在前面的文章《驱动开发:内核解析PE结构导出表》中我们封装了两个函数KernelMapFile()函数可用来读取内核文件,GetAddressFromFunction()函数可用来在导出表中寻找指定函数的导出地址,本章将以此为基础实现对特定SSDT函数的Hook挂钩操作,与《驱动开发:内核层InlineHook挂钩函数》所使用的挂钩技术基本一致,不同点是前者使用了CR3的方式改写内存,而今天所讲的是通过MDL映射实现,此外前者挂钩中所取到的地址是通过GetProcessAddress()取到的动态地址,而今天所使用的方式是通过读取导出表寻找。

挂钩的目的就是要为特定函数增加功能,挂钩的实现方式无非就是替换原函数地址,我们以内核函数ZwQueryDirectoryFile()为例,ZwQueryDirectoryFile例程返回给定文件句柄指定的目录中文件的各种信息,其微软定义如下;

NTSYSAPI NTSTATUS ZwQueryDirectoryFile(

  [in]           HANDLE                 FileHandle,

  [in, optional] HANDLE                 Event,

  [in, optional] PIO_APC_ROUTINE        ApcRoutine,

  [in, optional] PVOID                  ApcContext,

  [out]          PIO_STATUS_BLOCK       IoStatusBlock,

  [out]          PVOID                  FileInformation,

  [in]           ULONG                  Length,

  [in]           FILE_INFORMATION_CLASS FileInformationClass,

  [in]           BOOLEAN                ReturnSingleEntry,

  [in, optional] PUNICODE_STRING        FileName,

  [in]           BOOLEAN                RestartScan

);

如果需要Hook一个函数则你需要去微软官方得到该函数的具体声明部分包括其返回值,而Hook的目的只是为函数增加或处理新功能,则在执行完自定义函数后一定要跳回到原始函数上,此时定义一个typedef_ZwQueryDirectoryFile函数指针在调用结束后即可很容易的跳转回原函数上,保证流程被正确执行,如果需要Hook其他函数其编写模板也是如下所示;

// 署名权

// right to sign one's name on a piece of work

// PowerBy: LyShark

// Email: me@lyshark.com

// 保存原函数地址

PVOID gOldFunctionAddress = NULL;

// Hook后被替换的新函数

NTSTATUS MyZwQueryDirectoryFile(

	IN HANDLE               FileHandle,

	IN HANDLE               Event OPTIONAL,

	IN PIO_APC_ROUTINE      ApcRoutine OPTIONAL,

	IN PVOID                ApcContext OPTIONAL,

	OUT PIO_STATUS_BLOCK    IoStatusBlock,

	OUT PVOID               FileInformation,

	IN ULONG                Length,

	IN FILE_INFORMATION_CLASS FileInformationClass,

	IN BOOLEAN              ReturnSingleEntry,

	IN PUNICODE_STRING      FileMask OPTIONAL,

	IN BOOLEAN              RestartScan

	)

{

	NTSTATUS status = STATUS_SUCCESS;

	// 定义函数指针

	typedef NTSTATUS(*typedef_ZwQueryDirectoryFile)(

		IN HANDLE               FileHandle,

		IN HANDLE               Event OPTIONAL,

		IN PIO_APC_ROUTINE      ApcRoutine OPTIONAL,

		IN PVOID                ApcContext OPTIONAL,

		OUT PIO_STATUS_BLOCK    IoStatusBlock,

		OUT PVOID               FileInformation,

		IN ULONG                Length,

		IN FILE_INFORMATION_CLASS FileInformationClass,

		IN BOOLEAN              ReturnSingleEntry,

		IN PUNICODE_STRING      FileMask OPTIONAL,

		IN BOOLEAN              RestartScan

		);

	DbgPrint("MyZwQueryDirectoryFile 自定义功能 \n");

	// 执行原函数

	status = ((typedef_ZwQueryDirectoryFile)gOldFunctionAddress)(FileHandle,

		Event,

		ApcRoutine,

		ApcContext,

		IoStatusBlock,

		FileInformation,

		Length,

		FileInformationClass,

		ReturnSingleEntry,

		FileMask,

		RestartScan);

	return status;

}

接着就是如何挂钩并让其中转到我们自己的代码流程中的问题,由于挂钩与恢复代码是一样的此处就以挂钩为例,首先调用MmCreateMdl()创建MDL,接着调用MmBuildMdlForNonPagedPool()接收一个 MDL,该MDL指定非分页虚拟内存缓冲区,并对其进行更新以描述基础物理页。调用MmMapLockedPages()将此段内存提交为锁定状态,最后就是调用RtlCopyMemory()将新函数地址写出到内存中实现替换,最后释放MDL句柄即可,这段代码如下所示,看过驱动读写篇的你一定很容易就能理解。

