在导出表中寻找指定函数的导出地址,本章将以此为基础实现对特定SSDT函数的Hook挂钩操作,与《驱动开发:内核层InlineHook挂钩函数》所使用的挂钩技术基本一致,不同点是前者使用了CR3的方式改写内存,而今天所讲的是通过MDL映射实现,此外前者挂钩中所取到的地址是通过GetProcessAddress()取到的动态地址,而今天所使用的方式是通过读取导出表寻找。

挂钩的目的就是要为特定函数增加功能,挂钩的实现方式无非就是替换原函数地址,我们以内核函数ZwQueryDirectoryFile()为例,ZwQueryDirectoryFile例程返回给定文件句柄指定的目录中文件的各种信息,其微软定义如下;

NTSYSAPI NTSTATUS ZwQueryDirectoryFile(

  [in]           HANDLE                 FileHandle,

  [in, optional] HANDLE                 Event,

  [in, optional] PIO_APC_ROUTINE        ApcRoutine,

  [in, optional] PVOID                  ApcContext,

  [out]          PIO_STATUS_BLOCK       IoStatusBlock,

  [out]          PVOID                  FileInformation,

  [in]           ULONG                  Length,

  [in]           FILE_INFORMATION_CLASS FileInformationClass,

  [in]           BOOLEAN                ReturnSingleEntry,

  [in, optional] PUNICODE_STRING        FileName,

  [in]           BOOLEAN                RestartScan

);

如果需要Hook一个函数则你需要去微软官方得到该函数的具体声明部分包括其返回值,而Hook的目的只是为函数增加或处理新功能,则在执行完自定义函数后一定要跳回到原始函数上,此时定义一个typedef_ZwQueryDirectoryFile函数指针在调用结束后即可很容易的跳转回原函数上,保证流程被正确执行,如果需要Hook其他函数其编写模板也是如下所示;

// 署名权

// right to sign one's name on a piece of work

// PowerBy: LyShark

// Email: me@lyshark.com

// 保存原函数地址

PVOID gOldFunctionAddress = NULL;

// Hook后被替换的新函数

NTSTATUS MyZwQueryDirectoryFile(

	IN HANDLE               FileHandle,

	IN HANDLE               Event OPTIONAL,

	IN PIO_APC_ROUTINE      ApcRoutine OPTIONAL,

	IN PVOID                ApcContext OPTIONAL,

	OUT PIO_STATUS_BLOCK    IoStatusBlock,

	OUT PVOID               FileInformation,

	IN ULONG                Length,

	IN FILE_INFORMATION_CLASS FileInformationClass,

	IN BOOLEAN              ReturnSingleEntry,

	IN PUNICODE_STRING      FileMask OPTIONAL,

	IN BOOLEAN              RestartScan

	)

{

	NTSTATUS status = STATUS_SUCCESS;

	// 定义函数指针

	typedef NTSTATUS(*typedef_ZwQueryDirectoryFile)(

		IN HANDLE               FileHandle,

		IN HANDLE               Event OPTIONAL,

		IN PIO_APC_ROUTINE      ApcRoutine OPTIONAL,

		IN PVOID                ApcContext OPTIONAL,

		OUT PIO_STATUS_BLOCK    IoStatusBlock,

		OUT PVOID               FileInformation,

		IN ULONG                Length,

		IN FILE_INFORMATION_CLASS FileInformationClass,

		IN BOOLEAN              ReturnSingleEntry,

		IN PUNICODE_STRING      FileMask OPTIONAL,

		IN BOOLEAN              RestartScan

		);

	DbgPrint("MyZwQueryDirectoryFile 自定义功能 \n");

	// 执行原函数

	status = ((typedef_ZwQueryDirectoryFile)gOldFunctionAddress)(FileHandle,

		Event,

		ApcRoutine,

		ApcContext,

		IoStatusBlock,

		FileInformation,

		Length,

		FileInformationClass,

		ReturnSingleEntry,

		FileMask,

		RestartScan);

	return status;

}

接着就是如何挂钩并让其中转到我们自己的代码流程中的问题,由于挂钩与恢复代码是一样的此处就以挂钩为例,首先调用MmCreateMdl()创建MDL,接着调用MmBuildMdlForNonPagedPool()接收一个 MDL,该MDL指定非分页虚拟内存缓冲区,并对其进行更新以描述基础物理页。调用MmMapLockedPages()将此段内存提交为锁定状态,最后就是调用RtlCopyMemory()将新函数地址写出到内存中实现替换,最后释放MDL句柄即可,这段代码如下所示,看过驱动读写篇的你一定很容易就能理解。

