在上一章《内核LDE64引擎计算汇编长度》中,LyShark教大家如何通过LDE64引擎实现计算反汇编指令长度,本章将在此基础之上实现内联函数挂钩,内核中的InlineHook函数挂钩其实与应用层一致,都是使用劫持执行流并跳转到我们自己的函数上来做处理,唯一的不同的是内核Hook只针对内核API函数,但由于其身处在最底层所以一旦被挂钩其整个应用层都将会受到影响,这就直接决定了在内核层挂钩的效果是应用层无法比拟的,对于安全从业者来说学会使用内核挂钩也是很重要。

内核挂钩的原理是一种劫持系统函数调用的技术,用于在运行时对系统函数进行修改或者监控。其基本思想是先获取要被劫持的函数的地址,然后将该函数的前15个字节的指令保存下来,接着将自己的代理函数地址写入到原始函数上,这样当API被调用时,就会默认转向到自己的代理函数上执行,从而实现函数的劫持。

挂钩的具体步骤如下:

  • 1.使用MmGetSystemRoutineAddress函数获取要被劫持的函数地址。
  • 2.使用自己的代理函数取代原始函数,代理函数和原始函数具有相同的参数和返回值类型,并且在代理函数中调用原始函数。
  • 3.保存原始函数的前15个字节的指令,因为这些指令通常被认为是函数的前导码或是修饰码。
  • 4.在原始函数的前15个字节位置写入jmp MyPsLookupProcessByProcessId的指令,使得API调用会跳转到我们的代理函数。
  • 5.当代理函数被调用时,执行我们自己的逻辑,然后在适当的时候再调用原始函数,最后将其返回值返回给调用者。
  • 6.如果需要恢复原始函数的调用,将保存的前15个字节的指令写回原始函数即可。

挂钩的原理可以总结为,通过MmGetSystemRoutineAddress得到原函数地址,然后保存该函数的前15个字节的指令,将自己的MyPsLookupProcessByProcessId代理函数地址写出到原始函数上,此时如果有API被调用则默认会转向到我们自己的函数上面执行,恢复原理则是将提前保存好的前15个原始字节写回则恢复原函数的调用。

而如果需要恢复挂钩状态,则只需要还原提前保存的机器码即可,恢复内核挂钩的原理是将先前保存的原始函数前15个字节的指令写回到原始函数地址上,从而还原原始函数的调用。具体步骤如下:

  • 1.获取原函数地址,可以通过MmGetSystemRoutineAddress函数获取。
  • 2.将保存的原始函数前15个字节的指令写回到原始函数地址上,可以使用memcpy等函数实现。
  • 3.将代理函数的地址清除,可以将地址设置为NULL。

原理很简单,基本上InlineHook类的代码都是一个样子,如下是一段完整的挂钩PsLookupProcessByProcessId的驱动程序,当程序被加载时则默认会保护lyshark.exe进程,使其无法被用户使用任务管理器结束掉。

#include "lyshark_lde64.h"

#include <ntifs.h>

#include <windef.h>

#include <intrin.h>

#pragma  intrinsic(_disable)

#pragma  intrinsic(_enable)

// --------------------------------------------------------------

// 汇编计算方法

// --------------------------------------------------------------

// 计算地址处指令有多少字节

// address = 地址

// bits 32位驱动传入0 64传入64

typedef INT(*LDE_DISASM)(PVOID address, INT bits);

LDE_DISASM lde_disasm;

// 初始化引擎

VOID lde_init()

{

    lde_disasm = ExAllocatePool(NonPagedPool, 12800);

    memcpy(lde_disasm, szShellCode, 12800);

}

// 得到完整指令长度,避免截断

ULONG GetFullPatchSize(PUCHAR Address)

{

    ULONG LenCount = 0, Len = 0;

    // 至少需要14字节

    while (LenCount <= 14)

    {

        Len = lde_disasm(Address, 64);

        Address = Address + Len;

        LenCount = LenCount + Len;

    }

    return LenCount;

