菜鸟之驱动开发4

长平狐 发布于 2012/08/13 15:43
阅读 53
收藏 0

在上一节,我们学到了如何读取SSDT表中函数的当前地址与系统地址, 有了这两个地址我们就可以判断该函数是否被inline hook了, 如果NSOpenProcess被hook了,那么我们就无法用od对进程进行载入,从而不能分析之。今天教大家如何绕过它,从而使其可以被od载入,从而被分析。

其原理就是在函数当前地址进行强制调转到系统地址。我们可以用kernel detect这个工具轻松绕过函数的HOOK,但那样没有技术含量, 做为程序员,得写代码。原理就是修改SSDT表,使其函数不被hook.   我们只需要在上一节代码里,驱动入口函数加入以下代码即可。

ULONG cur_Addr,old_Addr;
	JMPCODE jmpCode;
	
    KdPrint(("Hello Driver World 驱动加载成功"));
	cur_Addr = asmReadSSDT();
	old_Addr = cReadSSDT();
	
	if (cur_Addr != old_Addr)
	{
		KdPrint(("Have be hooked!"));
		
	    //保存当前地址前5字节指今
		curCode = (PJMPCODE)cur_Addr;
		oldCode.E9 = curCode->E9;
		oldCode.JMPADDR = curCode->JMPADDR;
		
		//初始化跳转指令
		jmpCode.E9 = 0xE9;
		jmpCode.JMPADDR = cur_Addr - old_Addr - 5;
		
		__asm //去掉页面保护
		{
			cli
			mov eax,cr0
			and eax,not 10000h //and eax,0FFFEFFFFh
			mov cr0,eax

		}

		//用初始化的跳转指令修改当前地址的指令
		curCode->E9 = jmpCode.E9;
		curCode->JMPADDR = jmpCode.JMPADDR;
		
		
		__asm //恢复页保护
		 {
			mov eax,cr0
			or  eax,10000h //or eax,not 0FFFEFFFFh
			mov cr0,eax
			sti
		 }
	}
	


因为SSDT是受保护的,所以在修改之前我们要把cr0的CW位置为0(cr0寄存器是32位的,CW是它的第17位,为1则页面受保护,为0则可修改),修改之后要还原之。

在驱动卸载的时候,要记得还原我们的SSDT,还原的时候注意同样是修改SSDT,所以同样要操作cr0.

因为我们采用C语言的方式开发的, 所以在声明变量的时候要放在方法的入口处,不然编译不过。如果你喜欢用C++的方式开发,要记得用extern "C", 因为内核是不是C++写的,extern "C"做什么,网上有答案。

 

具体参看完整源码


原文链接:http://blog.csdn.net/favormm/article/details/6696709
加载中
返回顶部
顶部