// 署名权

// right to sign one's name on a piece of work

// PowerBy: LyShark

// Email: me@lyshark.com

// 挂钩SSDT函数

BOOLEAN SSDTFunctionHook(ULONG64 FunctionAddress)

{

	PMDL pMdl = NULL;

	PVOID pNewAddress = NULL;

	ULONG ulNewFuncAddr = 0;

	gOldFunctionAddress = FunctionAddress;

	// 使用MDL修改SSDT

	pMdl = MmCreateMdl(NULL, &FunctionAddress, sizeof(ULONG));

	if (NULL == pMdl)

	{

		return FALSE;

	}

	MmBuildMdlForNonPagedPool(pMdl);

	// 锁定内存

	pNewAddress = MmMapLockedPages(pMdl, KernelMode);

	if (NULL == pNewAddress)

	{

		IoFreeMdl(pMdl);

		return FALSE;

	}

	// 写入新函数地址

	ulNewFuncAddr = (ULONG)MyZwQueryDirectoryFile;

	RtlCopyMemory(pNewAddress, &ulNewFuncAddr, sizeof(ULONG));

	// 释放

	MmUnmapLockedPages(pNewAddress, pMdl);

	IoFreeMdl(pMdl);

	return TRUE;

}

Hook核心代码如下所示,为了节约篇幅,如果您找不到程序中的核心功能,请看前面的几篇文章,这里就不在赘述了。

// 署名权

// right to sign one's name on a piece of work

// PowerBy: LyShark

// Email: me@lyshark.com

// 保存原函数地址

PVOID gOldFunctionAddress = NULL;

// Hook后被替换的新函数

NTSTATUS MyZwQueryDirectoryFile(

	IN HANDLE               FileHandle,

	IN HANDLE               Event OPTIONAL,

	IN PIO_APC_ROUTINE      ApcRoutine OPTIONAL,

	IN PVOID                ApcContext OPTIONAL,

	OUT PIO_STATUS_BLOCK    IoStatusBlock,

	OUT PVOID               FileInformation,

	IN ULONG                Length,

	IN FILE_INFORMATION_CLASS FileInformationClass,

	IN BOOLEAN              ReturnSingleEntry,

	IN PUNICODE_STRING      FileMask OPTIONAL,

	IN BOOLEAN              RestartScan

	)

{

	NTSTATUS status = STATUS_SUCCESS;

	// 定义函数指针

	typedef NTSTATUS(*typedef_ZwQueryDirectoryFile)(

		IN HANDLE               FileHandle,

		IN HANDLE               Event OPTIONAL,

		IN PIO_APC_ROUTINE      ApcRoutine OPTIONAL,

		IN PVOID                ApcContext OPTIONAL,

		OUT PIO_STATUS_BLOCK    IoStatusBlock,

		OUT PVOID               FileInformation,

		IN ULONG                Length,

		IN FILE_INFORMATION_CLASS FileInformationClass,

		IN BOOLEAN              ReturnSingleEntry,

		IN PUNICODE_STRING      FileMask OPTIONAL,

		IN BOOLEAN              RestartScan

		);

	DbgPrint("MyZwQueryDirectoryFile 自定义功能 \n");

	// 执行原函数

	status = ((typedef_ZwQueryDirectoryFile)gOldFunctionAddress)(FileHandle,

		Event,

		ApcRoutine,

		ApcContext,

		IoStatusBlock,

		FileInformation,

		Length,

		FileInformationClass,

		ReturnSingleEntry,

		FileMask,

		RestartScan);

	return status;

}

// 挂钩SSDT函数

BOOLEAN SSDTFunctionHook(ULONG64 FunctionAddress)

{

	PMDL pMdl = NULL;

	PVOID pNewAddress = NULL;

	ULONG ulNewFuncAddr = 0;

	gOldFunctionAddress = FunctionAddress;

	// 使用MDL修改SSDT

	pMdl = MmCreateMdl(NULL, &FunctionAddress, sizeof(ULONG));

	if (NULL == pMdl)

	{

		return FALSE;

	}

	MmBuildMdlForNonPagedPool(pMdl);