}

// --------------------------------------------------------------

// Hook函数封装

// --------------------------------------------------------------

// 定义指针方便调用

typedef NTSTATUS(__fastcall *PSLOOKUPPROCESSBYPROCESSID)(HANDLE ProcessId, PEPROCESS *Process);

ULONG64 protect_eprocess = 0;           // 需要保护进程的eprocess

ULONG patch_size = 0;                   // 被修改了几个字节

PUCHAR head_n_byte = NULL;              // 前几个字节数组

PVOID original_address = NULL;          // 原函数地址

KIRQL WPOFFx64()

{

    KIRQL irql = KeRaiseIrqlToDpcLevel();

    UINT64 cr0 = __readcr0();

    cr0 &= 0xfffffffffffeffff;

    __writecr0(cr0);

    _disable();

    return irql;

}

VOID WPONx64(KIRQL irql)

{

    UINT64 cr0 = __readcr0();

    cr0 |= 0x10000;

    _enable();

    __writecr0(cr0);

    KeLowerIrql(irql);

}

// 动态获取内存地址

PVOID GetProcessAddress(PCWSTR FunctionName)

{

    UNICODE_STRING UniCodeFunctionName;

    RtlInitUnicodeString(&UniCodeFunctionName, FunctionName);

    return MmGetSystemRoutineAddress(&UniCodeFunctionName);

}

/*

    InlineHookAPI 挂钩地址

    参数1:待HOOK函数地址

    参数2:代理函数地址

    参数3:接收原始函数地址的指针

    参数4:接收补丁长度的指针

    返回:原来头N字节的数据

*/

PVOID KernelHook(IN PVOID ApiAddress, IN PVOID Proxy_ApiAddress, OUT PVOID *Original_ApiAddress, OUT ULONG *PatchSize)

{

    KIRQL irql;

    UINT64 tmpv;

    PVOID head_n_byte, ori_func;

    // 保存跳转指令 JMP QWORD PTR [本条指令结束后的地址]

    UCHAR jmp_code[] = "\xFF\x25\x00\x00\x00\x00\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF";

    // 保存原始指令

    UCHAR jmp_code_orifunc[] = "\xFF\x25\x00\x00\x00\x00\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF";

    // 获取函数地址处指令长度

    *PatchSize = GetFullPatchSize((PUCHAR)ApiAddress);

    // 分配空间

    head_n_byte = ExAllocatePoolWithTag(NonPagedPool, *PatchSize, "LyShark");

    irql = WPOFFx64();

    // 跳转地址拷贝到原函数上

    RtlCopyMemory(head_n_byte, ApiAddress, *PatchSize);

    WPONx64(irql);

    // 构建跳转

    // 1.原始机器码+跳转机器码

    ori_func = ExAllocatePoolWithTag(NonPagedPool, *PatchSize + 14, "LyShark");

    RtlFillMemory(ori_func, *PatchSize + 14, 0x90);

    // 2.跳转到没被打补丁的那个字节

    tmpv = (ULONG64)ApiAddress + *PatchSize;

    RtlCopyMemory(jmp_code_orifunc + 6, &tmpv, 8);

    RtlCopyMemory((PUCHAR)ori_func, head_n_byte, *PatchSize);

    RtlCopyMemory((PUCHAR)ori_func + *PatchSize, jmp_code_orifunc, 14);

    *Original_ApiAddress = ori_func;

    // 3.得到代理地址

    tmpv = (UINT64)Proxy_ApiAddress;

    RtlCopyMemory(jmp_code + 6, &tmpv, 8);

    //4.打补丁

    irql = WPOFFx64();

    RtlFillMemory(ApiAddress, *PatchSize, 0x90);

    RtlCopyMemory(ApiAddress, jmp_code, 14);

    WPONx64(irql);

    return head_n_byte;

}

/*

    InlineHookAPI 恢复挂钩地址

    参数1:被HOOK函数地址

    参数2:原始数据

    参数3:补丁长度

*/

VOID KernelUnHook(IN PVOID ApiAddress, IN PVOID OriCode, IN ULONG PatchSize)

{

    KIRQL irql;

    irql = WPOFFx64();

