[原创]QQ电脑管家中的TsFltMgr Hook框架分析-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]QQ电脑管家中的TsFltMgr Hook框架分析

发表于: 2012-2-6 17:43 35886

[原创]QQ电脑管家中的TsFltMgr Hook框架分析

Fypher

2012-2-6 17:43

35886

QQ电脑管家中的TsFltMgr Hook框架分析

新版的QQ电脑管家中多了一个名字叫TsFltMgr.sys的驱动（应该是Sysnap大牛开发的，膜拜），对该驱动进行了一些简单的分析，看见了一套漂亮的Hook框架，发出来与大家分享。分析不对的地方请多多包涵。

首先TsFltMgr挂钩了KiFastCallEntry函数，Hook点在这里：

kd> u KiFastCallEntry+e3
nt!KiFastCallEntry+0xe3:
8053dbb3 c1e902        shr     ecx,2
-------------------------------------------------------------------------
8053dbb6 90            nop
8053dbb7 90            nop
8053dbb8 90            nop
8053dbb9 e962170c77    jmp     TsFltMgr+0x2320 (f75ff320)
-------------------------------------------------------------------------
8053dbbe 0f83a8010000  jae     nt!KiSystemCallExit2+0x9f (8053dd6c)
8053dbc4 f3a5          rep movs dword ptr es:[edi],dword ptr [esi]
8053dbc6 ffd3          call    ebx

// 保存现场
pushfd        
pushad        

// 调用 KiFastCallEntry_Filter 函数，实现过滤
push edi                    // 本次系统调用对应的SysCall Table的地址（SSDT或SSDTShadow的地址）
push ebx                    // 本次系统调用在SysCall Table中对应的内核函数地址
push eax                    // 本次系统调用对应的内核函数在SysCall Table中的功能号
call KiFastCallEntry_Filter // 调用KiFastCallEntry_Filter，实现过滤
mov  [esp+10h], eax         // 更改本次调用对应的内核函数地址！

// 恢复现场
popad        
popfd

// 执行 KiFastCallEntry 函数中被替换掉的指令，并跳回原函数
mov     edi,esp
cmp     esi, g_7fff0000
push    g_JmpBack
ret

ULONG __stdcall KiFastCallEntry_Filter(ULONG ulSyscallId, ULONG ulSyscallAddr, PULONG pulSyscallTable) 
{
    PFAKE_SYSCALL pFakeSysCall = NULL;

    if ( ulSyscallId >= 0x400 ) 
        return ulSyscallAddr;

    if ( pulSyscallTable == g_KiServiceTable && ulSyscallId <= g_ServiceNum/* 0x11c */ ) 
    {
        pFakeSysCall = g_FakeSysCallTable[ulSyscallId];        // SSDT
    }
    else if (pulSyscallTable == g_KeServiceDescriptorTable && 
             g_KeServiceDescriptorTable && ulSyscallId <= g_ServiceNum/* 0x11c */)
    {
        pFakeSysCall = g_FakeSysCallTable[ulSyscallId];        // SSDT
    }
    else if (pulSyscallTable == g_W32pServiceTableAddr && ulSyscallId <= g_ShadowServiceNum/* 0x29b */)
    {
        pFakeSysCall = g_FakeSysCallTable[ulSyscallId + 1024]; // ShadowSSDT
    }

    if ( pFakeSysCall && pFakeSysCall->ulFakeSysCallAddr )
    {
        pFakeSysCall->ulOrigSysCallAddr = ulSyscallAddr;
        return pFakeSysCall->ulFakeSysCallAddr;
    }
    return ulSyscallAddr;
}

