在上一章《内核LDE64引擎计算汇编长度》中,LyShark教大家如何通过LDE64引擎实现计算反汇编指令长度,本章将在此基础之上实现内联函数挂钩,内核中的InlineHook函数挂钩其实与应用层一致,都是使用劫持执行流并跳转到我们自己的函数上来做处理,唯一的不同的是内核Hook只针对内核API函数,但由于其身处在最底层所以一旦被挂钩其整个应用层都将会受到影响,这就直接决定了在内核层挂钩的效果是应用层无法比拟的,对于安全从业者来说学会使用内核挂钩也是很重要。

内核挂钩的原理是一种劫持系统函数调用的技术,用于在运行时对系统函数进行修改或者监控。其基本思想是先获取要被劫持的函数的地址,然后将该函数的前15个字节的指令保存下来,接着将自己的代理函数地址写入到原始函数上,这样当API被调用时,就会默认转向到自己的代理函数上执行,从而实现函数的劫持。

挂钩的具体步骤如下:

  • 1.使用MmGetSystemRoutineAddress函数获取要被劫持的函数地址。
  • 2.使用自己的代理函数取代原始函数,代理函数和原始函数具有相同的参数和返回值类型,并且在代理函数中调用原始函数。
  • 3.保存原始函数的前15个字节的指令,因为这些指令通常被认为是函数的前导码或是修饰码。
  • 4.在原始函数的前15个字节位置写入jmp MyPsLookupProcessByProcessId的指令,使得API调用会跳转到我们的代理函数。
  • 5.当代理函数被调用时,执行我们自己的逻辑,然后在适当的时候再调用原始函数,最后将其返回值返回给调用者。
  • 6.如果需要恢复原始函数的调用,将保存的前15个字节的指令写回原始函数即可。

挂钩的原理可以总结为,通过MmGetSystemRoutineAddress得到原函数地址,然后保存该函数的前15个字节的指令,将自己的MyPsLookupProcessByProcessId代理函数地址写出到原始函数上,此时如果有API被调用则默认会转向到我们自己的函数上面执行,恢复原理则是将提前保存好的前15个原始字节写回则恢复原函数的调用。

而如果需要恢复挂钩状态,则只需要还原提前保存的机器码即可,恢复内核挂钩的原理是将先前保存的原始函数前15个字节的指令写回到原始函数地址上,从而还原原始函数的调用。具体步骤如下:

  • 1.获取原函数地址,可以通过MmGetSystemRoutineAddress函数获取。
  • 2.将保存的原始函数前15个字节的指令写回到原始函数地址上,可以使用memcpy等函数实现。
  • 3.将代理函数的地址清除,可以将地址设置为NULL。

原理很简单,基本上InlineHook类的代码都是一个样子,如下是一段完整的挂钩PsLookupProcessByProcessId的驱动程序,当程序被加载时则默认会保护lyshark.exe进程,使其无法被用户使用任务管理器结束掉。

#include "lyshark_lde64.h"

#include <ntifs.h>

#include <windef.h>

#include <intrin.h>

#pragma  intrinsic(_disable)

#pragma  intrinsic(_enable)

// --------------------------------------------------------------

// 汇编计算方法

// --------------------------------------------------------------

// 计算地址处指令有多少字节

// address = 地址

// bits 32位驱动传入0 64传入64

typedef INT(*LDE_DISASM)(PVOID address, INT bits);

LDE_DISASM lde_disasm;

// 初始化引擎

VOID lde_init()

{

    lde_disasm = ExAllocatePool(NonPagedPool, 12800);

    memcpy(lde_disasm, szShellCode, 12800);

}

// 得到完整指令长度,避免截断

ULONG GetFullPatchSize(PUCHAR Address)

{

    ULONG LenCount = 0, Len = 0;

    // 至少需要14字节

    while (LenCount <= 14)

    {

        Len = lde_disasm(Address, 64);

        Address = Address + Len;

        LenCount = LenCount + Len;

    }

    return LenCount;