    RtlCopyMemory(ApiAddress, OriCode, PatchSize);

    WPONx64(irql);

}

// 实现我们自己的代理函数

NTSTATUS MyPsLookupProcessByProcessId(HANDLE ProcessId, PEPROCESS *Process)

{

    NTSTATUS st;

    st = ((PSLOOKUPPROCESSBYPROCESSID)original_address)(ProcessId, Process);

    if (NT_SUCCESS(st))

    {

        // 判断是否是需要保护的进程

        if (*Process == (PEPROCESS)protect_eprocess)

        {

            *Process = 0;

            DbgPrint("[lyshark] 拦截结束进程 \n");

            st = STATUS_ACCESS_DENIED;

        }

    }

    return st;

}

VOID UnDriver(PDRIVER_OBJECT driver)

{

    DbgPrint("驱动已卸载 \n");

    // 恢复Hook

    KernelUnHook(GetProcessAddress(L"PsLookupProcessByProcessId"), head_n_byte, patch_size);

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)

{

    DbgPrint("hello lyshark \n");

    // 初始化反汇编引擎

    lde_init();

    // 设置需要保护进程EProcess

    /*

    lyshark: kd> !process 0 0 lyshark.exe

        PROCESS ffff9a0a44ec4080

            SessionId: 1  Cid: 05b8    Peb: 0034d000  ParentCid: 13f0

            DirBase: 12a7d2002  ObjectTable: ffffd60bc036f080  HandleCount: 159.

            Image: lyshark.exe

    */

    protect_eprocess = 0xffff9a0a44ec4080;

    // Hook挂钩函数

    head_n_byte = KernelHook(GetProcessAddress(L"PsLookupProcessByProcessId"), (PVOID)MyPsLookupProcessByProcessId, &original_address, &patch_size);

    DbgPrint("[lyshark] 挂钩保护完成 --> 修改字节: %d | 原函数地址: 0x%p \n", patch_size, original_address);

    for (size_t i = 0; i < patch_size; i++)

    {

        DbgPrint("[byte] = %x", head_n_byte[i]);

    }

    Driver->DriverUnload = UnDriver;

    return STATUS_SUCCESS;

}

运行这段驱动程序,会输出挂钩保护的具体地址信息;

使用WinDBG观察,会发现挂钩后原函数已经被替换掉了,而被替换的地址就是我们自己的MyPsLookupProcessByProcessId函数。

当你尝试使用任务管理器结束掉lyshark.exe进程时,则会提示拒绝访问。

5.9 Windows驱动开发:内核InlineHook挂钩技术的更多相关文章

  1. Windows驱动开发-内核常用内存函数

    搞内存常用函数 C语言 内核 malloc ExAllocatePool memset RtlFillMemory memcpy RtlMoveMemory free ExFreePool

  2. Windows驱动开发(中间层)

    Windows驱动开发 一.前言 依据<Windows内核安全与驱动开发>及MSDN等网络质料进行学习开发. 二.初步环境 1.下载安装WDK7.1.0(WinDDK\7600.16385 ...

  3. [Windows驱动开发](一)序言

    笔者学习驱动编程是从两本书入门的.它们分别是<寒江独钓——内核安全编程>和<Windows驱动开发技术详解>.两本书分别从不同的角度介绍了驱动程序的制作方法. 在我理解,驱动程 ...

  4. windows驱动开发推荐书籍

    [作者] 猪头三 个人网站 :http://www.x86asm.com/ [序言] 很多人都对驱动开发有兴趣,但往往找不到正确的学习方式.当然这跟驱动开发的本土化资料少有关系.大多学的驱动开发资料都 ...

  5. windows 驱动开发入门——驱动中的数据结构

    最近在学习驱动编程方面的内容,在这将自己的一些心得分享出来,供大家参考,与大家共同进步,本人学习驱动主要是通过两本书--<独钓寒江 windows安全编程> 和 <windows驱动 ...

  6. Windows驱动——读书笔记《Windows驱动开发技术详解》

    =================================版权声明================================= 版权声明:原创文章 谢绝转载  请通过右侧公告中的“联系邮 ...

