在前面的文章《驱动开发:内核解析PE结构导出表》中我们封装了两个函数KernelMapFile()函数可用来读取内核文件,GetAddressFromFunction()函数可用来在导出表中寻找指定函数的导出地址,本章将以此为基础实现对特定SSDT函数的Hook挂钩操作,与《驱动开发:内核层InlineHook挂钩函数》所使用的挂钩技术基本一致,不同点是前者使用了CR3的方式改写内存,而今天所讲的是通过MDL映射实现,此外前者挂钩中所取到的地址是通过GetProcessAddress()取到的动态地址,而今天所使用的方式是通过读取导出表寻找。

挂钩的目的就是要为特定函数增加功能,挂钩的实现方式无非就是替换原函数地址,我们以内核函数ZwQueryDirectoryFile()为例,ZwQueryDirectoryFile例程返回给定文件句柄指定的目录中文件的各种信息,其微软定义如下;

NTSYSAPI NTSTATUS ZwQueryDirectoryFile(

  [in]           HANDLE                 FileHandle,

  [in, optional] HANDLE                 Event,

  [in, optional] PIO_APC_ROUTINE        ApcRoutine,

  [in, optional] PVOID                  ApcContext,

  [out]          PIO_STATUS_BLOCK       IoStatusBlock,

  [out]          PVOID                  FileInformation,

  [in]           ULONG                  Length,

  [in]           FILE_INFORMATION_CLASS FileInformationClass,

  [in]           BOOLEAN                ReturnSingleEntry,

  [in, optional] PUNICODE_STRING        FileName,

  [in]           BOOLEAN                RestartScan

);

如果需要Hook一个函数则你需要去微软官方得到该函数的具体声明部分包括其返回值,而Hook的目的只是为函数增加或处理新功能,则在执行完自定义函数后一定要跳回到原始函数上,此时定义一个typedef_ZwQueryDirectoryFile函数指针在调用结束后即可很容易的跳转回原函数上,保证流程被正确执行,如果需要Hook其他函数其编写模板也是如下所示;

// 署名权

// right to sign one's name on a piece of work

// PowerBy: LyShark

// Email: me@lyshark.com

// 保存原函数地址

PVOID gOldFunctionAddress = NULL;

// Hook后被替换的新函数

NTSTATUS MyZwQueryDirectoryFile(

	IN HANDLE               FileHandle,

	IN HANDLE               Event OPTIONAL,

	IN PIO_APC_ROUTINE      ApcRoutine OPTIONAL,

	IN PVOID                ApcContext OPTIONAL,

	OUT PIO_STATUS_BLOCK    IoStatusBlock,

	OUT PVOID               FileInformation,

	IN ULONG                Length,

	IN FILE_INFORMATION_CLASS FileInformationClass,

	IN BOOLEAN              ReturnSingleEntry,

	IN PUNICODE_STRING      FileMask OPTIONAL,

	IN BOOLEAN              RestartScan

	)

{

	NTSTATUS status = STATUS_SUCCESS;

	// 定义函数指针

	typedef NTSTATUS(*typedef_ZwQueryDirectoryFile)(

		IN HANDLE               FileHandle,

		IN HANDLE               Event OPTIONAL,

		IN PIO_APC_ROUTINE      ApcRoutine OPTIONAL,

		IN PVOID                ApcContext OPTIONAL,

		OUT PIO_STATUS_BLOCK    IoStatusBlock,

		OUT PVOID               FileInformation,

		IN ULONG                Length,

		IN FILE_INFORMATION_CLASS FileInformationClass,

		IN BOOLEAN              ReturnSingleEntry,

		IN PUNICODE_STRING      FileMask OPTIONAL,

		IN BOOLEAN              RestartScan

		);

	DbgPrint("MyZwQueryDirectoryFile 自定义功能 \n");

	// 执行原函数

	status = ((typedef_ZwQueryDirectoryFile)gOldFunctionAddress)(FileHandle,

		Event,

		ApcRoutine,

		ApcContext,

		IoStatusBlock,

		FileInformation,

		Length,

		FileInformationClass,

		ReturnSingleEntry,

		FileMask,

		RestartScan);

	return status;

