INLINE HOOK过简单驱动保护的理论知识和大概思路
这里的简单驱动保护就是简单的HOOK掉内核API的现象
找到被HOOK的函数的当前地址在此地址处先修改页面保护属性然后写入5个字节。5个字节就是一个简单的JMP指令。这里说一下JMP指令,如下:
001 JMP 002 这样我们就会跳到
001 (在此地址写入JMP指令)+ 002(我们要写入的JMP操作数) +5(jmp指令的字节数)这里、
就是说如果你要跳回NtOpenProcess的原地址,就应该向被HOOK后的地址处写入这样的指令 JMP ( NtOpenProcess的原地址-被HOOK后的地址 - 5 )
为什么要减5呢?
这么考虑,原地址为0,现在HOOK后为10,当你在HOOK的地址处写处JMP 0后,IP到15到了,所以要减5
不是很乱思路清晰一些就明白了:
这里有一个修改页面保护属性的过程。这里有以下几种方法:
1 修改注册表相应的键值这样改
HKLM\SYSTEM\CurrentControlset\Control\SessionManger\MemoryManagement\
EnforceWriteProtection=0
与
HKLM\SYSTEM\CurrentControlset\Control\SessionManger\MemoryManagement\
DisablePagingExecutive=1
2 一个寄存器cr0,32位寄存器、
它的第17位(WP位)如果为1、表示开启页面保护0则是去掉页面保护、
__asm //去掉页保护
{
Cli //表示将处理器标志寄存器的中断标志位清0,不允许中断
mov eax,cr0
and eax,not 10000h //and eax,0FFFEFFFFh
mov cr0,eax
}
__asm //恢复页保护
{
mov eax,cr0
or eax,10000h //or eax,not 0FFFEFFFFh
mov cr0,eax
sti
}
3通过内核API函数Memory Descriptor List(MDL)-正规做法 通过它来描述某一块内存可读或可写
现在说一下写入JMP指令注意的知识点、、、
1 汇编写入
2 指针写入 将其定义成一个结构体如下
typedef struct _JMPCODE
{
BYTE Jmp_Code;
ULONG Jmp_Addr;
}JMPCODE,*PJMPCODE;
(这里就需要 修改对齐方式 #pragma pack(1) ...... 恢复#pragma pack())
对齐标志改为1 本来是4,如果是4偏移就要加8,本来我们是加5的。
部分代码如下
PJMPCODE Real_Jmp;//将要写的jmp xxx指令
JMPCODE Save_Jmp;//保护改成之前的5个字节的内容
Cur_ADDR = GetSSDT_Cur_ADDR();//获取当前的SSDT中函数的地址
Old_ADDR = GetSSDT_Old_ADDR(); //获取函数原地址
if (Cur_ADDR != Old_ADDR) //说明被HOOK了
{
//先保存要替换的5个字节的内容
Real_Jmp = (PJMPCODE) Cur_ADDR;
Save_Jmp. Jmp_Code = Real_Jmp -> Jmp_Code;
Save_Jmp. Jmp_Addr = Real_Jmp -> Jmp_Addr;
__asm //去掉页保护
{
Cli //表示将处理器标志寄存器的中断标志位清0,不允许中断
mov eax,cr0
and eax,not 10000h //and eax,0FFFEFFFFh
mov cr0,eax
}
Real_Jmp-> Jmp_Code =E9;//E9就是jmp的机器码
Real_Jmp-> Jmp_Addr = Old_ADDR - Cur_ADDR -5; //这两条代码就是INLINE HOOK的核心代码
__asm //恢复页保护
{
mov eax,cr0
or eax,10000h
mov cr0,eax
sti
}
}
在Unload里恢复如下也需要更改页面保护
然后反写之前保护时的语句即可
Real_Jmp-> Jmp_Code = Save_Jmp. Jmp_Code;
Real_Jmp-> Jmp_Addr = Save_Jmp. Jmp_Addr; //恢复原地址处的指令
思路大致这样,不是很难理解。
INLINE HOOK过简单驱动保护的理论知识和大概思路的更多相关文章
- 关于DDD领域驱动设计的理论知识收集汇总
原文:关于DDD领域驱动设计的理论知识收集汇总 最近一直在学习领域驱动设计(DDD)的理论知识,从网上搜集了一些个人认为比较有价值的东西,贴出来和大家分享一下: 我一直觉得不要盲目相信权威,比如不能一 ...
