解说怎样写Hook过滤函数,比方NewZwOpenProcess。打开进程。

非常多游戏保护都会对这个函数进行Hook。

因为我们没有游戏保护的代码,无法得知游戏公司是怎样编写这个过滤函数。

我看到非常多奇形怪状的Hook过滤函数的写法。看得蛋痛无比。

比方:

http://bbs.pediy.com/showthread.php?t=126802

http://bbs.pediy.com/showthread.php?

t=126077

第一个bug:

调用这个函数

status = PsLookupProcessByProcessId(

ClientId->UniqueProcess,

&process

);

这个函数我们要注意的地方。没有看到清除调用引数ObDereferenceObject(process);

第二个bug:

參数 PCLIENT_ID ClientId

假设这个參数是NULL。那么 ClientId-->UniqueProcess

就会产生蓝屏即直接对一个NULL变量进行读取。

http://bbs.pediy.com/showthread.php?

t=105418

t=82548">http://bbs.pediy.com/showthread.php?t=82548

http://bbs.pediy.com/showthread.php?t=82043

注:假设你用naked(裸函数)这样的形式,就不应该有參数,假设你用__stdcall这样的调用规则。就应该要有參数。

我认为这个还算是标准(至少可读性非常高):

t=176477">http://bbs.pediy.com/showthread.php?

t=176477

要注重细节,这就是代码稳定性的编写过程。

随便找一个之前的hook过滤函数的代码。对比WRK,对使用的各种參数进行效验,写一个稳定的过滤函数。

稳定的SSDT Hook代码演示样例

SSDT.h 头文件的编码:

#ifndef _SSDT_H_

#define _SSDT_H_

#include <ntifs.h>

//内核导出的SSDT表的结构

typedef struct _SERVICE_DESCRIPTOR_TABLE {

	/*

	* Table containing cServices elements of pointers to service handler

	* functions, indexed by service ID.

	*/

	PULONG   ServiceTable;

	/*

	* Table that counts how many times each service is used. This table

	* is only updated in checked builds.

	*/

	PULONG  CounterTable;

	/*

	* Number of services contained in this table.

	*/

	ULONG   TableSize;

	/*

	* Table containing the number of bytes of parameters the handler

	* function takes.

	*/

	PUCHAR  ArgumentTable;

} SERVICE_DESCRIPTOR_TABLE, *PSERVICE_DESCRIPTOR_TABLE;

//全局变量

PMDL  pmdl_system_call;

PVOID *pdword_mapped_table;

//******************** SSDT Hook宏(固定的) ****************************************************************

//获取Hook函数的Index

#define SYSCALL_INDEX(_Function) *(PULONG)((PUCHAR)_Function+1)

//实现SSDT表的Hook

#define HOOK_SYSCALL(_Function, _Hook, _Orig )  \

	_Orig = (PVOID) InterlockedExchange( (PLONG) &pdword_mapped_table[SYSCALL_INDEX(_Function)], (LONG) _Hook)

//恢复SSDT表的Hook

#define UNHOOK_SYSCALL(_Function, _Hook, _Orig )  \

	InterlockedExchange( (PLONG) &pdword_mapped_table[SYSCALL_INDEX(_Function)], (LONG) _Hook)

//声明SSDT的导出

extern PSERVICE_DESCRIPTOR_TABLE KeServiceDescriptorTable;

#endif

SSDTHook.h 头文件的编码:

#ifndef _SSDT_HOOK_H_

#define _SSDT_HOOK_H_

#include <ntifs.h>

#include "SSDT.h"  

//声明没有文档化的函数PsGetProcessImageFileName

UCHAR* PsGetProcessImageFileName(

		__in PEPROCESS Process

		);

//*************************************************************************************************************************

