首页 > 其他分享 >驱动开发:内核层InlineHook挂钩函数

驱动开发:内核层InlineHook挂钩函数

时间:2022-10-31 17:23:56浏览次数:88  
标签:函数 lde 挂钩 lyshark 内核 InlineHook 字节

在上一章《驱动开发:内核LDE64引擎计算汇编长度》中,LyShark教大家如何通过LDE64引擎实现计算反汇编指令长度,本章将在此基础之上实现内联函数挂钩,内核中的InlineHook函数挂钩其实与应用层一致,都是使用劫持执行流并跳转到我们自己的函数上来做处理,唯一的不同的是内核Hook只针对内核API函数,但由于其身处在最底层所以一旦被挂钩其整个应用层都将会受到影响,这就直接决定了在内核层挂钩的效果是应用层无法比拟的,对于安全从业者来说学会使用内核挂钩也是很重要。

挂钩的原理可以总结为,通过MmGetSystemRoutineAddress得到原函数地址,然后保存该函数的前15个字节的指令,将自己的MyPsLookupProcessByProcessId代理函数地址写出到原始函数上,此时如果有API被调用则默认会转向到我们自己的函数上面执行,恢复原理则是将提前保存好的前15个原始字节写回则恢复原函数的调用。

原理很简单,基本上InlineHook类的代码都是一个样子,如下是一段完整的挂钩PsLookupProcessByProcessId的驱动程序,当程序被加载时则默认会保护lyshark.exe进程,使其无法被用户使用任务管理器结束掉。

// 署名权
// right to sign one's name on a piece of work
// PowerBy: LyShark
// Email: [email protected]
#include "lyshark_lde64.h"
#include <ntifs.h>
#include <windef.h>
#include <intrin.h>

#pragma  intrinsic(_disable)
#pragma  intrinsic(_enable)

// --------------------------------------------------------------
// 汇编计算方法
// --------------------------------------------------------------
// 计算地址处指令有多少字节
// address = 地址
// bits 32位驱动传入0 64传入64
typedef INT(*LDE_DISASM)(PVOID address, INT bits);

LDE_DISASM lde_disasm;

// 初始化引擎
VOID lde_init()
{
	lde_disasm = ExAllocatePool(NonPagedPool, 12800);
	memcpy(lde_disasm, szShellCode, 12800);
}

// 得到完整指令长度,避免截断
ULONG GetFullPatchSize(PUCHAR Address)
{
	ULONG LenCount = 0, Len = 0;

	// 至少需要14字节
	while (LenCount <= 14)
	{
		Len = lde_disasm(Address, 64);
		Address = Address + Len;
		LenCount = LenCount + Len;
	}
	return LenCount;
}

// --------------------------------------------------------------
// Hook函数封装
// --------------------------------------------------------------

// 定义指针方便调用
typedef NTSTATUS(__fastcall *PSLOOKUPPROCESSBYPROCESSID)(HANDLE ProcessId, PEPROCESS *Process);

ULONG64 protect_eprocess = 0;			// 需要保护进程的eprocess
ULONG patch_size = 0;		            // 被修改了几个字节
PUCHAR head_n_byte = NULL;	            // 前几个字节数组
PVOID original_address = NULL;			// 原函数地址

KIRQL WPOFFx64()
{
	KIRQL irql = KeRaiseIrqlToDpcLevel();
	UINT64 cr0 = __readcr0();
	cr0 &= 0xfffffffffffeffff;
	__writecr0(cr0);
	_disable();
	return irql;
}

VOID WPONx64(KIRQL irql)
{
	UINT64 cr0 = __readcr0();
	cr0 |= 0x10000;
	_enable();
	__writecr0(cr0);
	KeLowerIrql(irql);
}

// 动态获取内存地址
PVOID GetProcessAddress(PCWSTR FunctionName)
{
	UNICODE_STRING UniCodeFunctionName;
	RtlInitUnicodeString(&UniCodeFunctionName, FunctionName);
	return MmGetSystemRoutineAddress(&UniCodeFunctionName);
}

