Windows内核实验005 Inline Hook
文章目錄
- 準備工作
- 尋找Inline Hook的返回地址
- 編寫代碼
- 動態變化的返回地址
- JmpTargetAddr
- Inline Hook基本框架
- 示例代碼
- 實戰HOOK KiTrap01
- 無需計算偏移的Inline Hook方法
- 示例代碼
準備工作
尋找Inline Hook的返回地址
假設我們現在要HOOK KiFastCallEntry這個內核函數,讓所有的程序在進入零環之前先跳到我們自己的代碼。
但是會出現一個問題,我們可以從三環的地址跳到零環的地址空間,因為內核層的2GB內存是系統共用的。但是在Inline Hook返回的時候,是無法從零環返回到三環的。用戶層的2GB空間每個進程都有一份,而這個函數會被所有進程頻繁調用。
如果返回的時候,別的進程在調用這個函數,那么Inline Hook就會跳到那個進程的地址空間。
既然不能用三環的地址,那就只能找一塊比較穩定的零環的內存區域讓它返回。為了讓代碼減少不確定性,我們可以用GDTR中的未使用的內存區域。
接著用windbg查看一下gdt表
我們就使用80b95120這塊未使用的GDT表的位置來存放hook的返回地址。在使用之前,需要先確認一下內存屬性是否是可讀可寫可執行。
kd> !pte 80b95120VA 80b95120 PDE at C0602028 PTE at C0405CA8 contains 0000000000193063 contains 0000000000B95163 pfn 193 ---DA--KWEV pfn b95 -G-DA--KWEV可以看到這塊內存目前是可讀可寫可執行的。
那么我們就可以將自己的代碼復制到這塊內存空間中,然后讓KiFastCallEntry跳轉到80b95120的位置執行自己的代碼,執行完成之后再返回。
編寫代碼
首先查看一下_KiFastCallEntry的函數地址(我的pdb符號文件下載失敗,只能用windbg看要掛鉤的函數地址了)
kd> x nt!_KiFastCallEntry 83e7c0c0 nt!KiFastCallEntry (<no parameter info>)接著查看一下反匯編
kd> u 83e7c0c0 nt!KiFastCallEntry: 83e7c0c0 b923000000 mov ecx,23h 83e7c0c5 6a30 push 30h 83e7c0c7 0fa1 pop fs 83e7c0c9 8ed9 mov ds,cx 83e7c0cb 8ec1 mov es,cx 83e7c0cd 648b0d40000000 mov ecx,dword ptr fs:[40h] 83e7c0d4 8b6104 mov esp,dword ptr [ecx+4] 83e7c0d7 6a23 push 23h可以發現第一行剛好是五個字節,那么我們就可以在這里下鉤子跳轉到之前準備好的地址,然后再跳回到下一行地址83e7c0c5處
接著我們來計算偏移,用要跳轉的目標地址83e7c0c5減去起始地址80b95120再減5=0x32E6FA0
接著準備一個數組,將準備好的數據放進數組里,然后拷貝到GDT表的跳轉地址中
char code[64] = {0xb9,0x23,0x00,0x00,0x00, //mov ecx,23h0xE9,0xA0,0x6F,0x2E,0x03 //E9 0x32E6FA0 };然后我們還需要知道code數組的地址,直接在VS中下斷點查看即可。我這里的code數組的地址是0x403018。接著將數組循環拷貝到要HOOK的目標地址中。
p = (char*)0x80b95120;for (i=0;i<10;i++){*p = code[i];p++;}動態變化的返回地址
接著我們運行寫好的程序,然后查看一下被修改地址處的反匯編
kd> u 80b95120 80b95120 b923000000 mov ecx,23h 80b95125 e9a06f2e03 jmp nt!KiFastCallEntry+0xa (83e7c0ca) 80b9512a b980000000 mov ecx,80h 80b9512f 0038 add byte ptr [eax],bh 80b95131 51 push ecx 80b95132 b980000000 mov ecx,80h 80b95137 004051 add byte ptr [eax+51h],al 80b9513a b980000000 mov ecx,80h //起始地址(GDT表空閑地址):80b95120 //HOOK的函數地址(KiFastCallEntry):0x83e7c0c0 //返回地址:83e7c0c5我們發現mov ecx,23這句是對的,但是jmp跳轉的目標地址居然是錯誤的,相差了五個字節。
原因在于起始地址(GDT表空閑地址):80b95120被Code數組的前四個字節被恢復寄存器環境的mov ecx,0x23填充了,導致代碼的位置也相對的往后移了五個字節。這就產生了一個問題,我們每次去HOOK新函數的時候,都要手動將偏移值重新計算一遍,這顯然是不可取的。
JmpTargetAddr
既然如此我們就來手動實現一個跳轉到目標地址的函數。借用一個寄存器來保存需要跳轉的地址,然后直接用jmp指令跳轉過去。這樣就可以省去每次手工計算偏移的步驟了。
我們利用83e840cd這個地址作為跳轉的目標地址,然后用ecx來保存跳轉地址。當跳轉回83e840cd時,ecx會被重新賦值,不會出現任何問題。
代碼如下:
void __declspec(naked) JmpTargetAddr() {__asm{mov ecx, 0x23; //保存現場環境push 0x30; //保存現場環境pop fs; //保存現場環境mov ds, ecx; //保存現場環境mov es, ecx; //保存現場環境mov ecx, 0x83e840cd; //返回地址jmp ecx; //跳轉到返回地址} }運行程序,接著查看一下GDT表起始位置的反匯編