// 署名权

// right to sign one's name on a piece of work

// PowerBy: LyShark

// Email: me@lyshark.com

// 挂钩SSDT函数

BOOLEAN SSDTFunctionHook(ULONG64 FunctionAddress)

{

	PMDL pMdl = NULL;

	PVOID pNewAddress = NULL;

	ULONG ulNewFuncAddr = 0;

	gOldFunctionAddress = FunctionAddress;

	// 使用MDL修改SSDT

	pMdl = MmCreateMdl(NULL, &FunctionAddress, sizeof(ULONG));

	if (NULL == pMdl)

	{

		return FALSE;

	}

	MmBuildMdlForNonPagedPool(pMdl);

	// 锁定内存

	pNewAddress = MmMapLockedPages(pMdl, KernelMode);

	if (NULL == pNewAddress)

	{

		IoFreeMdl(pMdl);

		return FALSE;

	}

	// 写入新函数地址

	ulNewFuncAddr = (ULONG)MyZwQueryDirectoryFile;

	RtlCopyMemory(pNewAddress, &ulNewFuncAddr, sizeof(ULONG));

	// 释放

	MmUnmapLockedPages(pNewAddress, pMdl);

	IoFreeMdl(pMdl);

	return TRUE;

}

Hook核心代码如下所示,为了节约篇幅,如果您找不到程序中的核心功能,请看前面的几篇文章,这里就不在赘述了。

// 署名权

// right to sign one's name on a piece of work

// PowerBy: LyShark

// Email: me@lyshark.com

// 保存原函数地址

PVOID gOldFunctionAddress = NULL;

// Hook后被替换的新函数

NTSTATUS MyZwQueryDirectoryFile(

	IN HANDLE               FileHandle,

	IN HANDLE               Event OPTIONAL,

	IN PIO_APC_ROUTINE      ApcRoutine OPTIONAL,

	IN PVOID                ApcContext OPTIONAL,

	OUT PIO_STATUS_BLOCK    IoStatusBlock,

	OUT PVOID               FileInformation,

	IN ULONG                Length,

	IN FILE_INFORMATION_CLASS FileInformationClass,

	IN BOOLEAN              ReturnSingleEntry,

	IN PUNICODE_STRING      FileMask OPTIONAL,

	IN BOOLEAN              RestartScan

	)

{

	NTSTATUS status = STATUS_SUCCESS;

	// 定义函数指针

	typedef NTSTATUS(*typedef_ZwQueryDirectoryFile)(

		IN HANDLE               FileHandle,

		IN HANDLE               Event OPTIONAL,

		IN PIO_APC_ROUTINE      ApcRoutine OPTIONAL,

		IN PVOID                ApcContext OPTIONAL,

		OUT PIO_STATUS_BLOCK    IoStatusBlock,

		OUT PVOID               FileInformation,

		IN ULONG                Length,

		IN FILE_INFORMATION_CLASS FileInformationClass,

		IN BOOLEAN              ReturnSingleEntry,

		IN PUNICODE_STRING      FileMask OPTIONAL,

		IN BOOLEAN              RestartScan

		);

	DbgPrint("MyZwQueryDirectoryFile 自定义功能 \n");

	// 执行原函数

	status = ((typedef_ZwQueryDirectoryFile)gOldFunctionAddress)(FileHandle,

		Event,

		ApcRoutine,

		ApcContext,

		IoStatusBlock,

		FileInformation,

		Length,

		FileInformationClass,

		ReturnSingleEntry,

		FileMask,

		RestartScan);

	return status;

}

// 挂钩SSDT函数

BOOLEAN SSDTFunctionHook(ULONG64 FunctionAddress)

{

	PMDL pMdl = NULL;

	PVOID pNewAddress = NULL;

	ULONG ulNewFuncAddr = 0;

	gOldFunctionAddress = FunctionAddress;

	// 使用MDL修改SSDT

	pMdl = MmCreateMdl(NULL, &FunctionAddress, sizeof(ULONG));

	if (NULL == pMdl)

	{

		return FALSE;

	}

	MmBuildMdlForNonPagedPool(pMdl);

	// 锁定内存

	pNewAddress = MmMapLockedPages(pMdl, KernelMode);

	if (NULL == pNewAddress)