  7. Windows驱动开发-IRP的完成例程

    <Windows驱动开发技术详解 >331页, 在将IRP发送给底层驱动或其他驱动之前,可以对IRP设置一个完成例程,一旦底层驱动将IRP完成后,IRP完成例程立刻被处罚,通过设置完成例程 ...

  8. C++第三十八篇 -- 研究一下Windows驱动开发(二)--WDM式驱动的加载

    基于Windows驱动开发技术详解这本书 一.简单的INF文件剖析 INF文件是一个文本文件,由若干个节(Section)组成.每个节的名称用一个方括号指示,紧接着方括号后面的就是节内容.每一行就是一 ...

  9. C++第三十三篇 -- 研究一下Windows驱动开发(一)内部构造介绍

    因为工作原因,需要做一些与网卡有关的测试,其中涉及到了驱动这一块的知识,虽然程序可以运行,但是不搞清楚,心里总是不安,觉得没理解清楚.因此想看一下驱动开发.查了很多资料,看到有人推荐Windows驱动 ...

  10. Windows 驱动开发 - 5

    上篇<Windows 驱动开发 - 4>我们已经完毕了硬件准备. 可是我们还没有详细的数据操作,比如接收读写操作. 在WDF中进行此类操作前须要进行设备的IO控制,已保持数据的完整性. 我 ...

随机推荐

  1. linux day1:VMware虚拟机配置 CentOS系统配置

    目录 运维岗位说明 计算机的种类 服务器的种类 服务器的品牌 服务器内部组成 缓存和缓冲 服务器磁盘阵列 raid5 linux系统发展史 去IOE运动 虚拟化技术 虚拟化软件下载 VMware安装 ...

  2. Linux CentOS 7 离线安装.NET环境

    下载 下载.NET 例如: aspnetcore-runtime-6.0.15-linux-x64.tar.gz 复制 复制到如下目录: /usr/local/dotnet/aspnetcore-ru ...

  3. 【ToolChains】CLion(VS2019) + CMake + Vcpkg 的使用

    参考博客: https://blog.51cto.com/u_15075510/4201238 http://t.csdn.cn/pADDU https://zhuanlan.zhihu.com/p/ ...

  4. AtCoder Beginner Contest 170 (D~F题,D筛法,E multiset使用,F Dijkstra算法改进)

    题目链接:Here ABC水题, D. Not Divisible 看了题解才想到,可以用 Sieve of Eratosthenes,因为 \(A_i\) 最大才 \(10^6\) 但有注意的点 1 ...

  5. 【网摘】SQL练习题

    原文链接:Here

  6. 神秘又强大的@SpringBootApplication注解

    一.前言 大部分的配置都可以用Java类+注解来代替,而在SpringBoot项目中见的最多的莫过于@SpringBootApplication注解了,它在每个SpringBoot的启动类上都有标注. ...

  7. 【转载】内存基本概念-伙伴(Buddy)算法

    简介 ​ 在Linux系统中,内存的分配与回收速率直接影响系统的存取效率.当内核频繁请求和释放不同大小的一组连续页框时,会导致许多外部空闲碎片,造成空间的浪费.使用伙伴算法可以有效地缓解该问题.伙伴关 ...

  8. Web3初步实践总结

    大家好~Web3是2021年才开始的浪潮,我非常赞同Web3的去中心化的理念,并且最近从Web2全面转向Web3了. 现在与大家分享我的实践的经验,希望对大家有所帮助,谢谢! 目录 为什么要转向Web ...

  9. 05_二叉树的层次遍历II

    二叉树的层序遍历 II 给你二叉树的根节点 root ,返回其节点值 自底向上的层序遍历 . (即按从叶子节点所在层到根节点所在的层,逐层从左向右遍历) 示例 1: 输入:root = [3,9,20 ...

  10. offline RL | ABM:从 offline dataset 的好 transition 提取 prior policy

    ICLR 2020,6 6 6. 材料: 论文题目:Keep Doing What Worked: Behavior Modelling Priors for Offline Reinforcemen ...