[原创]Inline_Hook 无需找表。只要在!ntosknl模块，Inline任意位置-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [原创]Inline_Hook 无需找表。只要在!ntosknl模块，Inline任意位置 0.00雪花

发表于: 2011-8-14 21:22 3159

[旧帖] [原创]Inline_Hook 无需找表。只要在!ntosknl模块，Inline任意位置 0.00雪花

xed

2011-8-14 21:22

3159

#include <NTDDK.h>

//----------------置全局变量+初始化.初始化是个好习惯.虽然我反汇编的时候发现编译器会帮你做这件事---------
ULONG JmpTest=0;
UCHAR  TestByte[5]={0x00,0x00,0x00,0x00,0x00}; 
ULONG retAddrIoCF_Xp=0;
//----------------

//----------------下面是系统信息类.偷懒复制过来的.实际上只SystemModuleInformation再用---------
typedef enum _SYSTEM_INFORMATION_CLASS {
SystemBasicInformation, // 0 Y N
SystemProcessorInformation, // 1 Y N
SystemPerformanceInformation, // 2 Y N
SystemTimeOfDayInformation, // 3 Y N
SystemNotImplemented1, // 4 Y N
SystemProcessesAndThreadsInformation, // 5 Y N
SystemCallCounts, // 6 Y N
SystemConfigurationInformation, // 7 Y N
SystemProcessorTimes, // 8 Y N
SystemGlobalFlag, // 9 Y Y
SystemNotImplemented2, // 10 Y N
SystemModuleInformation, // 11 Y N
SystemLockInformation, // 12 Y N
SystemNotImplemented3, // 13 Y N
SystemNotImplemented4, // 14 Y N
SystemNotImplemented5, // 15 Y N
SystemHandleInformation, // 16 Y N
SystemObjectInformation, // 17 Y N
SystemPagefileInformation, // 18 Y N
SystemInstructionEmulationCounts, // 19 Y N
SystemInvalidInfoClass1, // 20
SystemCacheInformation, // 21 Y Y
SystemPoolTagInformation, // 22 Y N
SystemProcessorStatistics, // 23 Y N
SystemDpcInformation, // 24 Y Y
SystemNotImplemented6, // 25 Y N
SystemLoadImage, // 26 N Y
SystemUnloadImage, // 27 N Y
SystemTimeAdjustment, // 28 Y Y
SystemNotImplemented7, // 29 Y N
SystemNotImplemented8, // 30 Y N
SystemNotImplemented9, // 31 Y N
SystemCrashDumpInformation, // 32 Y N
SystemExceptionInformation, // 33 Y N
SystemCrashDumpStateInformation, // 34 Y Y/N
SystemKernelDebuggerInformation, // 35 Y N
SystemContextSwitchInformation, // 36 Y N
SystemRegistryQuotaInformation, // 37 Y Y
SystemLoadAndCallImage, // 38 N Y
SystemPrioritySeparation, // 39 N Y
SystemNotImplemented10, // 40 Y N
SystemNotImplemented11, // 41 Y N
SystemInvalidInfoClass2, // 42
SystemInvalidInfoClass3, // 43
SystemTimeZoneInformation, // 44 Y N
SystemLookasideInformation, // 45 Y N
SystemSetTimeSlipEvent, // 46 N Y
SystemCreateSession, // 47 N Y
SystemDeleteSession, // 48 N Y
SystemInvalidInfoClass4, // 49
SystemRangeStartInformation, // 50 Y N
SystemVerifierInformation, // 51 Y Y
SystemAddVerifier, // 52 N Y
SystemSessionProcessesInformation // 53 Y N
} SYSTEM_INFORMATION_CLASS;

typedef struct _SYSTEM_MODULE_INFORMATION { // Information Class 11
ULONG Reserved[2];
PVOID Base;
ULONG Size;
ULONG Flags;
USHORT Index;
USHORT Unknown;
USHORT LoadCount;
USHORT ModuleNameOffset;
CHAR ImageName[256];
} SYSTEM_MODULE_INFORMATION, *PSYSTEM_MODULE_INFORMATION;