}

接着就是如何挂钩并让其中转到我们自己的代码流程中的问题,由于挂钩与恢复代码是一样的此处就以挂钩为例,首先调用MmCreateMdl()创建MDL,接着调用MmBuildMdlForNonPagedPool()接收一个 MDL,该MDL指定非分页虚拟内存缓冲区,并对其进行更新以描述基础物理页。调用MmMapLockedPages()将此段内存提交为锁定状态,最后就是调用RtlCopyMemory()将新函数地址写出到内存中实现替换,最后释放MDL句柄即可,这段代码如下所示,看过驱动读写篇的你一定很容易就能理解。

// 署名权

// right to sign one's name on a piece of work

// PowerBy: LyShark

// Email: me@lyshark.com

// 挂钩SSDT函数

BOOLEAN SSDTFunctionHook(ULONG64 FunctionAddress)

{

	PMDL pMdl = NULL;

	PVOID pNewAddress = NULL;

	ULONG ulNewFuncAddr = 0;

	gOldFunctionAddress = FunctionAddress;

	// 使用MDL修改SSDT

	pMdl = MmCreateMdl(NULL, &FunctionAddress, sizeof(ULONG));

	if (NULL == pMdl)

	{

		return FALSE;

	}

	MmBuildMdlForNonPagedPool(pMdl);

	// 锁定内存

	pNewAddress = MmMapLockedPages(pMdl, KernelMode);

	if (NULL == pNewAddress)

	{

		IoFreeMdl(pMdl);

		return FALSE;

	}

	// 写入新函数地址

	ulNewFuncAddr = (ULONG)MyZwQueryDirectoryFile;

	RtlCopyMemory(pNewAddress, &ulNewFuncAddr, sizeof(ULONG));

	// 释放

	MmUnmapLockedPages(pNewAddress, pMdl);

	IoFreeMdl(pMdl);

	return TRUE;

}

Hook核心代码如下所示,为了节约篇幅,如果您找不到程序中的核心功能,请看前面的几篇文章,这里就不在赘述了。

// 署名权

// right to sign one's name on a piece of work

// PowerBy: LyShark

// Email: me@lyshark.com

// 保存原函数地址

PVOID gOldFunctionAddress = NULL;

// Hook后被替换的新函数

NTSTATUS MyZwQueryDirectoryFile(

	IN HANDLE               FileHandle,

	IN HANDLE               Event OPTIONAL,

	IN PIO_APC_ROUTINE      ApcRoutine OPTIONAL,

	IN PVOID                ApcContext OPTIONAL,

	OUT PIO_STATUS_BLOCK    IoStatusBlock,

	OUT PVOID               FileInformation,

	IN ULONG                Length,

	IN FILE_INFORMATION_CLASS FileInformationClass,

	IN BOOLEAN              ReturnSingleEntry,

	IN PUNICODE_STRING      FileMask OPTIONAL,

	IN BOOLEAN              RestartScan

	)

{

	NTSTATUS status = STATUS_SUCCESS;

	// 定义函数指针

	typedef NTSTATUS(*typedef_ZwQueryDirectoryFile)(

		IN HANDLE               FileHandle,

		IN HANDLE               Event OPTIONAL,

		IN PIO_APC_ROUTINE      ApcRoutine OPTIONAL,

		IN PVOID                ApcContext OPTIONAL,

		OUT PIO_STATUS_BLOCK    IoStatusBlock,

		OUT PVOID               FileInformation,

		IN ULONG                Length,

		IN FILE_INFORMATION_CLASS FileInformationClass,

		IN BOOLEAN              ReturnSingleEntry,

		IN PUNICODE_STRING      FileMask OPTIONAL,

		IN BOOLEAN              RestartScan

		);

	DbgPrint("MyZwQueryDirectoryFile 自定义功能 \n");

	// 执行原函数

	status = ((typedef_ZwQueryDirectoryFile)gOldFunctionAddress)(FileHandle,

		Event,

		ApcRoutine,

		ApcContext,

		IoStatusBlock,

		FileInformation,

		Length,

		FileInformationClass,

		ReturnSingleEntry,

		FileMask,

		RestartScan);

	return status;

}

// 挂钩SSDT函数

BOOLEAN SSDTFunctionHook(ULONG64 FunctionAddress)

{

	PMDL pMdl = NULL;

	PVOID pNewAddress = NULL;

	ULONG ulNewFuncAddr = 0;

	gOldFunctionAddress = FunctionAddress;

	// 使用MDL修改SSDT

	pMdl = MmCreateMdl(NULL, &FunctionAddress, sizeof(ULONG));

	if (NULL == pMdl)

	{

		return FALSE;

	}

	MmBuildMdlForNonPagedPool(pMdl);