}

// --------------------------------------------------------------

// Hook函数封装

// --------------------------------------------------------------

// 定义指针方便调用

typedef NTSTATUS(__fastcall *PSLOOKUPPROCESSBYPROCESSID)(HANDLE ProcessId, PEPROCESS *Process);

ULONG64 protect_eprocess = 0;           // 需要保护进程的eprocess

ULONG patch_size = 0;                   // 被修改了几个字节

PUCHAR head_n_byte = NULL;              // 前几个字节数组

PVOID original_address = NULL;          // 原函数地址

KIRQL WPOFFx64()

{

    KIRQL irql = KeRaiseIrqlToDpcLevel();

    UINT64 cr0 = __readcr0();

    cr0 &= 0xfffffffffffeffff;

    __writecr0(cr0);

    _disable();

    return irql;

}

VOID WPONx64(KIRQL irql)

{

    UINT64 cr0 = __readcr0();

    cr0 |= 0x10000;

    _enable();

    __writecr0(cr0);

    KeLowerIrql(irql);

}

// 动态获取内存地址

PVOID GetProcessAddress(PCWSTR FunctionName)

{

    UNICODE_STRING UniCodeFunctionName;

    RtlInitUnicodeString(&UniCodeFunctionName, FunctionName);

    return MmGetSystemRoutineAddress(&UniCodeFunctionName);

}

/*

    InlineHookAPI 挂钩地址

    参数1:待HOOK函数地址

    参数2:代理函数地址

    参数3:接收原始函数地址的指针

    参数4:接收补丁长度的指针

    返回:原来头N字节的数据

*/

PVOID KernelHook(IN PVOID ApiAddress, IN PVOID Proxy_ApiAddress, OUT PVOID *Original_ApiAddress, OUT ULONG *PatchSize)

{

    KIRQL irql;

    UINT64 tmpv;

    PVOID head_n_byte, ori_func;

    // 保存跳转指令 JMP QWORD PTR [本条指令结束后的地址]

    UCHAR jmp_code[] = "\xFF\x25\x00\x00\x00\x00\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF";

    // 保存原始指令

    UCHAR jmp_code_orifunc[] = "\xFF\x25\x00\x00\x00\x00\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF";

    // 获取函数地址处指令长度

    *PatchSize = GetFullPatchSize((PUCHAR)ApiAddress);

    // 分配空间

    head_n_byte = ExAllocatePoolWithTag(NonPagedPool, *PatchSize, "LyShark");

    irql = WPOFFx64();

    // 跳转地址拷贝到原函数上

    RtlCopyMemory(head_n_byte, ApiAddress, *PatchSize);

    WPONx64(irql);

    // 构建跳转

    // 1.原始机器码+跳转机器码

    ori_func = ExAllocatePoolWithTag(NonPagedPool, *PatchSize + 14, "LyShark");

    RtlFillMemory(ori_func, *PatchSize + 14, 0x90);

    // 2.跳转到没被打补丁的那个字节

    tmpv = (ULONG64)ApiAddress + *PatchSize;

    RtlCopyMemory(jmp_code_orifunc + 6, &tmpv, 8);

    RtlCopyMemory((PUCHAR)ori_func, head_n_byte, *PatchSize);

    RtlCopyMemory((PUCHAR)ori_func + *PatchSize, jmp_code_orifunc, 14);

    *Original_ApiAddress = ori_func;

    // 3.得到代理地址

    tmpv = (UINT64)Proxy_ApiAddress;

    RtlCopyMemory(jmp_code + 6, &tmpv, 8);

    //4.打补丁

    irql = WPOFFx64();

    RtlFillMemory(ApiAddress, *PatchSize, 0x90);

    RtlCopyMemory(ApiAddress, jmp_code, 14);

    WPONx64(irql);

    return head_n_byte;

}

/*

    InlineHookAPI 恢复挂钩地址

    参数1:被HOOK函数地址

    参数2:原始数据

    参数3:补丁长度

*/

VOID KernelUnHook(IN PVOID ApiAddress, IN PVOID OriCode, IN ULONG PatchSize)

{

    KIRQL irql;

    irql = WPOFFx64();

    RtlCopyMemory(ApiAddress, OriCode, PatchSize);