	{

		IoFreeMdl(pMdl);

		return FALSE;

	}

	// 写入新函数地址

	ulNewFuncAddr = (ULONG)MyZwQueryDirectoryFile;

	RtlCopyMemory(pNewAddress, &ulNewFuncAddr, sizeof(ULONG));

	// 释放

	MmUnmapLockedPages(pNewAddress, pMdl);

	IoFreeMdl(pMdl);

	return TRUE;

}

// 恢复SSDT函数

BOOLEAN SSDTFunctionUnHook(ULONG64 FunctionAddress)

{

	PMDL pMdl = NULL;

	PVOID pNewAddress = NULL;

	ULONG ulOldFuncAddr = 0;

	gOldFunctionAddress = FunctionAddress;

	// 使用MDL修改SSDT

	pMdl = MmCreateMdl(NULL, &FunctionAddress, sizeof(ULONG));

	if (NULL == pMdl)

	{

		return FALSE;

	}

	MmBuildMdlForNonPagedPool(pMdl);

	// 锁定内存

	pNewAddress = MmMapLockedPages(pMdl, KernelMode);

	if (NULL == pNewAddress)

	{

		IoFreeMdl(pMdl);

		return FALSE;

	}

	// 写入新函数地址

	ulOldFuncAddr = (ULONG)gOldFunctionAddress;

	RtlCopyMemory(pNewAddress, &ulOldFuncAddr, sizeof(ULONG));

	// 释放

	MmUnmapLockedPages(pNewAddress, pMdl);

	IoFreeMdl(pMdl);

	return TRUE;

}

// 关闭驱动

VOID UnDriver(PDRIVER_OBJECT driver)

{

	SSDTFunctionUnHook(gOldFunctionAddress);

	DbgPrint("驱动卸载 \n");

}

// 驱动入口

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)

{

	DbgPrint("hello lyshark.com \n");

	NTSTATUS status = STATUS_SUCCESS;

	HANDLE hFile = NULL;

	HANDLE hSection = NULL;

	PVOID pBaseAddress = NULL;

	UNICODE_STRING FileName = { 0 };

	ULONG64 FunctionAddress = 0;

	// 初始化字符串

	RtlInitUnicodeString(&FileName, L"\\??\\C:\\Windows\\System32\\ntdll.dll");

	// 内存映射文件

	status = KernelMapFile(FileName, &hFile, &hSection, &pBaseAddress);

	if (NT_SUCCESS(status))

	{

		DbgPrint("读取内存地址 = %p \n", pBaseAddress);

	}

	// 获取指定模块导出函数地址

	FunctionAddress = GetAddressFromFunction(FileName, "ZwQueryDirectoryFile");

	DbgPrint("ZwQueryVirtualMemory内存地址 = %p \n", FunctionAddress);

	// 开始Hook挂钩

	if (FunctionAddress != 0)

	{

		BOOLEAN ref = SSDTFunctionHook(FunctionAddress);

		if (ref == TRUE)

		{

			DbgPrint("[+] Hook已挂钩 \n");

		}

	}

	Driver->DriverUnload = UnDriver;

	return STATUS_SUCCESS;

}

编译并运行这段驱动程序,则你会看到挂钩成功的提示信息;

驱动开发:内核实现SSDT挂钩与摘钩的更多相关文章

  1. Windows驱动开发-内核常用内存函数

    搞内存常用函数 C语言 内核 malloc ExAllocatePool memset RtlFillMemory memcpy RtlMoveMemory free ExFreePool

  2. 驱动开发:Win10内核枚举SSDT表基址

    三年前面朝黄土背朝天的我,写了一篇如何在Windows 7系统下枚举内核SSDT表的文章<驱动开发:内核读取SSDT表基址>三年过去了我还是个单身狗,开个玩笑,微软的Windows 10系 ...

  3. 驱动开发:内核层InlineHook挂钩函数

    在上一章<驱动开发:内核LDE64引擎计算汇编长度>中,LyShark教大家如何通过LDE64引擎实现计算反汇编指令长度,本章将在此基础之上实现内联函数挂钩,内核中的InlineHook函 ...

  4. Windows内核安全与驱动开发

    这篇是计算机中Windows Mobile/Symbian类的优质预售推荐<Windows内核安全与驱动开发>. 编辑推荐 本书适合计算机安全软件从业人员.计算机相关专业院校学生以及有一定 ...

