在前面的文章《驱动开发:内核解析PE结构导出表》中我们封装了两个函数KernelMapFile()函数可用来读取内核文件,GetAddressFromFunction()函数可用来在导出表中寻找指定函数的导出地址,本章将以此为基础实现对特定SSDT函数的Hook挂钩操作,与《驱动开发:内核层InlineHook挂钩函数》所使用的挂钩技术基本一致,不同点是前者使用了CR3的方式改写内存,而今天所讲的是通过MDL映射实现,此外前者挂钩中所取到的地址是通过GetProcessAddress()取到的动态地址,而今天所使用的方式是通过读取导出表寻找。

挂钩的目的就是要为特定函数增加功能,挂钩的实现方式无非就是替换原函数地址,我们以内核函数ZwQueryDirectoryFile()为例,ZwQueryDirectoryFile例程返回给定文件句柄指定的目录中文件的各种信息,其微软定义如下;

NTSYSAPI NTSTATUS ZwQueryDirectoryFile(

  [in]           HANDLE                 FileHandle,

  [in, optional] HANDLE                 Event,

  [in, optional] PIO_APC_ROUTINE        ApcRoutine,

  [in, optional] PVOID                  ApcContext,

  [out]          PIO_STATUS_BLOCK       IoStatusBlock,

  [out]          PVOID                  FileInformation,

  [in]           ULONG                  Length,

  [in]           FILE_INFORMATION_CLASS FileInformationClass,

  [in]           BOOLEAN                ReturnSingleEntry,

  [in, optional] PUNICODE_STRING        FileName,

  [in]           BOOLEAN                RestartScan

);

如果需要Hook一个函数则你需要去微软官方得到该函数的具体声明部分包括其返回值,而Hook的目的只是为函数增加或处理新功能,则在执行完自定义函数后一定要跳回到原始函数上,此时定义一个typedef_ZwQueryDirectoryFile函数指针在调用结束后即可很容易的跳转回原函数上,保证流程被正确执行,如果需要Hook其他函数其编写模板也是如下所示;

// 署名权

// right to sign one's name on a piece of work

// PowerBy: LyShark

// Email: me@lyshark.com

// 保存原函数地址

PVOID gOldFunctionAddress = NULL;

// Hook后被替换的新函数

NTSTATUS MyZwQueryDirectoryFile(

	IN HANDLE               FileHandle,

	IN HANDLE               Event OPTIONAL,

	IN PIO_APC_ROUTINE      ApcRoutine OPTIONAL,

	IN PVOID                ApcContext OPTIONAL,

	OUT PIO_STATUS_BLOCK    IoStatusBlock,

	OUT PVOID               FileInformation,

	IN ULONG                Length,

	IN FILE_INFORMATION_CLASS FileInformationClass,

	IN BOOLEAN              ReturnSingleEntry,

	IN PUNICODE_STRING      FileMask OPTIONAL,

	IN BOOLEAN              RestartScan

	)

{

	NTSTATUS status = STATUS_SUCCESS;

	// 定义函数指针

	typedef NTSTATUS(*typedef_ZwQueryDirectoryFile)(

		IN HANDLE               FileHandle,

		IN HANDLE               Event OPTIONAL,

		IN PIO_APC_ROUTINE      ApcRoutine OPTIONAL,

		IN PVOID                ApcContext OPTIONAL,

		OUT PIO_STATUS_BLOCK    IoStatusBlock,

		OUT PVOID               FileInformation,

		IN ULONG                Length,

		IN FILE_INFORMATION_CLASS FileInformationClass,

		IN BOOLEAN              ReturnSingleEntry,

		IN PUNICODE_STRING      FileMask OPTIONAL,

		IN BOOLEAN              RestartScan

		);

	DbgPrint("MyZwQueryDirectoryFile 自定义功能 \n");

	// 执行原函数

	status = ((typedef_ZwQueryDirectoryFile)gOldFunctionAddress)(FileHandle,

		Event,

		ApcRoutine,

		ApcContext,

		IoStatusBlock,

		FileInformation,

		Length,

		FileInformationClass,

		ReturnSingleEntry,

		FileMask,

		RestartScan);

	return status;

}

接着就是如何挂钩并让其中转到我们自己的代码流程中的问题,由于挂钩与恢复代码是一样的此处就以挂钩为例,首先调用MmCreateMdl()创建MDL,接着调用MmBuildMdlForNonPagedPool()接收一个 MDL,该MDL指定非分页虚拟内存缓冲区,并对其进行更新以描述基础物理页。调用MmMapLockedPages()将此段内存提交为锁定状态,最后就是调用RtlCopyMemory()将新函数地址写出到内存中实现替换,最后释放MDL句柄即可,这段代码如下所示,看过驱动读写篇的你一定很容易就能理解。