//定义原函数的指针类型

typedef NTSTATUS (__stdcall *REALZWOPENPROCESS)(OUT PHANDLE ProcessHandle,

	IN ACCESS_MASK DesiredAccess,

	IN POBJECT_ATTRIBUTES ObjectAttributes,

	IN PCLIENT_ID ClientId

	);

//定义该函数指针

REALZWOPENPROCESS RealZwOpenProcess;

//保存要Hook函数的真实地址

ULONG_PTR ul_ZwOpenProcess;

//保存要Hook函数的名称

UNICODE_STRING unicode_string;

//Mdl方式的SSDT表的Hook

NTSTATUS MdlSSDTHook(ULONG_PTR ul_real_function, ULONG_PTR hook_function_addr ,ULONG_PTR *ul_save_real_function_addr);

//移除Mdl方式的SSDT表的Hook

NTSTATUS MdlRemoveSSDTHook(ULONG_PTR ul_real_function, ULONG_PTR hook_function_addr, ULONG_PTR *ul_save_real_function_addr);

#endif

SSDT.c 文件的编写

#include "SSDT.h"

//******************************************************************************************

//採用比較安全的方法改动ssdt表

//由于SSDT的虚拟地址分页属性是仅仅读的,我们不能够直接改动它,否则会产生蓝屏

//我们借助Mdl分配一段虚拟地址映射到SSDT所在的物理地址,

//同一时候由于我们映射的MDL内存属性却能够是可写,所以就能够改动ssdt,这样就替代了cr0方式。

//******************************************************************************************

//Mdl方式的SSDT表的Hook

NTSTATUS MdlSSDTHook(ULONG_PTR ul_real_function, ULONG_PTR hook_function_addr, ULONG_PTR *ul_save_real_function_addr)

{

	//构建内存描写叙述符MDL

	pmdl_system_call = MmCreateMdl(NULL, KeServiceDescriptorTable->ServiceTable, KeServiceDescriptorTable->TableSize*sizeof(ULONG_PTR));

	if(!pmdl_system_call)

	{

		return STATUS_UNSUCCESSFUL;

	}

	//依据MDL申请分配内存

	MmBuildMdlForNonPagedPool(pmdl_system_call);

	//设置MDL_MAPPED_TO_SYSTEM_VA标识。让这块内存变可写

	pmdl_system_call->MdlFlags = pmdl_system_call->MdlFlags | MDL_MAPPED_TO_SYSTEM_VA;

	//锁定内存

	pdword_mapped_table = MmMapLockedPages(pmdl_system_call, KernelMode);

	if (pdword_mapped_table)

	{

		//SSDT表的Hook

		HOOK_SYSCALL(ul_real_function, hook_function_addr, *ul_save_real_function_addr);

	}

	return STATUS_SUCCESS;

}

//移除Mdl方式的SSDT表的Hook

NTSTATUS MdlRemoveSSDTHook(ULONG_PTR ul_real_function, ULONG_PTR hook_function_addr, ULONG_PTR *ul_save_real_function_addr)

{

	//恢复SSDT表的Hook

	UNHOOK_SYSCALL(ul_real_function, *ul_save_real_function_addr,hook_function_addr);

	if(pmdl_system_call)

	{

		//解除内存锁定

		MmUnmapLockedPages(pdword_mapped_table, pmdl_system_call);

		//释放申请内存

		IoFreeMdl(pmdl_system_call);

		return STATUS_SUCCESS;

	}

	return STATUS_UNSUCCESSFUL;

}

SSDTHook.c 文件的编写

#include "SSDTHook.h"

//深度的字符串效验

BOOLEAN ValidateUnicodeString(PUNICODE_STRING usStr)

{

	ULONG i;

	__try

	{

		//推断字符串的内存是否可訪问

		if (!MmIsAddressValid(usStr))

		{

			return FALSE;

		}

		//推断是否为NULL

		if (usStr->Buffer == NULL || usStr->Length == 0)

		{

			return FALSE;

		}

		//每个字节都要检查

		for (i = 0; i < usStr->Length; i++)

