问题阐述:
我需要在全局级别挂接某一函数,这个函数是DeviceIoControl。
我尝试了以下方法:
1 --r3级Inline Hook Kernel32.然后替换系统文件。
在Kernel32,的入口处加LoadLibarayA.让它加载我的Hook Dll。
--------这种方法是完全行不通的,目前尚没仔细去分析原因。大概可能是一个先有鸡,还是先有蛋的问题。
2--通过r3级hook CreateProcess,然后置换cmd Line启动我的Loader.
这种方法不可以实现全局了。
目前我打算从r0级别Hook了。
不清楚以下几个问题:
1.NtDeviceIoControlFile----这个ssdt函数,是否是Kernel32的DeviceIoControl的xxx.
2.实际上,我想找个最佳启动Hook点。也就是最好系统刚刚加载ntosknrl.exe的时候,我就去把它Hook了。
3.在R3下,我只跟的到服务号,比如deviceIoControl,我怎么才可以知道它所对应的r0的函数呢?
------------
其实最好,能够想当一种办法,在r3上就全局挂接了,如果我想通过修改kernel32,在它被加载的时候立刻加载我。在DllMain的什么地方才会不出问题呢?
ret的时候?---ret的时候初使化就完了。
[招生]系统0day安全班,企业级设备固件漏洞挖掘,Linux平台漏洞挖掘!
