SSDT Hook为什么还要在自己的函数中调用原函数?-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (10)
Sunnig 雪币： 267 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 45 粉丝 0 关注私信	Sunnig 2 楼挂钩函数是为了过滤调用,对于关注的调用就做处理,对于那些不关心的调用不作处理直接调用原来的函数. 或者是要隐藏什么信息,就需得通过调用原来的函数获得真实信息,然后把要把结果做处理之后再返回. 2011-1-19 17:32 0
evilkis 雪币： 596 活跃值： (449) 能力值： ( LV12，RANK：320 ) 在线值：发帖 15 回帖 509 粉丝 8 关注私信	evilkis 7 3 楼 NB的话把原函数自己实现了，就不用调用原函数了 2011-1-19 19:01 0
莫灰灰雪币： 2177 活跃值： (2045) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 710 粉丝 46 关注私信	莫灰灰 9 4 楼晕,有没有看上面的代码啊? 上面的代码是没有在完成自己功能的时候刚开始就调用了原函数 2011-1-21 12:56 0
Sunnig 雪币： 267 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 45 粉丝 0 关注私信	Sunnig 5 楼就是要对真实的信息进行处理(隐藏,修改等),所以才会先调用原函数获取真实的信息,然后做处理之后再返回. 2011-1-21 13:51 0
Sunnig 雪币： 267 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 45 粉丝 0 关注私信	Sunnig 6 楼有那么一点点怀疑楼主的理解能力,及对过滤这个概念的认识... 2011-1-21 13:56 0
君君寒雪币： 6092 活跃值： (654) 能力值： ( LV4，RANK：45 ) 在线值：发帖 72 回帖 1064 粉丝 0 关注私信	君君寒 7 楼看到我自己发的代码部分。。 RtlInitUnicodeString(&process_name, L"taskmgr.exe");//改成自己要隐藏的进程名------------呵呵我那进程保护的驱动。。调用原函数是为了 1 拦截函数改变了原来的地址所以要事先保存地址。 2 拦截函数需要接受原先传递的参数和返回应该返回的参数。这个需要自己去实现，所以必须要写一个函数跟原先的函数结构一样但是增加了自己规则体系的函数，这个就是所谓的过滤。主要是2的缘故。。比如原先是 a函数要接受 3个参数 a1 a2 a3 返回两个参数 b1 b2 这个函数被你拦截了就意味着调到你的函数空间了汇编里面就是 jmp xxxxx 这个时候如果你不接受 3个参数输出两个参数（当然参数要跟系统原先定义的一样）那么系统就会出错崩溃，或者死机。这个时候你必须写一个一模一样的函数 a'函数要接受 3个参数 a1 a2 a3 返回两个参数 b1 b2 a'函数里面主要是进行条件判断等这样返回的参数本来比如说是 b1 b2的就被修改为 b1' b2'（这里的返回参数是根据a'函数过程来的）也就是实现了 hook的目的。至于原先的a函数呢在a'里面也是返回过去的例如下面这个函数这个函数可以在msdn里面找到输入和输出的参数。我们写的函数是 a' NTSTATUS ZwOpenProcessHook(PHANDLE ProcessHandle,ACCESS_MASK DesiredAccess,POBJECT_ATTRIBUTES ObjectAttributes,PCLIENT_ID ClientId)//我们自己的//NtZwOpenProcess ---------------------a'函数带所有参数 { PEPROCESS process; //接受通过ProcessHandle返回的进程 NTSTATUS status; CHAR pName; //接受进程的进程名 HANDLE hID; ULONG dwProcessId = NULL; PEPROCESS EProcessToOpen;------------定义参数 status = PsLookupProcessByProcessId( ClientId->UniqueProcess, &process ); if(!NT_SUCCESS(status)) return(ZwOpenProcessReal(ProcessHandle,DesiredAccess,ObjectAttributes,ClientId)); pName = (CHAR)PsGetProcessImageFileName(process); //获取进程名 if(IsProtect(pName)) //判断是否是我们要保护的进程，是则返回权限不足，否则调用原函数结束进程 { if(process != PsGetCurrentProcess()) { hID = PsGetProcessId(process);//获得进程id KdPrint(("Protection Pid: %d\n"), hID); return STATUS_ACCESS_DENIED; --------------------当符合条件时返回参数被改变了本来是返回数据的结果符合条件时返回STATUS_ACCESS_DENIED } } ---------------------------------判断部分 return(ZwOpenProcessReal(ProcessHandle,DesiredAccess,ObjectAttributes,ClientId)); -------------------------返回到原先的a 函数 } 2011-1-23 18:08 0
君君寒雪币： 6092 活跃值： (654) 能力值： ( LV4，RANK：45 ) 在线值：发帖 72 回帖 1064 粉丝 0 关注私信	君君寒 8 楼发出问题也不回复。。诶 2011-1-24 21:45 0
君君寒雪币： 6092 活跃值： (654) 能力值： ( LV4，RANK：45 ) 在线值：发帖 72 回帖 1064 粉丝 0 关注私信	君君寒 9 楼再也不发这些东西了。发了也没人看。 2011-1-27 13:50 0
莫灰灰雪币： 2177 活跃值： (2045) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 710 粉丝 46 关注私信	莫灰灰 9 10 楼兄弟您辛苦了,呵呵.前段时间发了问题,后来问题解决了就忘记了. 谢谢兄弟您的热心回复. 2011-3-16 17:00 0
莫灰灰雪币： 2177 活跃值： (2045) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 710 粉丝 46 关注私信	莫灰灰 9 11 楼现在理解了,谢了,兄弟.嘿嘿. 2011-3-16 17:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (10)