//---------------------Api申明---------


PVOID GetUndocumentFunctionAdress();

NTSYSAPI
NTSTATUS
NTAPI
ZwQuerySystemInformation(    //这个函数使用起来十分繁琐.但是功能强大
IN SYSTEM_INFORMATION_CLASS SystemInformationClass,
IN OUT PVOID SystemInformation,
IN ULONG SystemInformationLength,
OUT PULONG ReturnLength OPTIONAL
); 

//---------------------开关内存读写保护--------
VOID WPOFF(VOID)
{
__asm
{
cli
mov eax,cr0
and eax,not 10000h
mov cr0,eax
}
}


VOID WPON(VOID)
{
__asm
{
mov eax,cr0
or eax,10000h
mov cr0,eax
sti
}
}

//------------------获取未知函数地址

PVOID
GetUndocumentFunctionAdress()
{

	ULONG size,index;
	PULONG buf;
    	ULONG i;
	PSYSTEM_MODULE_INFORMATION module;
	PVOID driverAddress=0;
   	ULONG ntosknlBase;
	ULONG ntosknlEndAddr;
	ULONG curAddr;
	NTSTATUS status;

	ULONG	code1_IoF=0x5d89db33,code2_IoF=0x1c758be0,code3_IoF=0x8903e683,code4_IoF=0xa164d475;


	ZwQuerySystemInformation(SystemModuleInformation,&size, 0, &size); //内存

	if(NULL==(buf = (PULONG)ExAllocatePool(PagedPool, size)))
	{
		DbgPrint("failed alloc memory failed  \n");
		return 0;
	}
     
	status=ZwQuerySystemInformation(SystemModuleInformation,buf, size , 0); //请求
	if(!NT_SUCCESS( status ))
	{
           	DbgPrint("failed  query\n");
	        return 0;
	}

	module = (PSYSTEM_MODULE_INFORMATION)(( PULONG )buf + 1);
	
	ntosknlEndAddr=(ULONG)module->Base+(ULONG)module->Size;
	ntosknlBase=(ULONG)module->Base;
	curAddr=ntosknlBase;
	ExFreePool(buf);

	for (i=curAddr;i<=ntosknlEndAddr;i++)  //在ntoskn内存范围内搜索.由于函数类型Break就不+了
		{
			if ((*((ULONG *)i)==code1_IoF)&&(*((ULONG *)(i+4))==code2_IoF)&&(*((ULONG *)(i+8))==code3_IoF)&&(*((ULONG *)(i+12))==code4_IoF)) 
			 
			{			
				retAddrIoCF_Xp = i;
				JmpTest = i + 0x5;
			 	DbgPrint(".");	
			 	DbgPrint("[retAddrIoCF_Xp] %x\n",retAddrIoCF_Xp);
			 	DbgPrint("[JmpTest] %x\n",JmpTest);		
			}
	}
return 0;

}


//--------------------------自定义函数--------------------

NTSTATUS _declspec(naked) MyKnowCall()  //这里一定要naked.不然函数多3句经典代码.参数呢？我偷懒了
{
__asm 
{
xor ebx, ebx            //这2句是原函数被HOOK地方的代码
mov dword ptr [ebp-0x20], ebx
jmp JmpTest             //调回到后面继续执行
}
}



//-------------------开始HOOK-----------

VOID StartInLineHook()
{
ULONG JmpOffsetTest;
 
UCHAR JmpCode[5]={0xe9,0x00,0x00,0x00,0x00};  //jmp

UCHAR JmpCodeTest[5]={0xe9,0x00,0x00,0x00,0x00};

//-----------------
   	 RtlCopyMemory (TestByte, (PVOID)retAddrIoCF_Xp, 5);  //备份原先没HOOK的时候该地址的代码

   	 DbgPrint("[TestByte] 0x%x\n",TestByte);


//---------------------新函数与老函数的偏移差
JmpOffsetTest=(PCHAR)MyKnowCall-(PCHAR)retAddrIoCF_Xp-0x5;   
//因为自己的驱动是后加载的，属于高位地址。所以放在前面减去老地址， -5是跳转所占的5个字节。得到偏移差

