[原创]发一个支持任意地点hook的类(包含驱动hook和应用层hook)-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]发一个支持任意地点hook的类(包含驱动hook和应用层hook)

发表于: 2013-3-3 23:58 26401

[原创]发一个支持任意地点hook的类(包含驱动hook和应用层hook)

liuqiangni 活跃值

2013-3-3 23:58

26401

这是以前练习写驱动类的一个产物,  有点早了,很简单.
写这个类也是方便自己绕过某些驱动的保护钩子.  当然这个也只支持x86, 没有做x64的拓展. 因为只是方便自己不需要每次都copy一大堆代码;
如果需要x64的拓展的,可以参考detours 或者是 EasyHook. 比较好的是EasyHook提供了驱动的hook;

貌似关于驱动写类论坛上比较少, 对于驱动,大家更倾向于直接用c写, 而不喜欢用c++写;  其实遇到大的工程,用c++有很多好处,而且微软也是有c++写驱动类的例子的.

废话不多说:
关于驱动的,啰嗦一句, 不能定义全局的驱动对象, 具体为什么不能大家就自己baidu或者google;

直接上代码,代码里提供了例子;hook NtOpenProcess 和 NtReadVirtualMemory
驱动部分Hook.zip

应用层的:
应用层hook.zip

比较简单, 高手飘过. 这里只是给一个例子

//KernelDetours.h
#pragma once
#include <ntddk.h>
#include "ldasm.h"
//保存5字节代码的结构
#pragma pack(1)
typedef struct _TOP5CODE
{
	UCHAR  instruction;  //指令
	ULONG  address;    //地址
}TOP5CODE,*PTOP5CODE;
#pragma pack()



#ifdef __cplusplus
extern "C" {
#endif
class CKernelDetours
{
public:
	CKernelDetours();
	~CKernelDetours();

	BOOLEAN Hook(ULONG HookAddr,PULONG NakedFunc);
	void UnHook();
	void __stdcall CallJmpBack();

protected:
	VOID WPOFF();
	VOID WPON();

private:
	UCHAR m_Bak[5];
	ULONG m_hookAddr;
	ULONG m_HookCodeLen;//被hook指令的长度

	ULONG m_OldProtect;
	BOOLEAN  m_bHookSuccess;
	KIRQL  Irql;

	PVOID m_detoursFunc;//这个地方呢,是动态生成的. 他是保存hook前的指令, 可以执行到这里然后跳转到原函数下面继续执行

public:
	static void __cdecl operator delete(void* pointer) { ASSERT(NULL != pointer); if (NULL != pointer) ExFreePool(pointer); }
	static void * __cdecl operator new(size_t iSize,POOL_TYPE PoolType,unsigned int tag) {
		KdPrint(("global operator new --  Allocate size :%d \n",iSize));
		PVOID result; // [sp+0h] [bp-4h]@1
		result = ExAllocatePoolWithTag(PoolType, iSize, tag);
		if ( result )
			memset(result, 0, iSize);
		return result;
	}


};



#ifdef __cplusplus
}; // extern "C"
#endif


//KernelDetours.cpp
#include "KernelDetours.h"

#define  TAG 'liuq'


CKernelDetours::CKernelDetours(void)
{
	RtlZeroMemory(m_Bak,0,6);
	m_hookAddr =0;
	m_OldProtect = 0;
	m_bHookSuccess = FALSE;
	m_HookCodeLen = 0;
	m_detoursFunc = NULL;
	m_detoursFunc = ExAllocatePoolWithQuotaTag(NonPagedPool,0x50,TAG);
	memset(m_detoursFunc,0x90,0x50);
	KdPrint(("Enter CKernelDetours::CKernelDetours(void)   m_detoursFunc: %x",(ULONG)m_detoursFunc));
}