/*
	InlineHookAPI 挂钩地址

	参数1:待HOOK函数地址
	参数2:代理函数地址
	参数3:接收原始函数地址的指针
	参数4:接收补丁长度的指针
	返回:原来头N字节的数据
*/
PVOID KernelHook(IN PVOID ApiAddress, IN PVOID Proxy_ApiAddress, OUT PVOID *Original_ApiAddress, OUT ULONG *PatchSize)
{
	KIRQL irql;
	UINT64 tmpv;
	PVOID head_n_byte, ori_func;

	// 保存跳转指令 JMP QWORD PTR [本条指令结束后的地址]
	UCHAR jmp_code[] = "\xFF\x25\x00\x00\x00\x00\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF";

	// 保存原始指令
	UCHAR jmp_code_orifunc[] = "\xFF\x25\x00\x00\x00\x00\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF";

	// 获取函数地址处指令长度
	*PatchSize = GetFullPatchSize((PUCHAR)ApiAddress);
	
	// 分配空间
	head_n_byte = ExAllocatePoolWithTag(NonPagedPool, *PatchSize, "LyShark");

	irql = WPOFFx64();

	// 跳转地址拷贝到原函数上
	RtlCopyMemory(head_n_byte, ApiAddress, *PatchSize);
	WPONx64(irql);

	// 构建跳转

	// 1.原始机器码+跳转机器码
	ori_func = ExAllocatePoolWithTag(NonPagedPool, *PatchSize + 14, "LyShark");
	RtlFillMemory(ori_func, *PatchSize + 14, 0x90);

	// 2.跳转到没被打补丁的那个字节
	tmpv = (ULONG64)ApiAddress + *PatchSize;
	RtlCopyMemory(jmp_code_orifunc + 6, &tmpv, 8);
	RtlCopyMemory((PUCHAR)ori_func, head_n_byte, *PatchSize);
	RtlCopyMemory((PUCHAR)ori_func + *PatchSize, jmp_code_orifunc, 14);
	*Original_ApiAddress = ori_func;
	
	// 3.得到代理地址
	tmpv = (UINT64)Proxy_ApiAddress;
	RtlCopyMemory(jmp_code + 6, &tmpv, 8);

	//4.打补丁
	irql = WPOFFx64();
	RtlFillMemory(ApiAddress, *PatchSize, 0x90);
	RtlCopyMemory(ApiAddress, jmp_code, 14);
	WPONx64(irql);

	return head_n_byte;
}

/*
	InlineHookAPI 恢复挂钩地址

	参数1:被HOOK函数地址
	参数2:原始数据
	参数3:补丁长度
*/
VOID KernelUnHook(IN PVOID ApiAddress, IN PVOID OriCode, IN ULONG PatchSize)
{
	KIRQL irql;
	irql = WPOFFx64();
	RtlCopyMemory(ApiAddress, OriCode, PatchSize);
	WPONx64(irql);
}

// 实现我们自己的代理函数
NTSTATUS MyPsLookupProcessByProcessId(HANDLE ProcessId, PEPROCESS *Process)
{
	NTSTATUS st;
	st = ((PSLOOKUPPROCESSBYPROCESSID)original_address)(ProcessId, Process);
	if (NT_SUCCESS(st))
	{
		// 判断是否是需要保护的进程
		if (*Process == (PEPROCESS)protect_eprocess)
		{
			*Process = 0;
			DbgPrint("[lyshark] 拦截结束进程 \n");
			st = STATUS_ACCESS_DENIED;
		}
	}
	return st;
}

VOID UnDriver(PDRIVER_OBJECT driver)
{
	DbgPrint("驱动已卸载 \n");

	// 恢复Hook
	KernelUnHook(GetProcessAddress(L"PsLookupProcessByProcessId"), head_n_byte, patch_size);
}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
{
	DbgPrint("hello lyshark.com \n");

	// 初始化反汇编引擎
	lde_init();