    WPONx64(irql);

}

// 实现我们自己的代理函数

NTSTATUS MyPsLookupProcessByProcessId(HANDLE ProcessId, PEPROCESS *Process)

{

    NTSTATUS st;

    st = ((PSLOOKUPPROCESSBYPROCESSID)original_address)(ProcessId, Process);

    if (NT_SUCCESS(st))

    {

        // 判断是否是需要保护的进程

        if (*Process == (PEPROCESS)protect_eprocess)

        {

            *Process = 0;

            DbgPrint("[lyshark] 拦截结束进程 \n");

            st = STATUS_ACCESS_DENIED;

        }

    }

    return st;

}

VOID UnDriver(PDRIVER_OBJECT driver)

{

    DbgPrint("驱动已卸载 \n");

    // 恢复Hook

    KernelUnHook(GetProcessAddress(L"PsLookupProcessByProcessId"), head_n_byte, patch_size);

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)

{

    DbgPrint("hello lyshark \n");

    // 初始化反汇编引擎

    lde_init();

    // 设置需要保护进程EProcess

    /*

    lyshark: kd> !process 0 0 lyshark.exe

        PROCESS ffff9a0a44ec4080

            SessionId: 1  Cid: 05b8    Peb: 0034d000  ParentCid: 13f0

            DirBase: 12a7d2002  ObjectTable: ffffd60bc036f080  HandleCount: 159.

            Image: lyshark.exe

    */

    protect_eprocess = 0xffff9a0a44ec4080;

    // Hook挂钩函数

    head_n_byte = KernelHook(GetProcessAddress(L"PsLookupProcessByProcessId"), (PVOID)MyPsLookupProcessByProcessId, &original_address, &patch_size);

    DbgPrint("[lyshark] 挂钩保护完成 --> 修改字节: %d | 原函数地址: 0x%p \n", patch_size, original_address);

    for (size_t i = 0; i < patch_size; i++)

    {

        DbgPrint("[byte] = %x", head_n_byte[i]);

    }

    Driver->DriverUnload = UnDriver;

    return STATUS_SUCCESS;

}

运行这段驱动程序,会输出挂钩保护的具体地址信息;

使用WinDBG观察,会发现挂钩后原函数已经被替换掉了,而被替换的地址就是我们自己的MyPsLookupProcessByProcessId函数。

当你尝试使用任务管理器结束掉lyshark.exe进程时,则会提示拒绝访问。

5.9 Windows驱动开发:内核InlineHook挂钩技术的更多相关文章

  1. Windows驱动开发-内核常用内存函数

    搞内存常用函数 C语言 内核 malloc ExAllocatePool memset RtlFillMemory memcpy RtlMoveMemory free ExFreePool

  2. Windows驱动开发(中间层)

    Windows驱动开发 一.前言 依据<Windows内核安全与驱动开发>及MSDN等网络质料进行学习开发. 二.初步环境 1.下载安装WDK7.1.0(WinDDK\7600.16385 ...

  3. [Windows驱动开发](一)序言

    笔者学习驱动编程是从两本书入门的.它们分别是<寒江独钓——内核安全编程>和<Windows驱动开发技术详解>.两本书分别从不同的角度介绍了驱动程序的制作方法. 在我理解,驱动程 ...

  4. windows驱动开发推荐书籍

    [作者] 猪头三 个人网站 :http://www.x86asm.com/ [序言] 很多人都对驱动开发有兴趣,但往往找不到正确的学习方式.当然这跟驱动开发的本土化资料少有关系.大多学的驱动开发资料都 ...

  5. windows 驱动开发入门——驱动中的数据结构

    最近在学习驱动编程方面的内容,在这将自己的一些心得分享出来,供大家参考,与大家共同进步,本人学习驱动主要是通过两本书--<独钓寒江 windows安全编程> 和 <windows驱动 ...

  6. Windows驱动——读书笔记《Windows驱动开发技术详解》

    =================================版权声明================================= 版权声明:原创文章 谢绝转载  请通过右侧公告中的“联系邮 ...

