-
-
SSDT HOOK问题.
-
发表于: 2010-3-1 14:05
-
初学驱动.因为用汇编编写驱动的资料太少。所以很多问题不知道怎么解决。下面是段关于HOOK的代码。希望高手帮忙解决下小弟心中的疑惑。
代码:
NtHookSSDT proc
pushad
mov eax,KeServiceDescriptorTable
mov esi,[eax]
mov esi,[esi]
invoke MmGetSystemRoutineAddress,$CCOUNTED_UNICODE_STRING("ZwOpenProcess")
inc eax
movzx ecx,byte ptr[eax]
sal ecx,2
add esi,ecx
mov dwZwOpenProcess_Addr,esi
mov edi,dword ptr[esi]
mov OriginalZwOpenProcess,edi
mov edi,offset NewZwOpenProcess
cli
mov eax,cr0
xor eax,10000h
mov cr0,eax
mov dword ptr[esi],edi
mov eax, cr0
xor eax,10000h
mov cr0, eax
sti
popad
ret
NtHookSSDT endp
这段代码的开头是:mov eax,KeServiceDescriptorTable,mov esi,[eax] .mov esi,[esi]
在ntoskrnl.inc头文件中 KeServiceDescriptorTable的定义只有一句:KeServiceDescriptorTable PROTO C 完全不明白是什么意思 后面的
invoke MmGetSystemRoutineAddress,$CCOUNTED_UNICODE_STRING("ZwOpenProcess")
inc eax
movzx ecx,byte ptr[eax]
sal ecx,2
add esi,ecx
mov dwZwOpenProcess_Addr,esi
mov edi,dword ptr[esi]
mov OriginalZwOpenProcess,edi
也不明白是什么意思 sal ecx,2 这句应该是获取函数在SSDT中的偏移量。 那add esi,ecx又是什么意思呢?
喜欢高手能帮帮小弟。解释一下代码的意思 ..先谢过了
代码:
NtHookSSDT proc
pushad
mov eax,KeServiceDescriptorTable
mov esi,[eax]
mov esi,[esi]
invoke MmGetSystemRoutineAddress,$CCOUNTED_UNICODE_STRING("ZwOpenProcess")
inc eax
movzx ecx,byte ptr[eax]
sal ecx,2
add esi,ecx
mov dwZwOpenProcess_Addr,esi
mov edi,dword ptr[esi]
mov OriginalZwOpenProcess,edi
mov edi,offset NewZwOpenProcess
cli
mov eax,cr0
xor eax,10000h
mov cr0,eax
mov dword ptr[esi],edi
mov eax, cr0
xor eax,10000h
mov cr0, eax
sti
popad
ret
NtHookSSDT endp
这段代码的开头是:mov eax,KeServiceDescriptorTable,mov esi,[eax] .mov esi,[esi]
在ntoskrnl.inc头文件中 KeServiceDescriptorTable的定义只有一句:KeServiceDescriptorTable PROTO C 完全不明白是什么意思 后面的
invoke MmGetSystemRoutineAddress,$CCOUNTED_UNICODE_STRING("ZwOpenProcess")
inc eax
movzx ecx,byte ptr[eax]
sal ecx,2
add esi,ecx
mov dwZwOpenProcess_Addr,esi
mov edi,dword ptr[esi]
mov OriginalZwOpenProcess,edi
也不明白是什么意思 sal ecx,2 这句应该是获取函数在SSDT中的偏移量。 那add esi,ecx又是什么意思呢?
喜欢高手能帮帮小弟。解释一下代码的意思 ..先谢过了 [注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