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#调试逆向

收藏・40

免费・6

支持

最新回复 (46) 1 2 ▶
MixDebug 雪币： 143 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 76 粉丝 0 关注私信	MixDebug 1 2 楼广告位出租~ 2012-2-6 17:57 0
futosky 雪币： 862 活跃值： (329) 能力值： ( LV9，RANK：165 ) 在线值：发帖 23 回帖 171 粉丝 1 关注私信	futosky 3 3 楼膜拜一个先，自己逆向烂啊 2012-2-6 18:13 0
古河雪币： 822 活跃值： (380) 能力值： ( LV12，RANK：310 ) 在线值：发帖 24 回帖 132 粉丝 35 关注私信	古河 6 4 楼漂亮的框架。。。和360的HookPort有什么区别 2012-2-6 18:55 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 5 楼其实只是分析了一点，没说出整体框架。还有为啥是 8053dbb6 90 nop 8053dbb7 90 nop 8053dbb8 90 nop 8053dbb9 e962170c77 jmp TsFltMgr+0x2320 (f75ff320) 前面3个NOP有神马好处 2012-2-6 19:11 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 6 楼占位围观！！ 2012-2-6 19:38 0
JeTus 雪币： 87 活跃值： (41) 能力值： ( LV5，RANK：60 ) 在线值：发帖 6 回帖 33 粉丝 0 关注私信	JeTus 1 7 楼前排膜拜大牛分析 2012-2-6 19:42 0
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 8 楼凑两个双字，猜测。sys现在也到ZMCPB打酱油了？ 2012-2-6 19:45 0
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 9 楼数了下，就差两个人就全员到齐了 2012-2-6 19:46 0
phthegreat 雪币： 66 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 43 粉丝 1 关注私信	phthegreat 10 楼字母在LZ的帮助下向数字看齐了 2012-2-6 19:55 0
JeTus 雪币： 87 活跃值： (41) 能力值： ( LV5，RANK：60 ) 在线值：发帖 6 回帖 33 粉丝 0 关注私信	JeTus 1 11 楼凑俩字节可以放后面吧，猜不到 2012-2-6 19:56 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 12 楼 NO，前面3个NOP是有意图的 2012-2-6 19:59 0
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 13 楼还有二个神秘指令，等你挖掘下啊 2012-2-6 20:25 0
HitIt 雪币： 33 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 20 粉丝 0 关注私信	HitIt 14 楼 3个nop 意味着想要3个妹子，呵呵 2012-2-6 20:27 0
JeTus 雪币： 87 活跃值： (41) 能力值： ( LV5，RANK：60 ) 在线值：发帖 6 回帖 33 粉丝 0 关注私信	JeTus 1 15 楼如果在这个地方hook的话，后面系统的更新估计也要随着改动了，前面那五个字节不错，貌似MS的各个版本都没变过。其实也可以考虑前面五个字节的前面 …… 不过我考虑的可能比较局限，还有很多要考虑的…… 想了下，还是没想出来那三个NOP的作用，没跟上大牛的步伐啊 2012-2-6 20:37 0
JeTus 雪币： 87 活跃值： (41) 能力值： ( LV5，RANK：60 ) 在线值：发帖 6 回帖 33 粉丝 0 关注私信	JeTus 1 16 楼三个妹纸 2012-2-6 20:40 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 17 楼 nop掉mov edi,esp是为了直接使用edi的值？合理的hook部分就是从 mov ebx,dword ptr [edi+eax4]之后到call ebx之前，但要过滤，最好保留edi值，而前面的部分被hookport占了，所以把mov edi,esp 这句放在过滤后面。呃，刚受JeTus提醒 8053d7ec 8b3f mov edi,dword ptr [edi] 8053d7ee 8b1c87 mov ebx,dword ptr [edi+eax4] 这里也可以hook，没太注意。KiFastCallEntry里的hook空间不多了啊~~ 2012-2-6 20:43 0
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 8 关注私信	Fypher 4 18 楼这个算不算一处神秘指令： SuperHook proc near arg_0= dword ptr 8 arg_4= dword ptr 0Ch arg_8= dword ptr 10h push ebp mov ebp, esp push edi push ebx push edx mov edi, [ebp+arg_0] mov eax, [edi] mov edx, [edi+4] mov ebx, [ebp+arg_4] mov ecx, [ebp+arg_8] mov edi, [ebp+arg_0] lock cmpxchg8b qword ptr [edi] pop edx pop ebx pop edi mov ebp, esp pop ebp retn 0Ch SuperHook endp 为了保证原子操作，使用了 lock cmpxchg8b 指令 2012-2-6 20:59 0
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 8 关注私信	Fypher 4 19 楼 ZMCPB是啥？ 2012-2-6 21:04 0
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 8 关注私信	Fypher 4 20 楼实际更改内存的函数如下： SuperHook proc near arg_0= dword ptr 8 arg_4= dword ptr 0Ch arg_8= dword ptr 10h push ebp mov ebp, esp push edi push ebx push edx mov edi, [ebp+arg_0] mov eax, [edi] mov edx, [edi+4] mov ebx, [ebp+arg_4] mov ecx, [ebp+arg_8] mov edi, [ebp+arg_0] lock cmpxchg8b qword ptr [edi] pop edx pop ebx pop edi mov ebp, esp pop ebp retn 0Ch SuperHook endp 将三个 nop 放在 jmp 前面莫非是为了设计SuperHook函数的调用接口？因为这样在任何地方需要调用 SuperHook 进行 hook 时可以统一这样来调用： SuperHook(dwHookPoint, 0xe9909090, dwOffSet); 其中 dwOffSet 就是从 dwHookPoint 要跳转到的相对偏移（dwOffSet = new - dwHookPoint - 8）。不知道这个原因对不对…… 2012-2-6 21:35 0
Diabloking 雪币： 350 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 117 粉丝 0 关注私信	Diabloking 21 楼那三个nop跟360有关吧....我猜 2012-2-7 02:07 0
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 8 关注私信	Fypher 4 22 楼也有可能是给360多腾点地方，万一360突然要用7字节jmp呢 2012-2-7 09:05 0
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 438 粉丝 5 关注私信	instruder 4 23 楼额多贴点 nt api的处理过程函数啊看看有没有啥xx没 2012-2-7 09:12 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 24 楼膜拜....坐等解释... 2012-2-7 09:45 0
莫灰灰雪币： 2284 活跃值： (2170) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 25 楼伟哥，亲。很久么见，想屎你啦。 2012-2-7 09:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Fypher