CKernelDetours::~CKernelDetours(void)
{
// if (m_bHookSuccess)
// {
// 	UnHook();
// }
KdPrint(("Enter CKernelDetours::~CKernelDetours(void)"));
}

void CKernelDetours::WPOFF()
{		//清除页面保护
	__asm
	{
			cli
			mov eax,cr0
			and eax,not 10000h
			mov cr0,eax
	}
}

void CKernelDetours::WPON()
{	//恢复页面保护
	__asm
	{
			mov eax,cr0
			or eax,10000h
			mov cr0,eax
			sti
	}
}


void CKernelDetours::UnHook()
{
	if (m_bHookSuccess)
	{
		ULONG a = m_hookAddr;
		WPOFF();
		Irql = KeRaiseIrqlToDpcLevel();
		RtlCopyMemory((void*)a,m_Bak,5);
		KeLowerIrql(Irql);
		WPON();

		m_bHookSuccess =FALSE;
	}
	if (m_detoursFunc != NULL)
	{
		KdPrint(("ExFreePoolWithTag(m_detoursFunc,TAG);"));
		ExFreePoolWithTag(m_detoursFunc,TAG);
		m_detoursFunc  =  NULL;
	}
}

BOOLEAN CKernelDetours::Hook(ULONG HookAddr,PULONG NakedFunc)
{
	if(m_bHookSuccess || NakedFunc==NULL || HookAddr == NULL)
	{
		return FALSE;
	}
	m_hookAddr = HookAddr; //保存被hook的地址
	unsigned char jmp[6]  ={0xe9};
	jmp[5] = 0x90;


	PUCHAR pcode = NULL;
	ULONG codelen =0;
	ULONG uSumCodeLen = 0;
	BOOLEAN bFind = FALSE;
	for (int j =0; j<0x30; j+=codelen)
	{
		codelen = 	SizeOfCode((void*)(HookAddr+j),&pcode);
		uSumCodeLen+=codelen;//计算总长度
		if (uSumCodeLen>=5)
		{
			bFind =TRUE; 
			break;
		}
	}

	if (!bFind)
	{
		KdPrint((" I'm sorry, Can Not Find Right Place to Hook\n"));
		return FALSE;
	}
	
	m_HookCodeLen = uSumCodeLen; //保存这个长度

	ULONG  JmpBack= HookAddr + uSumCodeLen;
	ULONG jmpDetoursAddr = ((ULONG)m_detoursFunc + uSumCodeLen);//在detours函数跳转到hook的地方
	ULONG b = JmpBack - jmpDetoursAddr  - 5;
	*(ULONG *)(jmp+1) = b;

	WPOFF();
	Irql = KeRaiseIrqlToDpcLevel();
	RtlCopyMemory((void*)m_detoursFunc,(void*)HookAddr,uSumCodeLen); //把这些数据保存到detours 函数里面,//然后在后面写上 jmp (HookAddr+uSumCodeLen)
	RtlCopyMemory((void*)jmpDetoursAddr,jmp,5);
	KeLowerIrql(Irql);
	WPON();

	ULONG a = HookAddr;  //hook的地址
	 b = (ULONG)NakedFunc - a - 5;
	*(ULONG *)(jmp+1) = b;
	
	
	RtlCopyMemory((void*)m_Bak,(void*)a,5);//保存hook的地方

	WPOFF();
	Irql = KeRaiseIrqlToDpcLevel();
	RtlCopyMemory((void*)a,jmp,5);
	KeLowerIrql(Irql);
	WPON();
	m_bHookSuccess = TRUE;
	return TRUE;
}



void CKernelDetours::CallJmpBack()
{
/*
__asm
{
	push ebp
	mov ebp,esp
	sub,esp,8
}*/

ULONG ebp1 = (ULONG)m_detoursFunc;
__asm
{
	mov eax,ebp1
	mov esp,ebp
	pop ebp
	add esp,8  ;//这里会有一个变量的堆栈空间 + 一个this指针的参数
	jmp eax
}