kd> u 80b95120 80b95120 b923000000 mov ecx,23h 80b95125 6a30 push 30h 80b95127 0fa1 pop fs 80b95129 668ed9 mov ds,cx 80b9512c 668ec1 mov es,cx 80b9512f b9cd40e883 mov ecx,offset nt!KiFastCallEntry+0xd (83e840cd) 80b95134 ffe1 jmp ecx 80b95136 cc int 3 //起始地址(GDT表空閑地址):80b95120 //HOOK的函數地址(KiFastCallEntry):0x83e840c0 //返回地址:83e840cd可以看到現在我們的跳轉的目標地址就和預期寫的是一致的了,沒有出現之前的地址動態變化的問題。
Inline Hook基本框架
接下來我們要修改KiFastCallEntry函數的前五個字節,讓它跳轉到我們自己的地址。首先來查看一下前五個字節的頁面屬性
kd> x nt!_KiFastCallEntry 83e840c0 nt!KiFastCallEntry (<no parameter info>) kd> !pte 83e840c0 VA 83e840c0 PDE at C06020F8 PTE at C041F420 contains 00000000001D9063 contains 0000000003E84121 pfn 1d9 ---DA--KWEV pfn 3e84 -G--A--KREV可以看到這一塊內存是可讀不可寫的,這樣的話我們需要先關掉CPU的寫保護。代碼如下:
//關閉寫保護__asm{mov eax, cr0;and eax, not 10000h;mov cr0, eax;}//開啟寫保護__asm{mov eax, cr0; or eax, 10000h; mov cr0, eax; iretd;}接著再修改目標函數的前五個字節,讓它跳到我們之前準備好的地址
//偏移0xfcd1105b char code[] = { 0xE9,0x5B,0x10,0xD1,0xFC }; //修改要HOOK的函數前五個字節 memcpy((void*)0x83e840c0, code, sizeof(code));最后運行程序,并且在windbg中查看一下KiFastCallEntry處的代碼
kd> x nt!_KiFastCallEntry 83e840c0 nt!KiFastCallEntry (<no parameter info>) kd> u 83e840c0 nt!KiFastCallEntry: 83e840c0 e95b10d1fc jmp 80b95120 83e840c5 6a30 push 30h 83e840c7 0fa1 pop fs 83e840c9 8ed9 mov ds,cx 83e840cb 8ec1 mov es,cx 83e840cd 648b0d40000000 mov ecx,dword ptr fs:[40h] 83e840d4 8b6104 mov esp,dword ptr [ecx+4] 83e840d7 6a23 push 23h可以看到現在這個函數已經成功跳到我們指定的GDT表的位置0x80b95120。接著再來看一下GDT表的位置0x80b95120處的代碼。
kd> u 0x80b95120 80b95120 b923000000 mov ecx,23h 80b95125 6a30 push 30h 80b95127 0fa1 pop fs 80b95129 668ed9 mov ds,cx 80b9512c 668ec1 mov es,cx 80b9512f b9cd40e883 mov ecx,offset nt!KiFastCallEntry+0xd (83e840cd) 80b95134 ffe1 jmp ecx 80b95136 cc int 3現在我們已經完成了一個Inline Hook的基本框架,當有進程調用KiFastCallEntry時,會跳轉到我們指定的函數地址,然后再返回。框架完成以后,在HOOK過程中想做什么事,就完全由自己決定了。
示例代碼
示例代碼如下:
#include "pch.h" #include <iostream> #include <stdio.h> #include <stdlib.h> #include <windows.h>void JmpTargetAddr();//偏移0xfcd1105b char code[] = { 0xE9,0x5B,0x10,0xD1,0xFC }; int i; char* p;//起始地址(GDT表空閑地址):80b95120 //HOOK的函數地址(KiFastCallEntry):0x83e840c0 //返回地址:83e7c0c5 void __declspec(naked) IdtEntry() {//將自己的函數拷貝的GDT表空閑地址p = (char*)0x80b95120;for (i = 0; i < 64; i++){*p = ((char*)JmpTargetAddr)[i];p++;}//關閉寫保護__asm{mov eax, cr0;and eax, not 10000h;mov cr0, eax;}//修改要HOOK的函數前五個字節memcpy((void*)0x83e840c0, code, sizeof(code));//開啟寫保護__asm{mov eax, cr0; or eax, 10000h; mov cr0, eax; iretd;} } void __declspec(naked) JmpTargetAddr() {__asm{mov ecx, 0x23; //恢復現場環境push 0x30; //恢復現場環境pop fs; //恢復現場環境mov ds, cx; //恢復現場環境mov es, cx; //恢復現場環境mov ecx, 0x83e840cd; //返回地址jmp ecx; //跳轉到返回地址} }void go() {__asm int 0x20; }//eq 80b95500 0040ee00`00081040 int main() {if ((DWORD)IdtEntry != 0x401040){printf("wrong addr:%p", IdtEntry);exit(-1);}go();//printf("%p\n", g_num);system("pause"); }實戰HOOK KiTrap01
接著我們找另外一個函數進行HOOK。