// 署名权

// right to sign one's name on a piece of work

// PowerBy: LyShark

// Email: me@lyshark.com

// 挂钩SSDT函数

BOOLEAN SSDTFunctionHook(ULONG64 FunctionAddress)

{

	PMDL pMdl = NULL;

	PVOID pNewAddress = NULL;

	ULONG ulNewFuncAddr = 0;

	gOldFunctionAddress = FunctionAddress;

	// 使用MDL修改SSDT

	pMdl = MmCreateMdl(NULL, &FunctionAddress, sizeof(ULONG));

	if (NULL == pMdl)

	{

		return FALSE;

	}

	MmBuildMdlForNonPagedPool(pMdl);

	// 锁定内存

	pNewAddress = MmMapLockedPages(pMdl, KernelMode);

	if (NULL == pNewAddress)

	{

		IoFreeMdl(pMdl);

		return FALSE;

	}

	// 写入新函数地址

	ulNewFuncAddr = (ULONG)MyZwQueryDirectoryFile;

	RtlCopyMemory(pNewAddress, &ulNewFuncAddr, sizeof(ULONG));

	// 释放

	MmUnmapLockedPages(pNewAddress, pMdl);

	IoFreeMdl(pMdl);

	return TRUE;

}

Hook核心代码如下所示,为了节约篇幅,如果您找不到程序中的核心功能,请看前面的几篇文章,这里就不在赘述了。

// 署名权

// right to sign one's name on a piece of work

// PowerBy: LyShark

// Email: me@lyshark.com

// 保存原函数地址

PVOID gOldFunctionAddress = NULL;

// Hook后被替换的新函数

NTSTATUS MyZwQueryDirectoryFile(

	IN HANDLE               FileHandle,

	IN HANDLE               Event OPTIONAL,

	IN PIO_APC_ROUTINE      ApcRoutine OPTIONAL,

	IN PVOID                ApcContext OPTIONAL,

	OUT PIO_STATUS_BLOCK    IoStatusBlock,

	OUT PVOID               FileInformation,

	IN ULONG                Length,

	IN FILE_INFORMATION_CLASS FileInformationClass,

	IN BOOLEAN              ReturnSingleEntry,

	IN PUNICODE_STRING      FileMask OPTIONAL,

	IN BOOLEAN              RestartScan

	)

{

	NTSTATUS status = STATUS_SUCCESS;

	// 定义函数指针

	typedef NTSTATUS(*typedef_ZwQueryDirectoryFile)(

		IN HANDLE               FileHandle,

		IN HANDLE               Event OPTIONAL,

		IN PIO_APC_ROUTINE      ApcRoutine OPTIONAL,

		IN PVOID                ApcContext OPTIONAL,

		OUT PIO_STATUS_BLOCK    IoStatusBlock,

		OUT PVOID               FileInformation,

		IN ULONG                Length,

		IN FILE_INFORMATION_CLASS FileInformationClass,

		IN BOOLEAN              ReturnSingleEntry,

		IN PUNICODE_STRING      FileMask OPTIONAL,

		IN BOOLEAN              RestartScan

		);

	DbgPrint("MyZwQueryDirectoryFile 自定义功能 \n");

	// 执行原函数

	status = ((typedef_ZwQueryDirectoryFile)gOldFunctionAddress)(FileHandle,

		Event,

		ApcRoutine,

		ApcContext,

		IoStatusBlock,

		FileInformation,

		Length,

		FileInformationClass,

		ReturnSingleEntry,

		FileMask,

		RestartScan);

	return status;

}

// 挂钩SSDT函数

BOOLEAN SSDTFunctionHook(ULONG64 FunctionAddress)

{

	PMDL pMdl = NULL;

	PVOID pNewAddress = NULL;

	ULONG ulNewFuncAddr = 0;

	gOldFunctionAddress = FunctionAddress;

	// 使用MDL修改SSDT

	pMdl = MmCreateMdl(NULL, &FunctionAddress, sizeof(ULONG));

	if (NULL == pMdl)

	{

		return FALSE;

	}

	MmBuildMdlForNonPagedPool(pMdl);

	// 锁定内存

	pNewAddress = MmMapLockedPages(pMdl, KernelMode);

	if (NULL == pNewAddress)