Sunnig 雪币： 267 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 45 粉丝 0 关注私信	Sunnig 2 楼挂钩函数是为了过滤调用,对于关注的调用就做处理,对于那些不关心的调用不作处理直接调用原来的函数. 或者是要隐藏什么信息,就需得通过调用原来的函数获得真实信息,然后把要把结果做处理之后再返回. 2011-1-19 17:32 0
evilkis 雪币： 596 活跃值： (449) 能力值： ( LV12，RANK：320 ) 在线值：发帖 15 回帖 509 粉丝 8 关注私信	evilkis 7 3 楼 NB的话把原函数自己实现了，就不用调用原函数了 2011-1-19 19:01 0
莫灰灰雪币： 2177 活跃值： (2045) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 710 粉丝 46 关注私信	莫灰灰 9 4 楼晕,有没有看上面的代码啊? 上面的代码是没有在完成自己功能的时候刚开始就调用了原函数 2011-1-21 12:56 0
Sunnig 雪币： 267 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 45 粉丝 0 关注私信	Sunnig 5 楼就是要对真实的信息进行处理(隐藏,修改等),所以才会先调用原函数获取真实的信息,然后做处理之后再返回. 2011-1-21 13:51 0
Sunnig 雪币： 267 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 45 粉丝 0 关注私信	Sunnig 6 楼有那么一点点怀疑楼主的理解能力,及对过滤这个概念的认识... 2011-1-21 13:56 0
君君寒雪币： 6092 活跃值： (654) 能力值： ( LV4，RANK：45 ) 在线值：发帖 72 回帖 1064 粉丝 0 关注私信	君君寒 7 楼看到我自己发的代码部分。。 RtlInitUnicodeString(&process_name, L"taskmgr.exe");//改成自己要隐藏的进程名------------呵呵我那进程保护的驱动。。调用原函数是为了 1 拦截函数改变了原来的地址所以要事先保存地址。 2 拦截函数需要接受原先传递的参数和返回应该返回的参数。这个需要自己去实现，所以必须要写一个函数跟原先的函数结构一样但是增加了自己规则体系的函数，这个就是所谓的过滤。主要是2的缘故。。比如原先是 a函数要接受 3个参数 a1 a2 a3 返回两个参数 b1 b2 这个函数被你拦截了就意味着调到你的函数空间了汇编里面就是 jmp xxxxx 这个时候如果你不接受 3个参数输出两个参数（当然参数要跟系统原先定义的一样）那么系统就会出错崩溃，或者死机。这个时候你必须写一个一模一样的函数 a'函数要接受 3个参数 a1 a2 a3 返回两个参数 b1 b2 a'函数里面主要是进行条件判断等这样返回的参数本来比如说是 b1 b2的就被修改为 b1' b2'（这里的返回参数是根据a'函数过程来的）也就是实现了 hook的目的。至于原先的a函数呢在a'里面也是返回过去的例如下面这个函数这个函数可以在msdn里面找到输入和输出的参数。我们写的函数是 a' NTSTATUS ZwOpenProcessHook(PHANDLE ProcessHandle,ACCESS_MASK DesiredAccess,POBJECT_ATTRIBUTES ObjectAttributes,PCLIENT_ID ClientId)//我们自己的//NtZwOpenProcess ---------------------a'函数带所有参数 { PEPROCESS process; //接受通过ProcessHandle返回的进程 NTSTATUS status; CHAR pName; //接受进程的进程名 HANDLE hID; ULONG dwProcessId = NULL; PEPROCESS EProcessToOpen;------------定义参数 status = PsLookupProcessByProcessId( ClientId->UniqueProcess, &process ); if(!NT_SUCCESS(status)) return(ZwOpenProcessReal(ProcessHandle,DesiredAccess,ObjectAttributes,ClientId)); pName = (CHAR)PsGetProcessImageFileName(process); //获取进程名 if(IsProtect(pName)) //判断是否是我们要保护的进程，是则返回权限不足，否则调用原函数结束进程 { if(process != PsGetCurrentProcess()) { hID = PsGetProcessId(process);//获得进程id KdPrint(("Protection Pid: %d\n"), hID); return STATUS_ACCESS_DENIED; --------------------当符合条件时返回参数被改变了本来是返回数据的结果符合条件时返回STATUS_ACCESS_DENIED } } ---------------------------------判断部分 return(ZwOpenProcessReal(ProcessHandle,DesiredAccess,ObjectAttributes,ClientId)); -------------------------返回到原先的a 函数 } 2011-1-23 18:08 0
君君寒雪币： 6092 活跃值： (654) 能力值： ( LV4，RANK：45 ) 在线值：发帖 72 回帖 1064 粉丝 0 关注私信	君君寒 8 楼发出问题也不回复。。诶 2011-1-24 21:45 0
君君寒雪币： 6092 活跃值： (654) 能力值： ( LV4，RANK：45 ) 在线值：发帖 72 回帖 1064 粉丝 0 关注私信	君君寒 9 楼再也不发这些东西了。发了也没人看。 2011-1-27 13:50 0
莫灰灰雪币： 2177 活跃值： (2045) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 710 粉丝 46 关注私信	莫灰灰 9 10 楼兄弟您辛苦了,呵呵.前段时间发了问题,后来问题解决了就忘记了. 谢谢兄弟您的热心回复. 2011-3-16 17:00 0
莫灰灰雪币： 2177 活跃值： (2045) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 710 粉丝 46 关注私信	莫灰灰 9 11 楼现在理解了,谢了,兄弟.嘿嘿. 2011-3-16 17:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复