查看PC Hunter中IDT表的1號中斷函數,1號中斷是單步調試,當CPU的eflags的TF標志位被置1時,就會產生一個單步中斷,然后調用Debug函數。調試器的單步斷點原理也在于此。
無需計算偏移的Inline Hook方法
之前我們在修改目標函數的前五個字節的時候需要計算跳轉的偏移,這個非常不方便。這一次我們用另外的不需要計算偏移的方法來完成Inline Hook。利用下面兩條匯編指令:
push 0x12345678; ret;這種方法的缺點就是需要HOOK的位置有6個字節的空間。
首先,查看一下要HOOK的函數地址反匯編
kd> x nt!_KiTrap01 83e85150 nt!KiTrap01 (<no parameter info>) kd> u 83e85150 nt!KiTrap01: 83e85150 6a00 push 0 83e85152 66c74424020000 mov word ptr [esp+2],0 83e85159 55 push ebp 83e8515a 53 push ebx 83e8515b 56 push esi 83e8515c 57 push edi 83e8515d 0fa0 push fs 83e8515f bb30000000 mov ebx,30h我們將要HOOK的地址定為0x83e85152,返回地址則為它的下一句
首先修改JmpTargetAddr中的代碼為跳回返回地址
void __declspec(naked) JmpTargetAddr() {__asm{mov word ptr[esp + 2], 0; //恢復現場環境push 0x83e85159; //跳轉到返回地址ret; //跳轉到返回地址} }接著在返回之前打印出當前的ESP,查看一下產生單步異常的堆棧環境,同樣需要借助一個內核的內存地址
push eax; mov eax, ss:[esp]; mov ds : [0x80b953f0],eax; //GDT表的空閑位置 用于保存內核變量 pop eax;最后修改要HOOK的函數地址,跳轉到我們自己的地址
char code[] = { 0x68,0x20,0x51,0xB9,0x80,0xC3,0x90 }; memcpy((void*)0x83e85152, code, sizeof(code));運行程序,檢查一下起始地址和被HOOK的函數地址的匯編代碼,都是正常的
kd> x nt!_KiTrap01 83e85150 nt!KiTrap01 (<no parameter info>) kd> u 83e85150 nt!KiTrap01: 83e85150 6a00 push 0 83e85152 682051b980 push 80B95120h 83e85157 c3 ret 83e85158 90 nop 83e85159 55 push ebp 83e8515a 53 push ebx 83e8515b 56 push esi 83e8515c 57 push edi kd> u 80B95120 80b95120 50 push eax 80b95121 368b0424 mov eax,dword ptr ss:[esp] 80b95125 3ea3f053b980 mov dword ptr ds:[80B953F0h],eax 80b9512b 58 pop eax 80b9512c 66c74424020000 mov word ptr [esp+2],0 80b95133 685951e883 push offset nt!KiTrap01+0x9 (83e85159) 80b95138 c3 ret 80b95139 cc int 3另外在PC Hunter中也檢測到我我們掛的鉤子
示例代碼
最后附上代碼
#include "pch.h" #include <iostream> #include <stdio.h> #include <stdlib.h> #include <windows.h>void JmpTargetAddr();//偏移0xfcd1105b char code[] = { 0x68,0x20,0x51,0xB9,0x80,0xC3,0x90 }; int i; char* p;//起始地址(GDT表空閑地址):80b95120 //HOOK的函數地址(KiTrap01):0x83e85152 //返回地址:83e85159 void __declspec(naked) IdtEntry() {//將自己的函數拷貝的GDT表空閑地址p = (char*)0x80b95120;for (i = 0; i < 64; i++){*p = ((char*)JmpTargetAddr)[i];p++;}//關閉寫保護__asm{mov eax, cr0;and eax, not 10000h;mov cr0, eax;}memcpy((void*)0x83e85152, code, sizeof(code));//開啟寫保護__asm{mov eax, cr0; or eax, 10000h; mov cr0, eax; iretd;} } void __declspec(naked) JmpTargetAddr() {__asm{push eax;mov eax, ss:[esp+4];mov ds : [0x80b953f0],eax; //GDT表的空閑位置 用于保存內核變量pop eax;mov word ptr[esp + 2], 0; //恢復現場環境push 0x83e85159; //跳轉到返回地址ret; //跳轉到返回地址} }void go() {__asm int 0x20; }//eq 80b95500 0040ee00`00081040 int main() {if ((DWORD)IdtEntry != 0x401040){printf("wrong addr:%p", IdtEntry);exit(-1);}go();//printf("%p\n", g_num);system("pause"); }總結
以上是生活随笔為你收集整理的Windows内核实验005 Inline Hook的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Windows内核实验004 API调用
- 下一篇: [保护模式]段间跳转和跨段跳转