	{

		IoFreeMdl(pMdl);

		return FALSE;

	}

	// 写入新函数地址

	ulNewFuncAddr = (ULONG)MyZwQueryDirectoryFile;

	RtlCopyMemory(pNewAddress, &ulNewFuncAddr, sizeof(ULONG));

	// 释放

	MmUnmapLockedPages(pNewAddress, pMdl);

	IoFreeMdl(pMdl);

	return TRUE;

}

// 恢复SSDT函数

BOOLEAN SSDTFunctionUnHook(ULONG64 FunctionAddress)

{

	PMDL pMdl = NULL;

	PVOID pNewAddress = NULL;

	ULONG ulOldFuncAddr = 0;

	gOldFunctionAddress = FunctionAddress;

	// 使用MDL修改SSDT

	pMdl = MmCreateMdl(NULL, &FunctionAddress, sizeof(ULONG));

	if (NULL == pMdl)

	{

		return FALSE;

	}

	MmBuildMdlForNonPagedPool(pMdl);

	// 锁定内存

	pNewAddress = MmMapLockedPages(pMdl, KernelMode);

	if (NULL == pNewAddress)

	{

		IoFreeMdl(pMdl);

		return FALSE;

	}

	// 写入新函数地址

	ulOldFuncAddr = (ULONG)gOldFunctionAddress;

	RtlCopyMemory(pNewAddress, &ulOldFuncAddr, sizeof(ULONG));

	// 释放

	MmUnmapLockedPages(pNewAddress, pMdl);

	IoFreeMdl(pMdl);

	return TRUE;

}

// 关闭驱动

VOID UnDriver(PDRIVER_OBJECT driver)

{

	SSDTFunctionUnHook(gOldFunctionAddress);

	DbgPrint("驱动卸载 \n");

}

// 驱动入口

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)

{

	DbgPrint("hello lyshark.com \n");

	NTSTATUS status = STATUS_SUCCESS;

	HANDLE hFile = NULL;

	HANDLE hSection = NULL;

	PVOID pBaseAddress = NULL;

	UNICODE_STRING FileName = { 0 };

	ULONG64 FunctionAddress = 0;

	// 初始化字符串

	RtlInitUnicodeString(&FileName, L"\\??\\C:\\Windows\\System32\\ntdll.dll");

	// 内存映射文件

	status = KernelMapFile(FileName, &hFile, &hSection, &pBaseAddress);

	if (NT_SUCCESS(status))

	{

		DbgPrint("读取内存地址 = %p \n", pBaseAddress);

	}

	// 获取指定模块导出函数地址

	FunctionAddress = GetAddressFromFunction(FileName, "ZwQueryDirectoryFile");

	DbgPrint("ZwQueryVirtualMemory内存地址 = %p \n", FunctionAddress);

	// 开始Hook挂钩

	if (FunctionAddress != 0)

	{

		BOOLEAN ref = SSDTFunctionHook(FunctionAddress);

		if (ref == TRUE)

		{

			DbgPrint("[+] Hook已挂钩 \n");

		}

	}

	Driver->DriverUnload = UnDriver;

	return STATUS_SUCCESS;

}

编译并运行这段驱动程序,则你会看到挂钩成功的提示信息;

驱动开发:内核实现SSDT挂钩与摘钩的更多相关文章

  1. Windows驱动开发-内核常用内存函数

    搞内存常用函数 C语言 内核 malloc ExAllocatePool memset RtlFillMemory memcpy RtlMoveMemory free ExFreePool

  2. 驱动开发:Win10内核枚举SSDT表基址

    三年前面朝黄土背朝天的我,写了一篇如何在Windows 7系统下枚举内核SSDT表的文章<驱动开发:内核读取SSDT表基址>三年过去了我还是个单身狗,开个玩笑,微软的Windows 10系 ...

  3. 驱动开发:内核层InlineHook挂钩函数

    在上一章<驱动开发:内核LDE64引擎计算汇编长度>中,LyShark教大家如何通过LDE64引擎实现计算反汇编指令长度,本章将在此基础之上实现内联函数挂钩,内核中的InlineHook函 ...

  4. Windows内核安全与驱动开发

    这篇是计算机中Windows Mobile/Symbian类的优质预售推荐<Windows内核安全与驱动开发>. 编辑推荐 本书适合计算机安全软件从业人员.计算机相关专业院校学生以及有一定 ...

