-
-
[讨论]关于恢复inline hook在不同操作系统版本和不同系统中的问题
-
发表于: 2011-2-5 11:55
-
最近在做inline hook的恢复,在我的本机上面已经OK,包括SSDT,Shadow SSDT,和其他导出函数inline hook的恢复,因为只做恢复,而不是自己做Hook,所以难度相对较小,比较容易搞定。
但是从我本机上移动到其他机器上进行使用出现了如下问题:
1. 系统环境一样,比如我的机器:winxp + sp3,另外一台机器winxp + sp3,发现不能通用,我在本机上取的硬编码,把相关函数的前30个字节覆盖到已经Hook了的函数头部,但是发现在相同环境不同机器上相同的函数前30个字节的机器码不一样,这就有点晕了,如下
(不过我发现不同的地方是一些变量或者函数的地址,应该是有办法解决的,请大牛们指点一下)
2.系统环境不一样,比如winxp+sp3,winxp+sp2,win2000。这些环境下不仅仅一些变量或者函数的地址不一样,而且其实一些操作码都不一样。当然解决这个问题可以在不同环境中取不同的特征码,然后在程序中判断操作系统的版本,进行不同方式的操作。除了这个方法之外有没有其他能通用的方法呢?
小弟新学习这么底层的东西,望大N们能指点一二
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
|
|
|
|
|
听起来有点抽象,我刚下载了PsNull的代码,听说里面有相关代码,不知道能不能请大N讲一下大概的原理和流程,我再根据代码学习一下,多谢了
|
|
|
rrrfff ,能不能给个简单的实例看一看,这几天看那个PsNull的代码,没有文档,直接看,有点一头雾水......
 因为我现在是恢复几类函数,一个是SSDT导出的函数,另一类是Shadow SSDT导出的函数,最后一类是在ntkrnlpa.exe里面导出了的函数。所以我需要加载两个内核文件,就是ntkrnlpa.exe和win32k.sys 比如我上面的图里面就是win32k.sys里面的函数,如果我的驱动自己加载映射到内存空间,那么基址肯定不一样,这样有些变量或者函数的地址需要重定位,那基址不一样,重定位后的这些值应该还是不一样? 不知道PsNull里面是如何实现inline hook的恢复,如果哪位想要PsNULL的代码请留下邮箱,我发给你们,还请帮忙看一下
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
achillis,太感谢了,能理解你的意思,再请教一下,KeServiceDescriptorTable所导出的函数表可以直接在ntoskrnl.exe里进行修复,通过重定位表
你的意思是不用管KeSericeDescriptorTableShadow,直接在win32k.sys里面修复函数表,但是函数表的地址在哪儿找? 因为导出表没有导出这些函数,如果直接通过重定位表修复了这些函数,但是我从哪里找这些函数的地址,通过对比函数头部来进行inline hook的修复? 还请赐教
|
|
|
|
|
|
|
|
|
已经把SSDT的inline hook搞定,过几天再弄Shadow SSDT的,多谢achillis的指点
|
|
|
SSDT,Shadow SSDT全部搞定,多谢achillis一直的指点
|