	// 锁定内存

	pNewAddress = MmMapLockedPages(pMdl, KernelMode);

	if (NULL == pNewAddress)

	{

		IoFreeMdl(pMdl);

		return FALSE;

	}

	// 写入新函数地址

	ulNewFuncAddr = (ULONG)MyZwQueryDirectoryFile;

	RtlCopyMemory(pNewAddress, &ulNewFuncAddr, sizeof(ULONG));

	// 释放

	MmUnmapLockedPages(pNewAddress, pMdl);

	IoFreeMdl(pMdl);

	return TRUE;

}

// 恢复SSDT函数

BOOLEAN SSDTFunctionUnHook(ULONG64 FunctionAddress)

{

	PMDL pMdl = NULL;

	PVOID pNewAddress = NULL;

	ULONG ulOldFuncAddr = 0;

	gOldFunctionAddress = FunctionAddress;

	// 使用MDL修改SSDT

	pMdl = MmCreateMdl(NULL, &FunctionAddress, sizeof(ULONG));

	if (NULL == pMdl)

	{

		return FALSE;

	}

	MmBuildMdlForNonPagedPool(pMdl);

	// 锁定内存

	pNewAddress = MmMapLockedPages(pMdl, KernelMode);

	if (NULL == pNewAddress)

	{

		IoFreeMdl(pMdl);

		return FALSE;

	}

	// 写入新函数地址

	ulOldFuncAddr = (ULONG)gOldFunctionAddress;

	RtlCopyMemory(pNewAddress, &ulOldFuncAddr, sizeof(ULONG));

	// 释放

	MmUnmapLockedPages(pNewAddress, pMdl);

	IoFreeMdl(pMdl);

	return TRUE;

}

// 关闭驱动

VOID UnDriver(PDRIVER_OBJECT driver)

{

	SSDTFunctionUnHook(gOldFunctionAddress);

	DbgPrint("驱动卸载 \n");

}

// 驱动入口

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)

{

	DbgPrint("hello lyshark.com \n");

	NTSTATUS status = STATUS_SUCCESS;

	HANDLE hFile = NULL;

	HANDLE hSection = NULL;

	PVOID pBaseAddress = NULL;

	UNICODE_STRING FileName = { 0 };

	ULONG64 FunctionAddress = 0;

	// 初始化字符串

	RtlInitUnicodeString(&FileName, L"\\??\\C:\\Windows\\System32\\ntdll.dll");

	// 内存映射文件

	status = KernelMapFile(FileName, &hFile, &hSection, &pBaseAddress);

	if (NT_SUCCESS(status))

	{

		DbgPrint("读取内存地址 = %p \n", pBaseAddress);

	}

	// 获取指定模块导出函数地址

	FunctionAddress = GetAddressFromFunction(FileName, "ZwQueryDirectoryFile");

	DbgPrint("ZwQueryVirtualMemory内存地址 = %p \n", FunctionAddress);

	// 开始Hook挂钩

	if (FunctionAddress != 0)

	{

		BOOLEAN ref = SSDTFunctionHook(FunctionAddress);

		if (ref == TRUE)

		{

			DbgPrint("[+] Hook已挂钩 \n");

		}

	}

	Driver->DriverUnload = UnDriver;

	return STATUS_SUCCESS;

}

编译并运行这段驱动程序,则你会看到挂钩成功的提示信息;

驱动开发:内核实现SSDT挂钩与摘钩的更多相关文章

  1. Windows驱动开发-内核常用内存函数

    搞内存常用函数 C语言 内核 malloc ExAllocatePool memset RtlFillMemory memcpy RtlMoveMemory free ExFreePool

  2. 驱动开发:Win10内核枚举SSDT表基址

    三年前面朝黄土背朝天的我,写了一篇如何在Windows 7系统下枚举内核SSDT表的文章<驱动开发:内核读取SSDT表基址>三年过去了我还是个单身狗,开个玩笑,微软的Windows 10系 ...

  3. 驱动开发:内核层InlineHook挂钩函数

    在上一章<驱动开发:内核LDE64引擎计算汇编长度>中,LyShark教大家如何通过LDE64引擎实现计算反汇编指令长度,本章将在此基础之上实现内联函数挂钩,内核中的InlineHook函 ...

  4. Windows内核安全与驱动开发

    这篇是计算机中Windows Mobile/Symbian类的优质预售推荐<Windows内核安全与驱动开发>. 编辑推荐 本书适合计算机安全软件从业人员.计算机相关专业院校学生以及有一定 ...