		{

			if (!MmIsAddressValid((PUCHAR)usStr->Buffer + i))

			{

				return FALSE;

			}

		}

	}

	__except(EXCEPTION_EXECUTE_HANDLER)

	{

		//触发异常

        return FALSE;

	}

	return TRUE;

}

//自己定义的ZwOpenProcess函数(NewZwOpenProcess)

NTSTATUS __stdcall NewZwOpenProcess(OUT PHANDLE ProcessHandle,

	IN ACCESS_MASK DesiredAccess,

	IN POBJECT_ATTRIBUTES ObjectAttributes,

	IN PCLIENT_ID ClientId)

{

	NTSTATUS status;

	ULONG PID;

	HANDLE handle_process_handle;

	PEPROCESS eprocess_process_object;

	KPROCESSOR_MODE PreMode;

	//获取当前的系统模式MODE

	PreMode = ExGetPreviousMode();

	//*******************************假设非内核模式,就要開始检查IN的这些參数都否可读****************************

	//每Hook一个函数之前,你都要先对比WRK:

	if(PreMode != KernelMode)

	{

		__try

		{

			//这里用ProbeForRead来对參数ClientId进行測试,然后加try捕获

			//检查用户模式地址的可读性必须在ring0调用

			ProbeForRead(ClientId, sizeof(CLIENT_ID), sizeof(ULONG));

		}

		__except(EXCEPTION_EXECUTE_HANDLER)

		{

			//返回异常代码

			return GetExceptionCode();

		}

	}

	//运行到这里说明改參数是能够訪问,那我们还要效验ClientId是否为NULL

	if(ClientId != NULL && MmIsAddressValid(ClientId))

	{

		//更安全的訪问

		PID = (ULONG)ClientId->UniqueProcess;

		DbgPrint("OpenProcess %d by %s[0x%08X]\r\n", PID, PsGetProcessImageFileName(PsGetCurrentProcess()), PsGetCurrentProcess());

	}

	/*

	typedef struct _OBJECT_ATTRIBUTES {

	ULONG           Length;

	HANDLE          RootDirectory;

	PUNICODE_STRING ObjectName; //Buffer

	ULONG           Attributes;

	PVOID           SecurityDescriptor;

	PVOID           SecurityQualityOfService;

	}  OBJECT_ATTRIBUTES, *POBJECT_ATTRIBUTES;

	*/

	if (ObjectAttributes != NULL && MmIsAddressValid(ObjectAttributes))

	{

		//这个成员是一个指针 ObjectName。效验指针是否为空,接着能否够訪问。这是第二层的效验

		if (ObjectAttributes->ObjectName != NULL && MmIsAddressValid(ObjectAttributes->ObjectName))

		{

			//深度校验检查

			if (ObjectAttributes->ObjectName->Buffer != NULL && ValidateUnicodeString(ObjectAttributes->ObjectName->Buffer))

			{

				//如今才干够安全不蓝屏的訪问这个Buffer

				DbgPrint("OpenObjectName %ws\r\n", ObjectAttributes->ObjectName->Buffer);

			}

		}

	}

	//假设我们要取ProcessHandle怎么办?

	status = RealZwOpenProcess(ProcessHandle,

		DesiredAccess,

		ObjectAttributes,

		ClientId

		);

	if (NT_SUCCESS(status))

	{

		//为什么我们这里不用效验ProcessHandle?

