

Drunkmars's Blog

Drunkmars's Blog

ring0下的Inline hook



ring0下的Inline hook

二进制 内核

字数统计: 1.5k阅读时长: 6 min

 2022/02/16   Share

• 
• 
• 
• 
• 

Inline hook是直接在以前的函数替里面修改指令，用一个跳转或者其他指令来达到挂钩的目的。 这是相对普通的hook来说，因为普通的hook只是修改函数的调用地址，而不是在原来的函数体里面做修改。一般来说，普通的hook比较稳定使用。 inline hook 更加高级一点，一般也跟难以被发现。ring3的Inline hook在之前已经实现过了，再看看ring0的Inline hook该如何实现。

这里本来调用链应该是OpenFile -> ZwOpenFile，这里在od里面应该可以看到，这里我就用windbg直接找到这个ring0函数。

首先在windbg里面定位到ZwOpenFile函数，可以看到它的偏移为0x74

通过SSDT表找到所有的内核函数地址，再通过0x74偏移定位到ZwOpenFile函数

kd> dd KeServiceDescriptorTable
kd> dd 80505450 + 74 * 4
kd> u 8057b182

我这里因为windbg的原因没有显示函数名称，到pchunter里面确认一下，地址确实是一样的

那么我们要实现Inline hook，无论是使用E8 call，还是E9 jmp，都需要至少5个硬编码才能实现，所以这里我们找5个硬编码进行填入我们代码的操作，这里注意不能够找全局变量和重定位的地址，否则在进行还原的过程中可能地址已经发生改变导致程序不能够正常运行

mov ebp,esp
xor eax,eax
push eax

首先我们写一个FilterNtOpenFile函数用来打印我们Inline hook后的一些信息，这里用到PsGetCurrentProcess获取进程的EPROCESS结构，在0x174偏移存放着进程名，我们通过打印进程名来查看一下哪些进程调用了NtOpenFile这个函数

char* p = "r0 InlineHook";
void FilterNtOpenFile(char* p)
{
    KdPrint(("%s\r\n", p));
    KdPrint(("name:%s\r\n", (char*)PsGetCurrentProcess() + 0x174));
}

然后提供ServiceDescriptorEntry这个结构体并定义KeServiceDescriptorTable为 ntoskrnl.exe 所导出的全局变量

typedef struct ServiceDescriptorEntry {
    unsigned int* ServiceTableBase;
    unsigned int* ServiceCounterTableBase; 
    unsigned int NumberOfServices;
    unsigned char* ParamTableBase;
} ServiceDescriptorTableEntry_t, * PServiceDescriptorTableEntry_t;

__declspec(dllimport) ServiceDescriptorTableEntry_t KeServiceDescriptorTable;

这里我们再利用汇编来执行我们的汇编代码之后再jmp到原覆盖地址+5的地方，先用pushad跟pushfd保存寄存器

void _declspec(naked) NewNtOpenFile()
{
    __asm
    {
        pushad
        pushfd
        push p
        call FilterNtOpenFile
        popfd
        popad
        mov ebp, esp
        xor eax, eax
        push eax
        jmp ReAddress
    }
}

首先定义一个数组，用来存放E9jmp跳转的代码

UCHAR jmp_code[5] = "";

然后因为我们在8057b185这个地址开始覆盖，函数的起始地址为8057b182，所以偏移为3

ULONG ChangeAddr = 3;

然后通过KeServiceDescriptorTable的ServiceTableBase属性定位到NtOpenFile的起始地址，这里在PCHunter里面可以看到NtOpenFile的索引号为116

StartAddr = KeServiceDescriptorTable.ServiceTableBase[116];

定义返回地址，用函数的开始地址+偏移+5即可得到返回地址

ReAddress = StartAddr + ChangeAddr + 5;

通过E9 jmp的计算公式还需要计算我们自己定义的函数newNtOpenKey相对于NtOpenFile的偏移量

ULONG jmpAddr = (ULONG)NewNtOpenFile - StartAddr - ChangeAddr - 5;

将跳转代码写入数组

jmp_code[0] = 0xE9;

*(ULONG*)&jmp_code[1] = jmpAddr;

这里就需要写入内存了，这里需要关闭页的只读保护，定义一个ShutPageProtect函数将CR0寄存器的WP位置0

//关闭页只读保护
__asm
    {
        push eax;
        mov eax, cr0;
        and eax, ~0x10000;	// 与0x10000想与后取反
        mov cr0, eax;
        pop eax;
        ret;
    }

关闭页保护之后首先将之前的硬编码保存，再进行覆盖

ShutPageProtect();
RtlCopyMemory(Old_code, (PVOID)(StartAddr + ChangeAddr), 5);
RtlCopyMemory((PVOID)(StartAddr + ChangeAddr), jmp_code, 5);

写入内存完毕之后再定义一个OpenPageProtect函数将CR0寄存器的WP恢复为1

void _declspec(naked) OpenPageProtect()
{
    __asm
    {
        push eax;
        mov eax, cr0;
        or eax, 0x10000;
        mov cr0, eax;
        pop eax;
        ret;
    }
}