发帖

251

回帖

260

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (46) 1 2 ▶
MixDebug 雪币： 143 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 76 粉丝 0 关注私信	MixDebug 1 2 楼广告位出租~ 2012-2-6 17:57 0
futosky 雪币： 862 活跃值： (329) 能力值： ( LV9，RANK：165 ) 在线值：发帖 23 回帖 171 粉丝 1 关注私信	futosky 3 3 楼膜拜一个先，自己逆向烂啊 2012-2-6 18:13 0
古河雪币： 822 活跃值： (380) 能力值： ( LV12，RANK：310 ) 在线值：发帖 24 回帖 132 粉丝 35 关注私信	古河 6 4 楼漂亮的框架。。。和360的HookPort有什么区别 2012-2-6 18:55 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 5 楼其实只是分析了一点，没说出整体框架。还有为啥是 8053dbb6 90 nop 8053dbb7 90 nop 8053dbb8 90 nop 8053dbb9 e962170c77 jmp TsFltMgr+0x2320 (f75ff320) 前面3个NOP有神马好处 2012-2-6 19:11 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 6 楼占位围观！！ 2012-2-6 19:38 0
JeTus 雪币： 87 活跃值： (41) 能力值： ( LV5，RANK：60 ) 在线值：发帖 6 回帖 33 粉丝 0 关注私信	JeTus 1 7 楼前排膜拜大牛分析 2012-2-6 19:42 0
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 8 楼凑两个双字，猜测。sys现在也到ZMCPB打酱油了？ 2012-2-6 19:45 0
XSJS 雪币： 152 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 436 粉丝 1 关注私信	XSJS 9 楼数了下，就差两个人就全员到齐了 2012-2-6 19:46 0
phthegreat 雪币： 66 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 16 回帖 43 粉丝 1 关注私信	phthegreat 10 楼字母在LZ的帮助下向数字看齐了 2012-2-6 19:55 0
JeTus 雪币： 87 活跃值： (41) 能力值： ( LV5，RANK：60 ) 在线值：发帖 6 回帖 33 粉丝 0 关注私信	JeTus 1 11 楼凑俩字节可以放后面吧，猜不到 2012-2-6 19:56 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 12 楼 NO，前面3个NOP是有意图的 2012-2-6 19:59 0
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 13 楼还有二个神秘指令，等你挖掘下啊 2012-2-6 20:25 0
HitIt 雪币： 33 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 20 粉丝 0 关注私信	HitIt 14 楼 3个nop 意味着想要3个妹子，呵呵 2012-2-6 20:27 0
JeTus 雪币： 87 活跃值： (41) 能力值： ( LV5，RANK：60 ) 在线值：发帖 6 回帖 33 粉丝 0 关注私信	JeTus 1 15 楼如果在这个地方hook的话，后面系统的更新估计也要随着改动了，前面那五个字节不错，貌似MS的各个版本都没变过。其实也可以考虑前面五个字节的前面 …… 不过我考虑的可能比较局限，还有很多要考虑的…… 想了下，还是没想出来那三个NOP的作用，没跟上大牛的步伐啊 2012-2-6 20:37 0
JeTus 雪币： 87 活跃值： (41) 能力值： ( LV5，RANK：60 ) 在线值：发帖 6 回帖 33 粉丝 0 关注私信	JeTus 1 16 楼三个妹纸 2012-2-6 20:40 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 17 楼 nop掉mov edi,esp是为了直接使用edi的值？合理的hook部分就是从 mov ebx,dword ptr [edi+eax4]之后到call ebx之前，但要过滤，最好保留edi值，而前面的部分被hookport占了，所以把mov edi,esp 这句放在过滤后面。呃，刚受JeTus提醒 8053d7ec 8b3f mov edi,dword ptr [edi] 8053d7ee 8b1c87 mov ebx,dword ptr [edi+eax4] 这里也可以hook，没太注意。KiFastCallEntry里的hook空间不多了啊~~ 2012-2-6 20:43 0