  5. 驱动开发:内核枚举ShadowSSDT基址

    在笔者上一篇文章<驱动开发:Win10枚举完整SSDT地址表>实现了针对SSDT表的枚举功能,本章继续实现对SSSDT表的枚举,ShadowSSDT中文名影子系统服务描述表,SSSDT其主 ...

  6. (转)Mac OS X内核编程,MAC驱动开发资源汇总

    一.Mac  OS  X内核编程开发官方文档: I/O Kit Fundamentals: I/O Kit基础 - Mac OS X系统内核编程 https://developer.apple.com ...

  7. Unix/Linux环境C编程新手教程(12) openSUSECCPP以及Linux内核驱动开发环境搭建

    1. openSUSE是一款优秀的linux. watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvaXRjYXN0Y3Bw/font/5a6L5L2T/font ...

  8. Unix/Linux环境C编程入门教程(12) openSUSECCPP以及Linux内核驱动开发环境搭建

    1. openSUSE是一款优秀的linux. 2.选择默认虚拟机 3.选择稍后安装操作系统 4.选择linux  opensuse 5. 选择默认虚拟机名称 6.设置处理器为双核. 7.内存设置为2 ...

  9. Linux驱动开发必看详解神秘内核(完全转载)

    Linux驱动开发必看详解神秘内核 完全转载-链接:http://blog.chinaunix.net/uid-21356596-id-1827434.html   IT168 技术文档]在开始步入L ...

  10. Linux内核(17) - 高效学习Linux驱动开发

    这本<Linux内核修炼之道>已经开卖(网上的链接为: 卓越.当当.china-pub ),虽然是严肃文学,但为了保证流畅性,大部分文字我还都是斟词灼句,反复的念几遍才写上去的,尽量考虑到 ...

随机推荐

  1. 自学UI设计有哪些书籍推荐?

    自学UI设计大致分为两种情况:其一.业余学习,技能拓展,不以求职为目的;其二.谋生手段,小白进阶学习或者有转行的打算.前者,无论是学习内容或者深度都可以根据自己的需求和兴趣点来做学习选择,相对来说,学 ...

  2. Scanner基础用法

    Scanner基础用法 引入包java.util.Scanner 读一个单词 package charpter2; import java.util.Scanner; public class Sca ...

  3. CAS 单点登录系统

    一.什么是单点登录 单点登录(Sign Sion On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一.SSO 的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系 ...

  4. Zab(Zookeeper Atomic Broadcast)协议

    更多内容,前往IT-BLOG 一.什么是 Zab协议 Zab( Zookeeper Atomic Broadcast:Zookeeper原子广播)Zookeeper 通过 Zab 协议保证分布式事务的 ...

  5. Cannot read properties of undefined (reading 'toUpperCase')

    无法读取 JS 中未定义的属性"toUpperCase"|鲍比哈兹 (bobbyhadz.com) 根据其中的内容找到了答案:使用了未定义的属性去使用toUpperCase()函数 ...

  6. 算法学习笔记(20): AC自动机

    AC自动机 前置知识: 字典树:可以参考我的另一篇文章 算法学习笔记(15): Trie(字典树) KMP:可以参考 KMP - Ricky2007,但是不理解KMP算法并不会对这个算法的理解产生影响 ...

  7. 一些随笔 No.1

    耦合 耦合是一个设计与逻辑上的问题 例如一个软件有20个功能,删除任意一个功能对别的19个功能不造成影响,就是低耦合 如果删除一个功能后其他功能会失去完整性,那么就是高耦合 Difference be ...

  8. CommunityToolkit.Mvvm8.1 viewmodel使用-旧式写法(2)

    本系列文章导航 https://www.cnblogs.com/aierong/category/2297596.html 0.说明 CommunityToolkit.Mvvm8.1有一个重大更新的功 ...

  9. Kubernetes学习之旅

    # Kubernetes学习之旅 ## 引言 - 为什么选择Kubernetes- Kubernetes简介- Kubernetes的发展历程 ## Kubernetes基本概念 - 节点(Node) ...

  10. SpringBoot 集成 Quartz + MySQL

    Quartz 简单使用 Java SpringBoot 中,动态执行 bean 对象中的方法 源代码地址 => https://gitee.com/VipSoft/VipBoot/tree/de ...