  7. Windows驱动开发-IRP的完成例程

    <Windows驱动开发技术详解 >331页, 在将IRP发送给底层驱动或其他驱动之前,可以对IRP设置一个完成例程,一旦底层驱动将IRP完成后,IRP完成例程立刻被处罚,通过设置完成例程 ...

  8. C++第三十八篇 -- 研究一下Windows驱动开发(二)--WDM式驱动的加载

    基于Windows驱动开发技术详解这本书 一.简单的INF文件剖析 INF文件是一个文本文件,由若干个节(Section)组成.每个节的名称用一个方括号指示,紧接着方括号后面的就是节内容.每一行就是一 ...

  9. C++第三十三篇 -- 研究一下Windows驱动开发(一)内部构造介绍

    因为工作原因,需要做一些与网卡有关的测试,其中涉及到了驱动这一块的知识,虽然程序可以运行,但是不搞清楚,心里总是不安,觉得没理解清楚.因此想看一下驱动开发.查了很多资料,看到有人推荐Windows驱动 ...

  10. Windows 驱动开发 - 5

    上篇<Windows 驱动开发 - 4>我们已经完毕了硬件准备. 可是我们还没有详细的数据操作,比如接收读写操作. 在WDF中进行此类操作前须要进行设备的IO控制,已保持数据的完整性. 我 ...

随机推荐

  1. VS Code 2022路线图:大量Spring Boot优化提上日程

    1月20日,一名微软开发者发布了一篇标题为<Java on Visual Studio Code Update>的文章. 文中介绍了VS Code 2021年的亮点,同时还透露了VS Co ...

  2. Win 10 Rust Installtion in D Disk with VSCode

    (只记录了必须要内容,日后完善!) 1. rust的安装与环境变量: 要提前把下面两个环境变量配置好,这样是为了指定安装路径.否则会默认安装在 C 盘下. CARGO_HOME: D:\Soft\La ...

  3. Codeforces Round #650 (Div. 3) F1经典离散化DP

    比赛链接:Here 1367A. Short Substrings Description 一个字符串 abac,然后把所有长度为2的子串加起来变成新串,abbaac,由 ab ba ac组成.现在给 ...

  4. Spring自带的Objects等工具类(减少繁琐代码)

    断言: AssertUtils assert 关键字在 JDK1.4 中引入,可通过 JVM 参数-enableassertions开启 SpringBoot 中提供了 Assert 断言工具类,通常 ...

  5. 成都站|阿里云 Serverless 技术实战营邀你来玩!

    活动简介 "Serverless 技术实战与创新沙龙 " 是一场以 Serverless 为主题的开发者活动,活动受众以关注Serverless 技术的开发者.企业决策人.云原生领 ...

  6. 2023全国大学生电子设计竞赛H题全解 [原创www.cnblogs.com/helesheng]

    2023年又是全国大学生电子设计竞赛年,一如既往的指导学生死磕H题.8月2日看到公布的赛题,我自己还沾沾自喜,觉得今年学生用嵌入式系统和数字信号处理知识就可以完成这题,赛前都辅导过,应该成绩不差.哪想 ...

  7. 介绍几种OPTIONS检测的方法

    概述 日常的VOIP开发中,OPTIONS检测是常用的网络状态检测工具. OPTIONS原本是作为获取对方能力的消息,也可以检测当前服务状态.正常情况下,UAS收到OPTIONS心跳,直接回复200即 ...

  8. git或gitee 提交代码到远程仓库

    本文为博主原创,未经允许不得转载: 1. 选中远程仓库,并fork 指定的项目到自己的私仓: fork 之后,打开我的仓库便能看到刚刚fork 的项目. 2. clone 项目代码到自己电脑的本地仓库 ...

  9. Nacos源码 (4) 配置中心

    本文阅读nacos-2.0.2的config源码,编写示例,分析推送配置.监听配置的原理. 客户端 创建NacosConfigService对象 Properties properties = new ...

  10. Prime Time - 介绍

    Prime Time是对timing进行分析 Prime Time使用的是STA方法进行分析 工具会有更新,但是核心内容是不变的 Prime Time(intro to STA) 没有PT工具的时候, ...