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 8 关注私信	Fypher 4 18 楼这个算不算一处神秘指令： SuperHook proc near arg_0= dword ptr 8 arg_4= dword ptr 0Ch arg_8= dword ptr 10h push ebp mov ebp, esp push edi push ebx push edx mov edi, [ebp+arg_0] mov eax, [edi] mov edx, [edi+4] mov ebx, [ebp+arg_4] mov ecx, [ebp+arg_8] mov edi, [ebp+arg_0] lock cmpxchg8b qword ptr [edi] pop edx pop ebx pop edi mov ebp, esp pop ebp retn 0Ch SuperHook endp 为了保证原子操作，使用了 lock cmpxchg8b 指令 2012-2-6 20:59 0
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 8 关注私信	Fypher 4 19 楼 ZMCPB是啥？ 2012-2-6 21:04 0
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 8 关注私信	Fypher 4 20 楼实际更改内存的函数如下： SuperHook proc near arg_0= dword ptr 8 arg_4= dword ptr 0Ch arg_8= dword ptr 10h push ebp mov ebp, esp push edi push ebx push edx mov edi, [ebp+arg_0] mov eax, [edi] mov edx, [edi+4] mov ebx, [ebp+arg_4] mov ecx, [ebp+arg_8] mov edi, [ebp+arg_0] lock cmpxchg8b qword ptr [edi] pop edx pop ebx pop edi mov ebp, esp pop ebp retn 0Ch SuperHook endp 将三个 nop 放在 jmp 前面莫非是为了设计SuperHook函数的调用接口？因为这样在任何地方需要调用 SuperHook 进行 hook 时可以统一这样来调用： SuperHook(dwHookPoint, 0xe9909090, dwOffSet); 其中 dwOffSet 就是从 dwHookPoint 要跳转到的相对偏移（dwOffSet = new - dwHookPoint - 8）。不知道这个原因对不对…… 2012-2-6 21:35 0
Diabloking 雪币： 350 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 117 粉丝 0 关注私信	Diabloking 21 楼那三个nop跟360有关吧....我猜 2012-2-7 02:07 0
Fypher 雪币： 636 活跃值： (174) 能力值： ( LV9，RANK：260 ) 在线值：发帖 20 回帖 251 粉丝 8 关注私信	Fypher 4 22 楼也有可能是给360多腾点地方，万一360突然要用7字节jmp呢 2012-2-7 09:05 0
instruder 雪币： 146 活跃值： (182) 能力值： ( LV13，RANK：220 ) 在线值：发帖 37 回帖 438 粉丝 5 关注私信	instruder 4 23 楼额多贴点 nt api的处理过程函数啊看看有没有啥xx没 2012-2-7 09:12 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 24 楼膜拜....坐等解释... 2012-2-7 09:45 0
莫灰灰雪币： 2284 活跃值： (2170) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 25 楼伟哥，亲。很久么见，想屎你啦。 2012-2-7 09:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复