首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 求助问答
    3. 发新帖
未解决 [求助]内核Hook函数 在KeStackAttachProcess时无法读写指针参数
发表于: 2024-5-9 00:17 2335

未解决 [求助]内核Hook函数 在KeStackAttachProcess时无法读写指针参数

mb_owiqdaph 活跃值
2024-5-9 00:17
2335

这两天在研究通过Hook内核Nt函数进行通讯

发现当我在

KeStackAttachProcess()

KeStackAttachProcess()

这两个函数之间读/写参数指针(req),会导致蓝屏崩溃

不知道有没有大牛知道这是为什么导致的,我之前用IO通讯的时候则没有这个问题,可以在任意位置读写

目前的解决方案是在进入挂靠之前定义临时变量存储要从参数指针(req)读取的值,出了挂靠之后再对参数指针(req)进行操作
虽然不大影响但是有点膈应,怕以后不小心就蓝了忘记这茬

以下是代码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
NTSTATUS hk_NtUserShowSystemCursor(Reqest* req)
{
    if (req == NULL || req->signature == NULL) {
        LOG_INFO("return originFunc 1\n");
        return oNtUserShowSystemCursor();
    }
 
    if (req->signature == 0xAB505) {
        LOG_INFO("into communicate\n");
        req->succeed = false;
        switch (req->type)
        {
        case 001:
            GetMoudleInfo * moudleInput = (GetMoudleInfo*)req->data;
 
            PEPROCESS process;
            KAPC_STATE ApcState;
 
            if (NT_SUCCESS(PsLookupProcessByProcessId((HANDLE)moudleInput->pid, &process)) && (PsGetProcessExitStatus(process) == STATUS_PENDING)) {
 
                UNICODE_STRING unicodeStr = { 0 };
                ANSI_STRING ansiStr;
                RtlInitAnsiString(&ansiStr, moudleInput->moudleName);
                RtlAnsiStringToUnicodeString(&unicodeStr, &ansiStr, TRUE);
 
                BOOLEAN IsWow64 = (PsGetProcessWow64Process(process) != NULL) ? TRUE : FALSE;
 
                if (MmIsAddressValid(process)) {
 
                    KeStackAttachProcess((PRKPROCESS)process, &ApcState);
 
                    ULONG moduleSize = 0;
                    PVOID addr = GetUserModuleInfo(process, &unicodeStr, IsWow64, &moduleSize);
 
                    LOG_INFO("moduleSize: %d\n", moduleSize);
                    LOG_INFO("moduleAddr: %p\n", addr);
 
                    KeUnstackDetachProcess(&ApcState);
 
                    //必须在KeUnstackDetachProcess()之后 或者KeStackAttachProcess()之前读/写参数指针 不然会蓝屏
                    moudleInput->moudleBaseAddress = addr;
                    moudleInput->moudleSize = moduleSize;
                    req->succeed = true;
                    LOG_INFO("set\n");
                }
                RtlFreeUnicodeString(&unicodeStr);
                ObDereferenceObject(process);
            }
            break;
        }
    }
    else {
        LOG_INFO("return originFunc 2\n");
        return oNtUserShowSystemCursor();
    }
}

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (5)
R0g
雪    币: 1206
活跃值: (4802)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
2
req不在全局页面,是用户层过来的参数吧
2024-5-9 00:19
0
mb_owiqdaph
雪    币: 2
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
3
是的 在R3调用这个函数
2024-5-9 00:21
0
sidyhe
雪    币: 2161
活跃值: (750)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
私信
4
切进程就会切页表, R0地址所有进程共享, R3地址仅限当前进程

解决方法
1. 像你这样在内核态做次拷贝
2. 使用MDL把此内存重新映射为内核地址, 再切
2024-5-9 10:24
0
mb_owiqdaph
雪    币: 2
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
5
sidyhe 切进程就会切页表, R0地址所有进程共享, R3地址仅限当前进程 解决方法 1. 像你这样在内核态做次拷贝 2. 使用MDL把此内存重新映射为内核地址, 再切
懂了 感谢大牛 看起来第二种更吃力且麻烦 还是用次拷贝吧
2024-5-9 13:08
0
逆向爱好者
雪    币: 1742
活跃值: (4828)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
6
oudleinput这个指针哪来的
2024-5-16 10:29
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
// // 统计代码