/*
__asm 
{
	mov esp,ebp
	pop ebp
	retn 4
}*/

}

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

驱动部分Hook.zip （24.01kb，635次下载）
应用层hook.zip （206.10kb，878次下载）

收藏・75

免费・6

支持

最新回复 (23)
yyyang 雪币： 822 活跃值： (279) 能力值： ( LV3，RANK：30 ) 在线值：发帖 17 回帖 86 粉丝 0 关注私信	yyyang 2 楼下来看看学习学习 2013-3-4 09:55 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 3 楼 thanks for share 2013-3-4 09:56 0
目标无敌雪币： 1587 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 44 粉丝 0 关注私信	目标无敌 4 楼非常感谢 2013-3-4 10:25 0
鹿剑雪币： 284 活跃值： (106) 能力值： ( LV9，RANK：160 ) 在线值：发帖 24 回帖 187 粉丝 1 关注私信	鹿剑 3 5 楼楼主的new不行啊，都没有看到调用构造函数诶 2013-3-4 21:27 0
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 32 回帖 436 粉丝 2 关注私信	liuqiangni 2 6 楼没调用?不会吧,应该有打印输出吧! global operator new -- Allocate size :28 Enter CKernelDetours::CKernelDetours(void) m_detoursFunc: 814c3040NtOpenProcess Addr 0x805cc3fc global operator new -- Allocate size :28 Enter CKernelDetours::CKernelDetours(void) m_detoursFunc: 81730008NtReadVirtualMem Addr 0x805b528a 访问OPenProcess的进程名为 svchost.exe 访问OPenProcess的进程名为 Dbgview.exe 访问OPenProcess的进程名为 InstDrv.exe 访问OPenProcess的进程名为 Dbgview.exe 访问OPenProcess的进程名为 svchost.exe 这部分是卸载的时候析构函数调用打印的调试信息! ExFreePoolWithTag(m_detoursFunc,TAG); Enter CKernelDetours::~CKernelDetours(void) ExFreePoolWithTag(m_detoursFunc,TAG); Enter CKernelDetours::~CKernelDetours(void) 2013-3-4 22:37 0
safeboy 雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 136 粉丝 0 关注私信	safeboy 7 楼好贴，前排留名，学习了 2013-3-6 14:28 0
tianyahai 雪币： 270 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 1 关注私信	tianyahai 8 楼谢谢共享，学习学习！ 2013-3-6 14:37 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 9 楼是不是要考虑一下函数头包含相对跳转指令的情况？ 2013-3-7 10:37 0
appview 雪币： 745 活跃值： (3823) 能力值： ( LV3，RANK：20 ) 在线值：发帖 12 回帖 200 粉丝 1 关注私信	appview 10 楼学习下，谢谢分享 2013-3-7 14:41 0
宁妖雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 7 粉丝 0 关注私信	宁妖 11 楼楼主这种inline hook在搞频繁调用的函数，如IoCallDriver，很容易蓝屏的吧~建议利用微软的热补丁做，还是很稳定的，既可做好多核，也可做好多线程的保护，做法如，在待挂钩目标前后1字节寻址范围内搜索5个nop指令~如果是x64，可以在1字节寻址范围内搜索6+8个nop指令，我自己的inlinehook引擎就是这么做的，还是相当稳定的，仅供楼主参考 2013-3-8 17:14 0
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 32 回帖 436 粉丝 2 关注私信	liuqiangni 2 12 楼多谢提醒, 其实当时写这个仅仅是方便绕过某些游戏的保护钩子, 纯粹是自用而已,不打算考虑这么多. 就是一句话,简单能用就ok; 2013-3-8 20:18 0
su汪妮雪币： 65 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 158 粉丝 0 关注私信	su汪妮 13 楼哦，哦，原来如此 2013-3-9 16:26 0
linhanshi 雪币： 97697 活跃值： (200829) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27947 粉丝 453 关注私信	linhanshi 14 楼 Thanks for share. 2013-3-10 14:17 0
落叶随风雪币： 214 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	落叶随风 15 楼原来的参数怎么取呢？堆栈变了。。 2013-12-30 20:49 0
iceway 雪币： 19 活跃值： (1086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 16 楼求代码求代码 2014-1-7 18:14 0
nfgfgo 雪币： 130 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 124 粉丝 0 关注私信	nfgfgo 17 楼我记得有位高人的INLINEHOOK PUSH_DATA_ARG那才叫爽完全忽视跳转如果要跳到其他地方修改返回地址中间可以HOOK 完全实现代码自管理遇到跳转也可以HOOK 2014-1-7 19:07 0
ling林雪币： 110 活跃值： (308) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 105 粉丝 0 关注私信	ling林 18 楼弱弱地问一下: 刚看了你用户层的hook代码，你是直接把hook程序都放到了测试程序中了。在我们实际分析程序的时候，是不是需要将hook代码写到一个dll中，然后注入到目标程序中？还是有其它用法？ 2014-1-7 22:37 0
yllen 雪币： 1258 活跃值： (1434) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 159 粉丝 0 关注私信	yllen 19 楼 mark ,收藏下！ 2014-1-7 23:03 0
cqzj70 雪币： 77 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 325 粉丝 0 关注私信	cqzj70 20 楼 mark 2014-1-22 08:18 0
ueoboy 雪币： 455 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 7 粉丝 0 关注私信	ueoboy 21 楼下来学习学习 2014-1-22 16:29 0
zfdyq 雪币： 294 活跃值： (119) 能力值： ( LV5，RANK：70 ) 在线值：发帖 16 回帖 186 粉丝 8 关注私信	zfdyq 1 22 楼 mark 2014-5-2 21:43 0
yber 雪币： 9 活跃值： (180) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 157 粉丝 0 关注私信	yber 23 楼 g_p->CallJmpBack中没有恢复原来的寄存器，导致继续执行原函数时候错误 2018-6-8 14:21 0
小青峰雪币： 160 活跃值： (162) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 34 粉丝 1 关注私信	小青峰 24 楼 calljmpBack一直出错 2020-9-24 16:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

liuqiangni

发帖

436

回帖

130

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (23)
yyyang 雪币： 822 活跃值： (279) 能力值： ( LV3，RANK：30 ) 在线值：发帖 17 回帖 86 粉丝 0 关注私信	yyyang 2 楼下来看看学习学习 2013-3-4 09:55 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 3 楼 thanks for share 2013-3-4 09:56 0
目标无敌雪币： 1587 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 44 粉丝 0 关注私信	目标无敌 4 楼非常感谢 2013-3-4 10:25 0
鹿剑雪币： 284 活跃值： (106) 能力值： ( LV9，RANK：160 ) 在线值：发帖 24 回帖 187 粉丝 1 关注私信	鹿剑 3 5 楼楼主的new不行啊，都没有看到调用构造函数诶 2013-3-4 21:27 0
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 32 回帖 436 粉丝 2 关注私信	liuqiangni 2 6 楼没调用?不会吧,应该有打印输出吧! global operator new -- Allocate size :28 Enter CKernelDetours::CKernelDetours(void) m_detoursFunc: 814c3040NtOpenProcess Addr 0x805cc3fc global operator new -- Allocate size :28 Enter CKernelDetours::CKernelDetours(void) m_detoursFunc: 81730008NtReadVirtualMem Addr 0x805b528a 访问OPenProcess的进程名为 svchost.exe 访问OPenProcess的进程名为 Dbgview.exe 访问OPenProcess的进程名为 InstDrv.exe 访问OPenProcess的进程名为 Dbgview.exe 访问OPenProcess的进程名为 svchost.exe 这部分是卸载的时候析构函数调用打印的调试信息! ExFreePoolWithTag(m_detoursFunc,TAG); Enter CKernelDetours::~CKernelDetours(void) ExFreePoolWithTag(m_detoursFunc,TAG); Enter CKernelDetours::~CKernelDetours(void) 2013-3-4 22:37 0
safeboy 雪币： 12 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 136 粉丝 0 关注私信	safeboy 7 楼好贴，前排留名，学习了 2013-3-6 14:28 0
tianyahai 雪币： 270 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 1 关注私信	tianyahai 8 楼谢谢共享，学习学习！ 2013-3-6 14:37 0
hackerlzc 雪币： 1689 活跃值： (379) 能力值： ( LV15，RANK：440 ) 在线值：发帖 33 回帖 613 粉丝 16 关注私信	hackerlzc 10 9 楼是不是要考虑一下函数头包含相对跳转指令的情况？ 2013-3-7 10:37 0
appview 雪币： 745 活跃值： (3823) 能力值： ( LV3，RANK：20 ) 在线值：发帖 12 回帖 200 粉丝 1 关注私信	appview 10 楼学习下，谢谢分享 2013-3-7 14:41 0
宁妖雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 7 粉丝 0 关注私信	宁妖 11 楼楼主这种inline hook在搞频繁调用的函数，如IoCallDriver，很容易蓝屏的吧~建议利用微软的热补丁做，还是很稳定的，既可做好多核，也可做好多线程的保护，做法如，在待挂钩目标前后1字节寻址范围内搜索5个nop指令~如果是x64，可以在1字节寻址范围内搜索6+8个nop指令，我自己的inlinehook引擎就是这么做的，还是相当稳定的，仅供楼主参考 2013-3-8 17:14 0
liuqiangni 雪币： 69 活跃值： (157) 能力值： ( LV8，RANK：130 ) 在线值：发帖 32 回帖 436 粉丝 2 关注私信	liuqiangni 2 12 楼多谢提醒, 其实当时写这个仅仅是方便绕过某些游戏的保护钩子, 纯粹是自用而已,不打算考虑这么多. 就是一句话,简单能用就ok; 2013-3-8 20:18 0
su汪妮雪币： 65 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 158 粉丝 0 关注私信	su汪妮 13 楼哦，哦，原来如此 2013-3-9 16:26 0
linhanshi 雪币： 97697 活跃值： (200829) 能力值： (RANK：10 ) 在线值：发帖 9249 回帖 27947 粉丝 453 关注私信	linhanshi 14 楼 Thanks for share. 2013-3-10 14:17 0
落叶随风雪币： 214 活跃值： (55) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	落叶随风 15 楼原来的参数怎么取呢？堆栈变了。。 2013-12-30 20:49 0
iceway 雪币： 19 活跃值： (1086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 16 楼求代码求代码 2014-1-7 18:14 0
nfgfgo 雪币： 130 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 124 粉丝 0 关注私信	nfgfgo 17 楼我记得有位高人的INLINEHOOK PUSH_DATA_ARG那才叫爽完全忽视跳转如果要跳到其他地方修改返回地址中间可以HOOK 完全实现代码自管理遇到跳转也可以HOOK 2014-1-7 19:07 0
ling林雪币： 110 活跃值： (308) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 105 粉丝 0 关注私信	ling林 18 楼弱弱地问一下: 刚看了你用户层的hook代码，你是直接把hook程序都放到了测试程序中了。在我们实际分析程序的时候，是不是需要将hook代码写到一个dll中，然后注入到目标程序中？还是有其它用法？ 2014-1-7 22:37 0
yllen 雪币： 1258 活跃值： (1434) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 159 粉丝 0 关注私信	yllen 19 楼 mark ,收藏下！ 2014-1-7 23:03 0
cqzj70 雪币： 77 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 325 粉丝 0 关注私信	cqzj70 20 楼 mark 2014-1-22 08:18 0
ueoboy 雪币： 455 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 7 粉丝 0 关注私信	ueoboy 21 楼下来学习学习 2014-1-22 16:29 0
zfdyq 雪币： 294 活跃值： (119) 能力值： ( LV5，RANK：70 ) 在线值：发帖 16 回帖 186 粉丝 8 关注私信	zfdyq 1 22 楼 mark 2014-5-2 21:43 0
yber 雪币： 9 活跃值： (180) 能力值： ( LV6，RANK：90 ) 在线值：发帖 3 回帖 157 粉丝 0 关注私信	yber 23 楼 g_p->CallJmpBack中没有恢复原来的寄存器，导致继续执行原函数时候错误 2018-6-8 14:21 0
小青峰雪币： 160 活跃值： (162) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 34 粉丝 1 关注私信	小青峰 24 楼 calljmpBack一直出错 2020-9-24 16:54 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复