  5. 驱动开发:内核枚举ShadowSSDT基址

    在笔者上一篇文章<驱动开发:Win10枚举完整SSDT地址表>实现了针对SSDT表的枚举功能,本章继续实现对SSSDT表的枚举,ShadowSSDT中文名影子系统服务描述表,SSSDT其主 ...

  6. (转)Mac OS X内核编程,MAC驱动开发资源汇总

    一.Mac  OS  X内核编程开发官方文档: I/O Kit Fundamentals: I/O Kit基础 - Mac OS X系统内核编程 https://developer.apple.com ...

  7. Unix/Linux环境C编程新手教程(12) openSUSECCPP以及Linux内核驱动开发环境搭建

    1. openSUSE是一款优秀的linux. watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvaXRjYXN0Y3Bw/font/5a6L5L2T/font ...

  8. Unix/Linux环境C编程入门教程(12) openSUSECCPP以及Linux内核驱动开发环境搭建

    1. openSUSE是一款优秀的linux. 2.选择默认虚拟机 3.选择稍后安装操作系统 4.选择linux  opensuse 5. 选择默认虚拟机名称 6.设置处理器为双核. 7.内存设置为2 ...

  9. Linux驱动开发必看详解神秘内核(完全转载)

    Linux驱动开发必看详解神秘内核 完全转载-链接:http://blog.chinaunix.net/uid-21356596-id-1827434.html   IT168 技术文档]在开始步入L ...

  10. Linux内核(17) - 高效学习Linux驱动开发

    这本<Linux内核修炼之道>已经开卖(网上的链接为: 卓越.当当.china-pub ),虽然是严肃文学,但为了保证流畅性,大部分文字我还都是斟词灼句,反复的念几遍才写上去的,尽量考虑到 ...

随机推荐

  1. 从零开始学Java系列之Java是什么?它到底是个啥?

    全文大约[5000]字,不说废话,只讲可以让你学到技术.明白原理的纯干货!文章带有丰富案例及配图,只为让你更好的理解和运用文中的技术概念,给你带来具有足够的思想启迪...... ----------- ...

  2. JS有哪些变态语法,你知道吗?

    JS作为一门如此灵活的语言,自然在编码时给我们带来了很多方便,但方便的同时,也衍生出了很多变态的语法,下面我们来梳理一些常见的变态语法,希望你下次在某位大牛的代码中看到这样的东西,不要惊掉下巴. NO ...

  3. RPC 与 Restful 的区别

    PRC 是一种技术的代名词,HTTP 是一种协议,RPC 可以通过 HTTP 来实现,也可以通过 Socket 自己实现一套协议来实现.所以谈论为什么用 RPC 不用 HTTP 是无意义的.但我们习惯 ...

  4. Synchronized 关键字详解

    更多内容,前往 IT-BLOG Synchronized原理分析 加锁和释放锁的原理 深入JVM看字节码,创建如下的代码: 1 public class SynchronizedDemo2 { 2 O ...

  5. [C++STL教程]4.map超强的容器,它终于来了!零基础都能理解的入门教程

    之前我们介绍过vector, queue, stack,他们都有一个共同的特点,就是都可以用线性表来模拟.今天我们来学习一个全新且高封装性的容器:map. 作者:Eriktse 简介:19岁,211计 ...

  6. MapReduce之简单的数据清洗----课堂测试

    今天的课堂测试第一步是做简单的数据清洗,直到现在我才知道只是把文本文件的数据改成相应的格式,而我做的一直是寻找一条数据,并转换成相应的格式,但是呢,我感觉还是很高兴的,虽然没有按时完成任务,但也学到了 ...

  7. 关于VUE3的疑问。

    1.响应式数据的声明 中 ref 与 reactive 有什么区别? 答:参考答案 .个人理解:ref最好用来定义基本数据类型,使用时要用.value :reactive最好用来定义引用数据类型.re ...

  8. xcodebuild命令行工具使用详解

    xcodebuild命令行工具使用 如何通过命令行编译ios项目? xcodebuild是一个命令行工具,允许你从命令行对Xcode项目和工作区执行编译.查询.分析.测试和归档操作.它对项目中包含的一 ...

  9. python入门教程之六运算符

    什么是运算符? 本章节主要说明Python的运算符.举个简单的例子 4 +5 = 9 . 例子中,4 和 5 被称为操作数,"+" 称为运算符. Python语言支持以下类型的运算 ...

  10. SpringBoot入门(二):Controller的使用

    Controller中注解的使用:   @Controller   ●该注解用来响应页面,必须配合模板来使用   @RestController ●该注解可以直接响应字符串,返回的类型为JSON格式 ...