- [转]DDD领域驱动设计基本理论知识总结
领域驱动设计之领域模型 加一个导航,关于如何设计聚合的详细思考,见这篇文章. 2004年Eric Evans 发表Domain-Driven Design –Tackling Complexity i ...
- DDD领域驱动设计基本理论知识总结
领域驱动设计之领域模型 加一个导航,关于如何设计聚合的详细思考,见这篇文章. 2004年Eric Evans 发表Domain-Driven Design –Tackling Complexity i ...
- DDD领域驱动设计基本理论知识总结(转)
领域驱动设计之领域模型 为什么建立一个领域模型是重要的 领域通用语言(UBIQUITOUS LANGUAGE) 将领域模型转换为代码实现的最佳实践 领域建模时思考问题的角度 领域驱动设计的经典分层架构 ...
- 过 DNF TP 驱动保护(一)
过 DNF TP 驱动保护(一) 文章目录: 01. 博文简介: 02. 环境及工具准备: 03. 分析 TP 所做的保护: 04. 干掉 NtOpenProc ...
- SSDT Hook实现简单的进程隐藏和保护【转载】
原文链接:http://www.blogfshare.com/ssdthook-hide-protect.html 原文作者:AloneMonkey SSDT Hook实现简单的进程隐藏和保护 Alo ...
- 在已有软件加壳保护 下实现 Inline hook
如写的不好请见谅,本人水平有限. 个人简历及水平:. http://www.cnblogs.com/hackdragon/p/3662599.html 正常情况: 接到一个项目实现对屏幕输出内容的获取 ...
- 过 DNF TP 驱动保护(二)
过 DNF TP 驱动保护(二) 文章目录: 01. 博文简介: 02. 环境及工具准备: 03. 分析 TP 所做的保护: 04. 干掉 NtOpenProc ...
- [转] DDD领域驱动设计(三) 之 理论知识收集汇总
最近一直在学习领域驱动设计(DDD)的理论知识,从网上搜集了一些个人认为比较有价值的东西,贴出来和大家分享一下: 我一直觉得不要盲目相信权威,比如不能一谈起领域驱动设计,就一定认为国外的那个Eric ...
随机推荐
- 【KMP】Radio Transmission
问题 L: [KMP]Radio Transmission 题目描述 给你一个字符串,它是由某个字符串不断自我连接形成的.但是这个字符串是不确定的,现在只想知道它的最短长度是多少. 输入 第一行给出字 ...
- C# WebForm 屏蔽输入框的验证
按钮做界面跳转时,屏蔽输入框的验证可添加属性: CausesValidation="FALSE" <form runat="server"> &l ...
- 正则表达式(Regular Expression)分组(Group)
基本语法 (exp)匹配exp, 并捕获文本到自动命名的组里 (?<name>exp) 自己命名分组 static void Main(string[] args) { ...
- [转载]Java序列化与反序列化
[转载]Java序列化与反序列化 来源: https://www.cnblogs.com/anitinaj/p/9253921.html 序列化和反序列化作为Java里一个较为基础的知识点,那你能说一 ...
- [转载]机器学习优化方法总结:SGD,Momentum,AdaGrad,RMSProp,Adam
[转载]机器学习优化方法总结:SGD,Momentum,AdaGrad,RMSProp,Adam https://blog.csdn.net/u010089444/article/details/76 ...
- 使用openSSL构造一个支持https的nodejs服务器
首先通过下面的链接下载openSSL https://slproweb.com/products/Win32OpenSSL.html 下载完毕后,执行openssl进入交互式界面: 使用命令生成pri ...
- jQuery EasyUI 拖放 – 基本的拖动和放置
jQuery EasyUI 拖放 - 基本的拖动和放置 在jQuery EasyUI中,可以实现HTML元素的基本拖动和放置. <div id="dd1" class=&qu ...
- Spring Cloud(七)服务网关 Zuul Filter 使用
上一篇文章中,讲了Zuul 转发,动态路由,负载均衡,等等一些Zuul 的特性,这个一篇文章,讲Zuul Filter 使用,关于网关的作用,这里就不再次赘述了,重点是zuul的Filter ,我们可 ...
- persistence.xml模板配置
1.右键创建的persistence.xml 2.选择2.0版本的模板 3.复制右侧代码,写入xml文件中 <?xml version="1.0" encoding=&quo ...
- Python入门之第三方模块安装
Python入门之第三方模块安装 平台:Win10 x64 + Anaconda3-5.3.0 (+Python3.7.0) Issue说明:pip install line_profiler-2.1 ...