  5. 驱动开发:内核枚举ShadowSSDT基址

    在笔者上一篇文章<驱动开发:Win10枚举完整SSDT地址表>实现了针对SSDT表的枚举功能,本章继续实现对SSSDT表的枚举,ShadowSSDT中文名影子系统服务描述表,SSSDT其主 ...

  6. (转)Mac OS X内核编程,MAC驱动开发资源汇总

    一.Mac  OS  X内核编程开发官方文档: I/O Kit Fundamentals: I/O Kit基础 - Mac OS X系统内核编程 https://developer.apple.com ...

  7. Unix/Linux环境C编程新手教程(12) openSUSECCPP以及Linux内核驱动开发环境搭建

    1. openSUSE是一款优秀的linux. watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvaXRjYXN0Y3Bw/font/5a6L5L2T/font ...

  8. Unix/Linux环境C编程入门教程(12) openSUSECCPP以及Linux内核驱动开发环境搭建

    1. openSUSE是一款优秀的linux. 2.选择默认虚拟机 3.选择稍后安装操作系统 4.选择linux  opensuse 5. 选择默认虚拟机名称 6.设置处理器为双核. 7.内存设置为2 ...

  9. Linux驱动开发必看详解神秘内核(完全转载)

    Linux驱动开发必看详解神秘内核 完全转载-链接:http://blog.chinaunix.net/uid-21356596-id-1827434.html   IT168 技术文档]在开始步入L ...

  10. Linux内核(17) - 高效学习Linux驱动开发

    这本<Linux内核修炼之道>已经开卖(网上的链接为: 卓越.当当.china-pub ),虽然是严肃文学,但为了保证流畅性,大部分文字我还都是斟词灼句,反复的念几遍才写上去的,尽量考虑到 ...

随机推荐

  1. protobuf 详解

    protobuf protobuf概述 protobuf简介 Protobuf是Protocol Buffers的简称,它是Google公司开发的一种数据描述语言,是一种轻便高效的结构化数据存储格式, ...

  2. uni-app云开发入门

    云函数 首先创建一个uniapp项目,创建项目时选择启用uniCloud云开发. 创建项目成功后,按照下面的步骤进行开发.   创建云函数 1.关联云服务器 2.创建云函数 一个云函数可以看成是一个后 ...

  3. CSAPP-Shell Lab

    提供的工具: parseline:获取参数列表char **argv,返回是否为后台运行命令(true). clearjob:清除job结构. initjobs:初始化jobs链表. maxjid:返 ...

  4. 微信-JSSDK网页调用-(微信扫一扫)

    网页调用微信扫一扫接口 1.准备工作:  1.1微信浏览器 1.2微信APPID,nonceStr 2.使用方式快速预览 调用扫一扫微信接口. 1需要获取access_token 2获取 $jsapi ...

  5. 【Note】(坑)一些组合恒等式的实际意义理解(和待填坑的组合数学知识)

    目录 排列组合 恒等式 (1) \(C_n^m=C_n^{n-m}\) (2) \(A_n^m+mA_n^{m-1}=A_{n+1}^m\) (3) \(C_n^{m-1}+C_n^{m}=C_{n+ ...

  6. 【比赛记录+题解】CET

    A题: 由于太菜而一直没有AC.其实是一道01背包..最后才AC的 01背包什么的自己去了解就行了吧 因为我\(DP\)太烂,所以不会\(DP\)的我也救不了了 #include <algori ...

  7. Mysql关联删除CSV中的相关数据

    问题描述:提供一个csv文件,记录的是一些不同数据库的不同表中的共同字段account_id数据,需要在A库的account表中做关联删除 解决思路:csv文件中储存的都是account_id,六位纯 ...

  8. Ubuntu上Git的简单配置及使用(使用的代码托管平台为gitee码云)

    目录 1.关于gitee 2.Ubuntu下Git的下载及配置 3.使用Git连接到远程的Gitee仓库 4.常用命令 1.关于gitee Gitee(码云) 是 OSCHINA.NET 推出的代码托 ...

  9. vue-element-admin 动态菜单改造

    vue-element-admin 动态菜单改造 vue-element-admin 是一款优秀后台前端解决方案,它基于 vue 和 element-ui实现.开源后台管理系统解决方案项目 Boot- ...

  10. 3520. 【NOIP2013模拟11.7B组】原根(math)

    题目: 考试想法: 考试的时候觉得这些数学公式太恶心了,所以就直接跳过了. 正解: 直接暴力模拟就可以了. 代码: #include<bits/stdc++.h> using namesp ...