在内核挂钩子:
由于每个进程的低2gb 的数据是不同的;所以 在内核挂钩子 因该把 代码 放在 高 2gb。
方法1(申请):
比如 使用前面的 ExAllocatePool(0,size);分配非分页内存,然后把shellcode 拷贝到 非分页内存。
方法2(偷内存):
注意: 偷的时候 看一下 页属性 是否可读可写可执行
在内核固定 没有使用到的地方 放上我们的 shellcode;;
如:gdtr 中的 空向量。
起始 下面这些都没有使用到,都可以占用:
裸函数注意:
在裸函数中没有自动的 ebp ,esp 开栈 平栈的操作;所以忌讳使用局部变量;当然可以自己管理栈,使用好局部变量。
Hook kifastcallentry
重点结论:注意 当
目标地址 < 当前地址 ; jmp 的偏移 应该是 直接 目标 - 当前 -5;
目标地址 > 当前地址 ; jmp 的偏移应该 是 目标 - 当前 -5;
是一样的; jmp 偏移的基址 是当前指令结束位置。
jmp 寄存器 和call寄存器一样 也 不需要计算什么偏移;寄存器是什么就跳到什么。
push 0xAddr;ret 也不需要 计算偏移;但是需要 6个字节;计算偏移的需要5个字节
计算偏移 是最重要的;
注意 步骤:
-
计算到目标code 的偏移 (或者直接使用寄存器)
-
将当前位置的 opcode 修改 为跳转 指令 char * [] = {0xe9,0x.....0x..}
-
然后在目标地址那个做好处理后 最好将 执行流 交换原来的执行流;所以再计算偏移(或使用寄存器)跳回去;
f7 单步调试触发 的是 idt 里面的 1号处理
使用 pchunter 查看idt 里面的序号为 1 的向量的地址;然后 使用ida 调试 查看;
hook;
大致如下:
程序1 : 挂钩gdt内存地址到 目标函数
程序2 :hook 逻辑操作 代码:
