-
-
[原创]重载内核全程分析笔记
-
发表于: 2013-8-20 20:19
-
还记得七夕的那几天,老V率先把AGP的源码发布出来,然后是EasyDebugger的源码出土,后面陆续有很多大牛把珍藏已久的代码拿出来晒太阳,那段疯狂的日子,让看雪论坛都面临崩溃的边缘。折腾了大半天,终于把代码都下载下来了,可是下载下来做什么呢,自己连看都看不懂。
于是,带着激动而又郁闷的心情继续学习内核编程。
由于是初学者,很多时候也有不清楚的地方,若下文中有什么地方理解有误,还请大牛多多指正,
文中所写代码参考自
看雪论坛大牛 和 梦织未来论坛大牛
好了,进入正题吧,继续看我的废话。
重载内核内容:
1、 将内核文件加载到内存
2、 进行基址重定位
3、 重定位ssdt结构
4、 Hook KiFastCallEntry,让RING3进程调用走新内核
下面一步一步的进行分析
1、 加载内核文件
我们要加载哪一个文件呢?答案是:ntkrnlpa.exe,我测试的系统的XP sp3,该文件所在目录为C:\WINDOWS\system32\ntkrnlpa.exe。加载文件要一部分一部分的加载,因为硬盘上的文件对齐方式与在内存中文件的对齐方式不同,所以如果你直接申请一块内存,然后把整个磁盘文件加载进去,那肯定是不对的,我们要按照PE结构一块块的进行加载。具体加载顺序是:IMAGE_DOS_HEADER,IMAGE_NT_HEADER,IMAGE_SECTION_HEADER,最后是把各区段的内容加载进去。加载过程中用到的内核函数有:打开文件:ZwCreateFile,初始化ZwCreateFile中的一个参数:IninializeObjectAttributes,读取文件内容:ZwReadFile,分配内存空间:ExAllocatePool,释放内存空间:ExFreePool,关闭句柄:ZwClose。
由于这段代码比较简单,又有很多地方是做重复性的工作,这里就不贴上来讲解了,具体请大家下载源码进行分析吧。如有不懂的请回帖交流。
这段代码写完了,有什么用呢?加载PE文件这事,不像写helloworld,写Helloworld,写完了一运行,至少能看到一句话吧,可是LoadPe这事,在哪去看效果呢?如果代码中有错误,我们怎么知道有没有正确运行,光凭代码中的Kdprint打印信息是不够的。既然是内核程序,我们就可以通过windbg来查看,方法是:
随便找一个不是ssdt的函数(ssdt后面再说),如:IoCreateFile,打开windbg,输入lkd>u IoCreateFile l a,会看到一段汇编代码,获取第一句汇编代码的地址,如我这里是0x8056cc7e,再用xuetr看到的模块加载地址是0x804D8000,偏移=0x8056cc7e-0x804D8000=0x94C7E;再将debugview上打印出来的我们新加载的内核的首地址找到,加上这个偏移,我得到的是0x85BB0000,用windbg查看 lkd>u 85C44C7E l a
效果如图: 
如果看到与图中相似的画面,也就是说和原来内核的代码几乎一样,那就说明加载内核文件成功了。
为什么说几乎一样呢?请看图中用红色线框标记的部分,原来的内核直接能够识别出一个全局变量名,而我们新载入的内核却只能看到一个数字。这是什么原因呢?要解决这个问题,就需要进行重载内核第二步,基址重定位。
2、 基址重定位
基址重定位的目的我们已经知道了,那具体该怎么做呢?微软在PE结构中已经有一个表定义了需要重定位的一些数据,就是重定位表,我们只需要修改里面的数据就可以了。现在的问题是如何修改。我们修改的目的是让新内核使用到正确的数据,来看看重定位表的数据结构:
typedef struct _IMAGE_BASE_RELOCATION {
ULONG VirtualAddress;
ULONG SizeOfBlock;
USHORT TypeOffset[1];
} IMAGE_BASE_RELOCATION;
第一个数据是相对地址,第二个数据是整个数据结构的大小,第三个数据就是要修改的地方了。
第三个数据是一个USHORT结构,包含两字节,高四位用于表示该数据的属性,我们这里要判断是否等于3,因为只有等于3的数据才是需要重定位的地址。我们将后12位取出来,再与新地址的首地址相加,得到一个实际的地址。得到这个实际地址后,这个地址的数据还并不是想要得到的数据,我们还要加上一个偏移,这个偏移就得用原内核的模块首地址减去imagebase,这样就可以正确定位了。
参考代码如下:
void FixBaseRelocTable(PVOID pNewImage)
{
//将新内核地址作为一个PE文件头,依次向下,目的是寻找重定位表结构
pImageDosHeader=(PIMAGE_DOS_HEADER)pNewImage;
//定位到IMAGE_NT_HEADER
pImageNtHeader=(PIMAGE_NT_HEADERS)((ULONG)pNewImage+pImageDosHeader->e_lfanew);
//获取内核文件的imagebase,以便后面做偏移修改。
OriginalImageBase=pImageNtHeader->OptionalHeader.ImageBase;
//定位到数据目录
ImageDataDirectory = pImageNtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC];
//定位到重定位表结构
pImageBaseRelocation = (PIMAGE_BASE_RELOCATION)(ImageDataDirectory.VirtualAddress + (ULONG)pNewImage);
if (pImageBaseRelocation==NULL)
{
return;
}
while (pImageBaseRelocation->SizeOfBlock)
{ //计算需要修改的地址的个数
uRelocTableSize=(pImageBaseRelocation->SizeOfBlock-8)/2;
//循环遍历
for (uIndex=0;uIndex<uRelocTableSize;uIndex++)
{//判断高4位是否等于3
Type=pImageBaseRelocation->TypeOffset[uIndex]>>12;
if (Type==3)
{
//修改地址,相对地址加上一个新内核地址,使其成为一个实际地址
uRelocAddress=(ULONG *)((ULONG)(pImageBaseRelocation->TypeOffset[uIndex]&0x0fff)+pImageBaseRelocation->VirtualAddress+(ULONG)pNewImage);
//再加上内核首地址到imagebase的偏移
*uRelocAddress=*uRelocAddress+(OrigImage-OriginalImageBase);
}
}
//进行下一个重定位表的修改
pImageBaseRelocation=(IMAGE_BASE_RELOCATION *)((ULONG)pImageBaseRelocation+pImageBaseRelocation->SizeOfBlock);
}
}
VOID SetNewSSDT(PVOID pNewImage)
{
ULONG uIndex;
ULONG uNewKernelInc,uOffset;
//新内核地址-老内核地址,得到相对偏移
uNewKernelInc = (ULONG)pNewImage -OrigImage;
//老内核的ssdt指针加上相对偏移,得到新内核的ssdt指针
pNewSSDT = (ServiceDescriptorTableEntry_t *)((ULONG)&KeServiceDescriptorTable + uNewKernelInc);
if (!MmIsAddressValid(pNewSSDT))
{
KdPrint(("pNewSSDT is unaviable!"));
return;
}
//由于数量是一个数值,因此不必作相对偏移
pNewSSDT->NumberOfServices = KeServiceDescriptorTable.NumberOfServices;
//计算相对函数地址
uOffset = (ULONG)KeServiceDescriptorTable.ServiceTableBase -OrigImage;
//得到新的ssdt函数表地址
pNewSSDT->ServiceTableBase = (unsigned int*)((ULONG)pNewImage + uOffset);
if (!MmIsAddressValid(pNewSSDT->ServiceTableBase))
{
KdPrint(("pNewSSDT->ServiceTableBase: %X",pNewSSDT->ServiceTableBase));
return;
}
//依次遍历
for (uIndex = 0;uIndex<pNewSSDT->NumberOfServices;uIndex++)
{//新的函数地址再加上相对加载地址,得到现在的ssdt函数地址
pNewSSDT->ServiceTableBase[uIndex] += uNewKernelInc;
}
}
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
|
|
 +1
|
|
|
不错
|
|
|
看不懂和初学者都能分析的这么多,我看我还是别活了
|
|
|
|
|
|
|
|
|
|
|
|
~~~
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
老V都来了,感到莫大的荣幸
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
大牛见笑了
|
|
|
  很不错~ 动动手都是好事情~
|
|
|
|
|
|
|
|
|
|