		//由于函数调用成功了

		handle_process_handle = *ProcessHandle;

		//然后我们还能够通过handle,得到eprocess。即 handle->eprocess。另一堆的转换,比方eprocess->handle, handle->fileobject

		status = ObReferenceObjectByHandle(handle_process_handle,

			GENERIC_READ,

			*PsProcessType,

			KernelMode,

			(PVOID*)&eprocess_process_object,

			0);

		if(NT_SUCCESS(status))

		{

			DbgPrint("@@ OpenProcess %s by %s\r\n", PsGetProcessImageFileName(eprocess_process_object), PsGetProcessImageFileName(PsGetCurrentProcess()));

			//这里非常重要,消除引用计数

			ObDereferenceObject(eprocess_process_object);

		}

		//仅仅要RealZwOpenProcess调用成功,不管怎样一定要返回成功

		status = STATUS_SUCCESS;

	}

	return status;

}

//++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

//驱动卸载的例程函数

VOID DriverUnload(IN PDRIVER_OBJECT DriverObject)

{

	//卸载Hook

	if (ul_ZwOpenProcess)

	{

		//移除SSDT表的Hook

		if (MdlRemoveSSDTHook((ULONG_PTR)ul_ZwOpenProcess, NewZwOpenProcess, &RealZwOpenProcess) == STATUS_SUCCESS)

		{

			DbgPrint("ZwOpenProcess Remove hook success\r\n");

		}

	}

	DbgPrint("DriverUnload\r\n");

}

//驱动入口例程函数

NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,PUNICODE_STRING RegistryPath)

{

	//设置驱动的卸载例程函数

	DriverObject->DriverUnload = DriverUnload;

	RtlInitUnicodeString(&unicode_string, L"ZwOpenProcess");

	//获取要Hook函数的真实函数地址

	ul_ZwOpenProcess = (ULONG_PTR)MmGetSystemRoutineAddress(&unicode_string);

	if (ul_ZwOpenProcess)

	{

		if (MdlSSDTHook((ULONG_PTR)ul_ZwOpenProcess, NewZwOpenProcess, &RealZwOpenProcess) == STATUS_SUCCESS)

		{

			DbgPrint("ZwZwOpenProcess hook success\r\n");

		}

	}

	return STATUS_SUCCESS;

}

makefile文件的编写:

#

# DO NOT EDIT THIS FILE!!!  Edit .\sources. if you want to add a new source

# file to this component.  This file merely indirects to the real make file

# that is shared by all the driver components of the Windows NT DDK

#

!INCLUDE $(NTMAKEENV)\makefile.def

sources文件的编写:

# $Id$

TARGETNAME=SSDTHook

TARGETPATH=obj

TARGETTYPE=DRIVER

# Create browse info

#BROWSER_INFO=1

#BROWSERFILE=<some path>

# Additional defines for the C/C++ preprocessor

C_DEFINES=$(C_DEFINES)

SOURCES=SSDTHook.c\

	SSDT.c\

參考资料:

AGP讲课资料的改动和整理。

SSDTHook实例--编写稳定的Hook过滤函数的更多相关文章

  1. 4.5 HOOK分发函数

    4.5 HOOK分发函数 本节开始深入的探讨键盘的过滤与反过滤.有趣的是,无论是过滤还是反过 滤,其原理都是进行过滤.取胜的关键在于:谁将第一个得到信息. 黑客可能会通过修改一个已经存在的驱动对象(比 ...

  2. [内核编程] 4.5 HOOK分发函数

    4.5 HOOK分发函数 本节开始深入的探讨键盘的过滤与反过滤.有趣的是,无论是过滤还是反过 滤,其原理都是进行过滤.取胜的关键在于:谁将第一个得到信息. 黑客可能会通过修改一个已经存在的驱动对象(比 ...

  3. 为代码编写稳定的单元测试 [Go]

    为代码编写稳定的单元测试 本文档配套代码仓库地址: https://github.com/liweiforeveryoung/curd_demo 配合 git checkout 出指定 commit ...

  4. 如何编写高质量的 JS 函数(3) --函数式编程[理论篇]

    本文首发于 vivo互联网技术 微信公众号 链接:https://mp.weixin.qq.com/s/EWSqZuujHIRyx8Eb2SSidQ作者:杨昆 [编写高质量函数系列]中, <如何 ...