	// 设置需要保护进程EProcess
	/*
	lyshark.com: kd> !process 0 0 lyshark.exe
		PROCESS ffff9a0a44ec4080
			SessionId: 1  Cid: 05b8    Peb: 0034d000  ParentCid: 13f0
			DirBase: 12a7d2002  ObjectTable: ffffd60bc036f080  HandleCount: 159.
			Image: lyshark.exe
	*/
	protect_eprocess = 0xffff9a0a44ec4080;

	// Hook挂钩函数
	head_n_byte = KernelHook(GetProcessAddress(L"PsLookupProcessByProcessId"), (PVOID)MyPsLookupProcessByProcessId, &original_address, &patch_size);

	DbgPrint("[lyshark] 挂钩保护完成 --> 修改字节: %d | 原函数地址: 0x%p \n", patch_size, original_address);

	for (size_t i = 0; i < patch_size; i++)
	{
		DbgPrint("[byte] = %x", head_n_byte[i]);
	}

	Driver->DriverUnload = UnDriver;
	return STATUS_SUCCESS;
}

运行这段驱动程序,会输出挂钩保护的具体地址信息;

使用WinDBG观察,会发现挂钩后原函数已经被替换掉了,而被替换的地址就是我们自己的MyPsLookupProcessByProcessId函数。

当你尝试使用任务管理器结束掉lyshark.exe进程时,则会提示拒绝访问。

参考文献

https://www.docin.com/p-1508418694.html

标签:函数,lde,挂钩,lyshark,内核,InlineHook,字节
From: https://www.cnblogs.com/LyShark/p/16832244.html

相关文章

  • 驱动开发:内核LDE64引擎计算汇编长度
    本章开始LyShark将介绍如何在内核中实现InlineHook挂钩这门技术,内核挂钩的第一步需要实现一个动态计算汇编指令长度的功能,该功能可以使用LDE64这个反汇编引擎,该引擎小巧简......
  • HarmonyOS系统中内核实现智慧物流控制的方法
      大家好,今天主要和大家聊一聊,如何使用鸿蒙系统实现智能物流的开发。目录​​第一:智能物流简介​​​​第二:华为IOT平台API分析​​​​数据上传​​​​设备消息上报​......
  • HarmonyOS系统中内核实现MQTT连接华为云的方法
       大家好,今天主要和大家聊一聊,如何使用MQTT连接华为云平台的方法目录​​第一:MQTT通信基本原理​​​​第二:华为IOT平台API​​​​第三:华为IOT平台初始化​​​​第......
  • HarmonyOS系统中内核实现三轴加速度检测方法
       大家好,今天主要和大家聊一聊,如何使用鸿蒙系统读取三轴加速度的方法。 目录​​第一:三轴加速速基本原理​​​​第二:E53_SC2中API分析​​​​第三:硬件设计​​​​......
  • linux 内核的启动过程
           ......
  • 驱动开发:内核监控FileObject文件回调
    本篇文章与上一篇文章`《驱动开发:内核注册并监控对象回调》`所使用的方式是一样的都是使用`ObRegisterCallbacks`注册回调事件,只不过上一篇博文中`LyShar......
  • 驱动开发:内核监控Register注册表回调
    在笔者前一篇文章`《驱动开发:内核枚举Registry注册表回调》`中实现了对注册表的枚举,本章将实现对注册表的监控,不同于32位系统在64位系统中,微软为我们提供......
  • 驱动开发:内核监视LoadImage映像回调
    在笔者上一篇文章`《驱动开发:内核注册并监控对象回调》`介绍了如何运用`ObRegisterCallbacks`注册`进程与线程`回调,并通过该回调实现了`拦截`指定进行运......
  • 驱动开发:内核监控进程与线程回调
    在前面的文章中`LyShark`一直在重复的实现对系统底层模块的枚举,今天我们将展开一个新的话题,内核监控,我们以`监控进程线程`创建为例,在`Win10`系统中监控进......
  • 驱动开发:内核测试模式过DSE签名
    微软在`x64`系统中推出了`DSE`保护机制,DSE全称`(DriverSignatureEnforcement)`,该保护机制的核心就是任何驱动程序或者是第三方驱动如果想要在正常模式......