inline hook KiFastCallEntry问题

b571013930 2013-11-12 11:34:26
ULONG display(ULONG ServiceTableBase,ULONG FuncIndex,ULONG OrigFuncAddress)
{
if (ServiceTableBase==(ULONG)KeServiceDescriptorTable.ServiceTableBase)
{//比较当前调用的进程是不是ce
if (!strcmp((char*)PsGetCurrentProcess()+0x174,"cheatengine-i38"))
{
return pNewSSDT->ServiceTableBase[FuncIndex];
}
}
return OrigFuncAddress;
}
__declspec(naked)
void MyKiFastCallEntry()
{
__asm
{
pushad
pushfd
push ebx
push eax
push edi
call display
//再返回前修改堆栈里的数据
mov [esp+0x14],eax
popfd
popad
//恢复以前的代码,以便内核正常运行
sub esp,ecx
shr ecx,2
jmp jmp_ret
}
}
MyKiFastCallEntry是 hook KiFastCallEntry的跳转函数,就是不明白mov [esp+0x14],eax
里的eax
怎么会是对应的ssdt函数地址呢?



这是一段取自KiFastCallEntry的汇编代码:

8053e71c 8b3f mov edi,dword ptr [edi]
8053e71e 8b1c87 mov ebx,dword ptr [edi+eax*4]
8053e721 2be1 sub esp,ecx
8053e723 c1e902 shr ecx,2
8053e726 8bfc mov edi,esp
8053e728 3b35549b5580 cmp esi,dword ptr [nt!MmUserProbeAddress (80559b54)]
8053e72e 0f83a8010000 jae nt!KiSystemCallExit2+0x9f (8053e8dc)
8053e734 f3a5 rep movs dword ptr es:[edi],dword ptr [esi]
8053e736 ffd3 call ebx
8053e738 8be5 mov esp,ebp

...全文
180 回复 打赏 收藏 转发到动态 举报
写回复
用AI写文章
回复
切换为时间正序
请发表友善的回复…
发表回复
Windows内核实验005 Inline Hook
文章目录准备工作寻找Inline Hook的返回地址编写代码动态变化的返回地址JmpTargetAddrInline Hook基本框架示例代码实战HOOK KiTrap01无需计算偏移的Inline Hook方法示例代码 准备工作 寻找Inline Hook的返回地址 假设我们现在要HOOK KiFastCallEntry这个内核函数,让所有的程序在进入零环之前先跳到我们自己的代码。 但是会出现...
inline hook KiFastCallEntry
#include "ntddk.h"#include "sysenterhook.h"#if DBG#define dprintf DbgPrint#else#define dprintf(x)#endif#define BYTE unsigned char #define MEM_TAG 'CQ'#define NT_DEVICE_NAME L"//Device//sysenterhook"#define DOS_DEVICE_NAME L"//DosDevices//sysenterhook"NTSTA
过XX保护之 InLine Hook
1--查看系统进程中的线程,发现有属于TeSafe.sys的线程,初步推测为守护线程。         2--系统回调,具体功能不予说明。 3-- SSDT  发现有3个Inline hook函数    先使用了重载内核,HOOK KiFastCallEntry来解除,后发现重载内核后,没有解除inline hook,由于水平不够,尚且不知道为何,有待提升。所以选择最平常的inline h
再谈360内核inline Hook
  前几天写了一篇 360内核 inline Hook 分析 有朋友感觉我没有把360的Hook的函数说清楚以至于产生误会。上一篇博客确实没有把这个问题说清楚。   在上篇文章中说到360是Hook nt!KiFastCallEntry+0xe1 这个位置是没有错的,只是严格的讲是在_KiSystemServiceRepeat 当中进行的Hook,很有意思的是_KiSystemSe...
监控应用层通信_hook_kifastcallentry(系统服务调用)
#include"ntddk.h" #pragma pack(1) //写这个内存以一字节对齐 如果不写是以4字节的对齐的 typedef struct ServiceDescriptorEntry {//这个结构就是为了管理这个数组而来的 内核api所在的数组 才有这个结构的 这个是ssdt unsigned int *ServiceTableBase;//就是ServiceT
安全技术/病毒

9,506

社区成员

28,984

社区内容

发帖
与我相关
我的任务
社区描述
Windows专区 安全技术/病毒
社区管理员
  • 安全技术/病毒社区
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章