	// 锁定内存

	pNewAddress = MmMapLockedPages(pMdl, KernelMode);

	if (NULL == pNewAddress)

	{

		IoFreeMdl(pMdl);

		return FALSE;

	}

	// 写入新函数地址

	ulNewFuncAddr = (ULONG)MyZwQueryDirectoryFile;

	RtlCopyMemory(pNewAddress, &ulNewFuncAddr, sizeof(ULONG));

	// 释放

	MmUnmapLockedPages(pNewAddress, pMdl);

	IoFreeMdl(pMdl);

	return TRUE;

}

// 恢复SSDT函数

BOOLEAN SSDTFunctionUnHook(ULONG64 FunctionAddress)

{

	PMDL pMdl = NULL;

	PVOID pNewAddress = NULL;

	ULONG ulOldFuncAddr = 0;

	gOldFunctionAddress = FunctionAddress;

	// 使用MDL修改SSDT

	pMdl = MmCreateMdl(NULL, &FunctionAddress, sizeof(ULONG));

	if (NULL == pMdl)

	{

		return FALSE;

	}

	MmBuildMdlForNonPagedPool(pMdl);

	// 锁定内存

	pNewAddress = MmMapLockedPages(pMdl, KernelMode);

	if (NULL == pNewAddress)

	{

		IoFreeMdl(pMdl);

		return FALSE;

	}

	// 写入新函数地址

	ulOldFuncAddr = (ULONG)gOldFunctionAddress;

	RtlCopyMemory(pNewAddress, &ulOldFuncAddr, sizeof(ULONG));

	// 释放

	MmUnmapLockedPages(pNewAddress, pMdl);

	IoFreeMdl(pMdl);

	return TRUE;

}

// 关闭驱动

VOID UnDriver(PDRIVER_OBJECT driver)

{

	SSDTFunctionUnHook(gOldFunctionAddress);

	DbgPrint("驱动卸载 \n");

}

// 驱动入口

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)

{

	DbgPrint("hello lyshark.com \n");

	NTSTATUS status = STATUS_SUCCESS;

	HANDLE hFile = NULL;

	HANDLE hSection = NULL;

	PVOID pBaseAddress = NULL;

	UNICODE_STRING FileName = { 0 };

	ULONG64 FunctionAddress = 0;

	// 初始化字符串

	RtlInitUnicodeString(&FileName, L"\\??\\C:\\Windows\\System32\\ntdll.dll");

	// 内存映射文件

	status = KernelMapFile(FileName, &hFile, &hSection, &pBaseAddress);

	if (NT_SUCCESS(status))

	{

		DbgPrint("读取内存地址 = %p \n", pBaseAddress);

	}

	// 获取指定模块导出函数地址

	FunctionAddress = GetAddressFromFunction(FileName, "ZwQueryDirectoryFile");

	DbgPrint("ZwQueryVirtualMemory内存地址 = %p \n", FunctionAddress);

	// 开始Hook挂钩

	if (FunctionAddress != 0)

	{

		BOOLEAN ref = SSDTFunctionHook(FunctionAddress);

		if (ref == TRUE)

		{

			DbgPrint("[+] Hook已挂钩 \n");

		}

	}

	Driver->DriverUnload = UnDriver;

	return STATUS_SUCCESS;

}

编译并运行这段驱动程序,则你会看到挂钩成功的提示信息;

驱动开发:内核实现SSDT挂钩与摘钩的更多相关文章

  1. Windows驱动开发-内核常用内存函数

    搞内存常用函数 C语言 内核 malloc ExAllocatePool memset RtlFillMemory memcpy RtlMoveMemory free ExFreePool

  2. 驱动开发:Win10内核枚举SSDT表基址

    三年前面朝黄土背朝天的我,写了一篇如何在Windows 7系统下枚举内核SSDT表的文章<驱动开发:内核读取SSDT表基址>三年过去了我还是个单身狗,开个玩笑,微软的Windows 10系 ...

  3. 驱动开发:内核层InlineHook挂钩函数

    在上一章<驱动开发:内核LDE64引擎计算汇编长度>中,LyShark教大家如何通过LDE64引擎实现计算反汇编指令长度,本章将在此基础之上实现内联函数挂钩,内核中的InlineHook函 ...

  4. Windows内核安全与驱动开发

    这篇是计算机中Windows Mobile/Symbian类的优质预售推荐<Windows内核安全与驱动开发>. 编辑推荐 本书适合计算机安全软件从业人员.计算机相关专业院校学生以及有一定 ...