DbgPrint("[JmpOffsetTest]:%08X",JmpOffsetTest);
DbgPrint("[MyKnowCall]:%08X",MyKnowCall);

//-----------------

RtlCopyMemory(JmpCodeTest+1,&JmpOffsetTest,4);     //这是构成一条跳转语句 


DbgPrint("[JmpCodeTest]:%08X",JmpCodeTest);
DbgPrint(".");
DbgPrint("[retAddrIoCF_Xp]:%08X",retAddrIoCF_Xp);
DbgPrint("[JmpCodeTest]:%08X",(PVOID)JmpCodeTest); //ULONG.UCHAR.PVOID之类的+不+都不影响。同上语句
//-----------------------------

//-----------开始HOOK--------

WPOFF();        //内存不可直接操作。先关保护，和提升IRQL级别一个道理、
RtlCopyMemory((PVOID)retAddrIoCF_Xp,(PVOID)JmpCodeTest,5); 
WPON();         //完了记得开启保护、内核不是R3；不开保护容易BSOD。
}

//-----------------------卸载入口--------------
VOID DriverUnload (PDRIVER_OBJECT pDriverObject)  //后面这个参数是用来卸载调用的
{
WPOFF(); 
RtlCopyMemory((PVOID)retAddrIoCF_Xp,TestByte,5);    //把原先备份的地址代码复制到我们HOOK的地址、就是还原、
WPON(); 
DbgPrint("InLine HOOK已恢复!!!\n驱动服务已卸载\n");
}

//-------------------------驱动入口-----------------
NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject,PUNICODE_STRING pRegistryPath) //其实这个代码只需要运行一次
{
GetUndocumentFunctionAdress();  //获取未知函数地址.通过特征码搜索的、和aob一个道理

StartInLineHook();              //开始运行HOOK函数
pDriverObject->DriverUnload =DriverUnload;   //记得给卸载派发例程
return STATUS_SUCCESS;          //这里就直接返回成功了。
}

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・5

免费・7

支持

最新回复 (5)
xed 雪币： 129 活跃值： (333) 能力值： ( LV3，RANK：20 ) 在线值：发帖 17 回帖 215 粉丝 2 关注私信	xed 2 楼同时问问任意位置的话要怎么做 2011-8-14 21:24 0
paulbaby 雪币： 3800 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 108 粉丝 0 关注私信	paulbaby 3 楼源码清晰，谢谢楼主 2011-8-15 00:05 0
z许雪币： 1895 活跃值： (1657) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 266 粉丝 4 关注私信	z许 4 楼楼主好厉害。。学习了。 2011-8-15 02:43 0
myliliyi 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	myliliyi 5 楼 ULONG code1_IoF=0x5d89db33,code2_IoF=0x1c758be0,code3_IoF=0x8903e683,code4_IoF=0xa164d475; 这里怎么理解?通用? 2013-2-26 11:59 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 6 楼要搜索的特征码。。。。。。。。。 2013-2-26 14:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

xed

发帖

215

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (5)
xed 雪币： 129 活跃值： (333) 能力值： ( LV3，RANK：20 ) 在线值：发帖 17 回帖 215 粉丝 2 关注私信	xed 2 楼同时问问任意位置的话要怎么做 2011-8-14 21:24 0
paulbaby 雪币： 3800 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 108 粉丝 0 关注私信	paulbaby 3 楼源码清晰，谢谢楼主 2011-8-15 00:05 0
z许雪币： 1895 活跃值： (1657) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 266 粉丝 4 关注私信	z许 4 楼楼主好厉害。。学习了。 2011-8-15 02:43 0
myliliyi 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	myliliyi 5 楼 ULONG code1_IoF=0x5d89db33,code2_IoF=0x1c758be0,code3_IoF=0x8903e683,code4_IoF=0xa164d475; 这里怎么理解?通用? 2013-2-26 11:59 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 6 楼要搜索的特征码。。。。。。。。。 2013-2-26 14:04 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复