  5. PHP反序列化中过滤函数使用不当导致的对象注入

    1.漏洞产生的原因 ####  正常的反序列化语句是这样的 $a='a:2:{s:8:"username";s:7:"dimpl3s";s:8:"pa ...

  6. JS练习实例--编写经典小游戏俄罗斯方块

    最近在学习JavaScript,想编一些实例练练手,之前编了个贪吃蛇,但是实现时没有注意使用面向对象的思想,实现起来也比较简单所以就不总结了,今天就总结下俄罗斯方块小游戏的思路和实现吧(需要下载代码也 ...

  7. Filter 数组过滤函数精解示例

    '************************************************************************* '**模 块 名:Filter 数组过滤函数精解示 ...

  8. php 安全过滤函数代码

    php 安全过滤函数代码,防止用户恶意输入内容. //安全过滤输入[jb] function check_str($string, $isurl = false) { $string = preg_r ...

  9. php数据过滤函数与方法示例【转载】

    1.php提交数据过滤的基本原则 1)提交变量进数据库时,我们必须使用addslashes()进行过滤,像我们的注入问题,一个addslashes()也就搞定了.其实在涉及到变量取值时,intval( ...

随机推荐

  1. HDU 4046 Panda (ACM ICPC 2011北京赛区网络赛)

    HDU 4046 Panda (ACM ICPC 2011北京赛区网络赛) Panda Time Limit: 10000/4000 MS (Java/Others)    Memory Limit: ...

  2. 纯css实现苹果表盘动画

    欢迎訪问我们的博客:http://www.w3ctrain.com/2015/07/06/Apple-Watch-Dials/ 随着苹果表的大量生产,我想.用CSS来实现拨号动画的时候到了. 在这篇文 ...

  3. SDUT 2893-B(DP || 记忆化搜索)

    B Time Limit: 1000ms   Memory limit: 65536K  有疑问?点这里^_^ 题目描写叙述 有n块地板排成一条直线,从左到右编号为1,2,3. . . n-1,n,每 ...

  4. Mac os 进行Android开发笔记(2)

    Mac OS X 下开发 Android  1> MAC OS Android环境搭建: 2>MAC OS  配置 Andoid ADB: 3>MAC OS 上进行Android真机 ...

  5. Effective C++_笔记_条款03_尽可能使用const

    (整理自Effctive C++,转载请注明.整理者:华科小涛@http://www.cnblogs.com/hust-ghtao/) 关键字const多才多艺,语法变化多端.关于const的基本用法 ...

  6. 虚拟机安装中文Fedora14和C/C++IDE开发环境

    虚拟机安装中文Fedora14和C/C++IDE开发环境 2010-12-05 00:15:58 标签:中文Fedora14 IDE 开发环境 C/C++ 原创作品,允许转载,转载时请务必以超链接形式 ...

  7. Problem J: Island Buses

    主要题意是:大海之间有岛,有的岛之间有桥,问你岛的个数,桥的个数,以及没有桥联通岛的个数,其中最后一次输入的没有回车,不注意的话最后一次会被吞,第二,桥的两端的标记是“X”(X也代表陆地),“X”的四 ...

  8. [置顶] strcpy和memcpy的区别

    strcpy和memcpy都是标准C库函数,它们有下面的特点. strcpy提供了字符串的复制.即strcpy只用于字符串复制,并且它不仅复制字符串内容,还会复制字符串的结束符. 已知strcpy函数 ...

  9. openfire学习4------->android客户端聊天开发之聊天功能开发

    前面我们已经把服务器搭建完成,并且在客户端实现了登录了. 和我们使用的QQ一样,想一想,登录成功之后呢?肯定是要有一个好友列表,通过这个列表,我们可以选择我们需要聊天的好友. 这里我们先研究下 xmp ...

  10. Java-对象多态性

    class A {  public void fun1()  {   System.out.println("<----A------>");  }  public v ...