  5. 驱动开发:内核枚举ShadowSSDT基址

    在笔者上一篇文章<驱动开发:Win10枚举完整SSDT地址表>实现了针对SSDT表的枚举功能,本章继续实现对SSSDT表的枚举,ShadowSSDT中文名影子系统服务描述表,SSSDT其主 ...

  6. (转)Mac OS X内核编程,MAC驱动开发资源汇总

    一.Mac  OS  X内核编程开发官方文档: I/O Kit Fundamentals: I/O Kit基础 - Mac OS X系统内核编程 https://developer.apple.com ...

  7. Unix/Linux环境C编程新手教程(12) openSUSECCPP以及Linux内核驱动开发环境搭建

    1. openSUSE是一款优秀的linux. watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvaXRjYXN0Y3Bw/font/5a6L5L2T/font ...

  8. Unix/Linux环境C编程入门教程(12) openSUSECCPP以及Linux内核驱动开发环境搭建

    1. openSUSE是一款优秀的linux. 2.选择默认虚拟机 3.选择稍后安装操作系统 4.选择linux  opensuse 5. 选择默认虚拟机名称 6.设置处理器为双核. 7.内存设置为2 ...

  9. Linux驱动开发必看详解神秘内核(完全转载)

    Linux驱动开发必看详解神秘内核 完全转载-链接:http://blog.chinaunix.net/uid-21356596-id-1827434.html   IT168 技术文档]在开始步入L ...

  10. Linux内核(17) - 高效学习Linux驱动开发

    这本<Linux内核修炼之道>已经开卖(网上的链接为: 卓越.当当.china-pub ),虽然是严肃文学,但为了保证流畅性,大部分文字我还都是斟词灼句,反复的念几遍才写上去的,尽量考虑到 ...

随机推荐

  1. salesforce零基础学习(一百二十五)零基础学习SF路径

    本篇参考: https://boulder-bard-27f.notion.site/Salesforce-Learning-e990864695674f07b99a5f8955770bd4 本篇背景 ...

  2. CSAPP-Data Lab

    gcc -O1 -Wall -m32 -lm -o btest bits.c btest.c decl.c tests.c In file included from btest.c:16:0: /u ...

  3. NX二次开发:保存时导出PDF并打开

    该工程为在保存时执行开发的功能,函数入口点ufput.其他还有新建.打开.另存等都可以加入开发的操作,具体看UF_EXIT下的介绍. 用户出口是一个可选特性,允许你在NX中某些预定义的位置(或出口)自 ...

  4. DevOps 在未来将如何演进?丨行业观察

    自2007年 DevOps 这一概念推出以来,越来越多企业开始将开发和运维团队结合在一起,以加快部署速度,提高软件开发生命周期的效率和协作.但是,诸多因素都会对 DevOps 是否成功产生影响,例如组 ...

  5. Vue 路由导航守卫

    Vue 路由导航守卫 一:全局守卫 (1) router.beforeEach beforeEach((to, from, next) => {}) 接收三个参数,在路由切换成功之前调用 to ...

  6. nginx重启和操作

    在linux操作系统中,重启nginx 1.当不知道nginx所在目录时,需要先查找到nginx的位置  查看ngnix位置(master process 后面的就是 nginx的目录): ps -e ...

  7. [Linux]CentOS7 安装指定版本软件包

    以安装openssl-libs为例. 查看当前服务器中YUM源可安装的软件包版本 [root@iz2vc84t88x94kno0u49zwz ~]# yum list | grep openssl-l ...

  8. 【题解】Luogu P2671 【求和】

    因为人傻常数大写了一天的题目. 原题传送门 题目意思另一种表达: 定义特殊二元组\((x,z)\). 1.\(x<z\). 2.\(x\)与\(z\)要么都为奇数要么都为偶数. (即\(x \ ...

  9. day25:7个魔术方法&5个关于类的魔术属性

    目录 1.__del__(析构方法) 2.魔术方法:__str__ 3.魔术方法:__repr__ 4.魔术方法:__call__ 5.魔术方法:__bool__ 6.魔术方法:__add__& ...

  10. zookeeper重启,线上微服务全部掉线,怎么回事?

    注册中心zookeeper被重启,线上微服务全部掉线,怎么回事?! 最近因为一次错误的运维操作,导致线上注册中心zk被重启.而zk重启后发现所有线上微服务开始不断掉线,造成了持续30分钟的P0故障. ...