那么到这里我们的hook代码就已经完成，因为我们已经将原来的硬编码存入了Old_code这个数组，这里我们编写UnHookNtOpenFile时利用RtlCopyMemory写会到原内存即可

void UnHookNtOpenFile()
{
    ULONG ChangeAddr = 3;

    ShutPageProtect();
    RtlCopyMemory((PVOID)(StartAddr + ChangeAddr), Old_code, 5);
    OpenPageProtect();

}

再就是加载驱动和卸载驱动，在加载驱动中调用HookNtOpenFile，在卸载驱动中调用UnHookNtOpenFile即可

//卸载驱动
void DriverUnload(DRIVER_OBJECT* obj)
{
    //卸载钩子
    UnHookNtOpenFile();

    KdPrint(("驱动卸载成功！\n"));
}

/***驱动入口主函数***/
NTSTATUS DriverEntry(DRIVER_OBJECT* driver, UNICODE_STRING* path)
{
    KdPrint(("驱动启动成功！\n"));

    //安装钩子
    HookNtOpenFile();

    driver->DriverUnload = DriverUnload;
    return STATUS_SUCCESS;
}

完整代码如下

#include <ntddk.h>

typedef struct ServiceDescriptorEntry {
    unsigned int* ServiceTableBase;
    unsigned int* ServiceCounterTableBase; 
    unsigned int NumberOfServices;
    unsigned char* ParamTableBase;
} ServiceDescriptorTableEntry_t, * PServiceDescriptorTableEntry_t;

__declspec(dllimport) ServiceDescriptorTableEntry_t KeServiceDescriptorTable;

// 关闭页只读保护
void ShutPageProtect();
// 开启页只读保护
void OpenPageProtect();
// 测试函数
void FilterNtOpenFile(char* p);
// 新NtOpenFile
void NewNtOpenFile();
// hook NtOpenFile
void HookNtOpenFile();
// unhook NtOpenFile
void UnHookNtOpenFile();


//关闭页只读保护
void _declspec(naked) ShutPageProtect()
{
    __asm
    {
        push eax;
        mov eax, cr0;
        and eax, ~0x10000;
        mov cr0, eax;
        pop eax;
        ret;
    }
}

//开启页只读保护
void _declspec(naked) OpenPageProtect()
{
    __asm
    {
        push eax;
        mov eax, cr0;
        or eax, 0x10000;
        mov cr0, eax;
        pop eax;
        ret;
    }
}

ULONG    StartAddr;
ULONG    ReAddress;
UCHAR    Old_code[5];

char* p = "r0 InlineHook";
void FilterNtOpenFile(char* p)
{
    KdPrint(("%s\r\n", p));
    KdPrint(("name:%s\r\n", (char*)PsGetCurrentProcess() + 0x174));
}

void _declspec(naked) NewNtOpenFile()
{
    __asm
    {
        pushad
        pushfd
        push p
        call FilterNtOpenFile
        popfd
        popad
        mov ebp, esp
        xor eax, eax
        push eax
        jmp ReAddress
    }
}

void HookNtOpenFile()
{
    // 存放跳转指令的数组
    UCHAR jmp_code[5] = "";
    // 在入口0x3处hook
    ULONG ChangeAddr = 3;
    // NtOpenFile函数的开始地址
    StartAddr = KeServiceDescriptorTable.ServiceTableBase[116];
    // 返回地址
    ReAddress = StartAddr + ChangeAddr + 5;
    // newNtOpenKey相对于NtOpenKey的偏移量
    ULONG jmpAddr = (ULONG)NewNtOpenFile - StartAddr - ChangeAddr - 5;

    // 使用jmp指令跳转，jmp = 0xE9
    jmp_code[0] = 0xE9;
    // 填入偏移地址
    *(ULONG*)&jmp_code[1] = jmpAddr;
    
    ShutPageProtect();

    RtlCopyMemory(Old_code, (PVOID)(StartAddr + ChangeAddr), 5);
    RtlCopyMemory((PVOID)(StartAddr + ChangeAddr), jmp_code, 5);

    OpenPageProtect();

}

void UnHookNtOpenFile()
{
    ULONG ChangeAddr = 3;

    ShutPageProtect();
    RtlCopyMemory((PVOID)(StartAddr + ChangeAddr), Old_code, 5);
    OpenPageProtect();

}

//卸载驱动
void DriverUnload(DRIVER_OBJECT* obj)
{
    //卸载钩子
    UnHookNtOpenFile();

    KdPrint(("驱动卸载成功！\n"));
}

/***驱动入口主函数***/
NTSTATUS DriverEntry(DRIVER_OBJECT* driver, UNICODE_STRING* path)
{
    KdPrint(("驱动启动成功！\n"));

    //安装钩子
    HookNtOpenFile();

    driver->DriverUnload = DriverUnload;
    return STATUS_SUCCESS;
}

实现效果如下

原文作者：Drunkmars

原文链接：http://drunkmars.top/2022/02/16/r0Inlinehook/

发表日期：二月 16日 2022, 12:00:00 凌晨

更新日期：February 16th 2022, 6:32:42 pm

版权声明：本文采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可

• Next Post
  shellcode编写探究
• Previous Post
  ring0下的进程保护

Powered by Hexotheme Archer

PV: :)

CATALOG

• Archive
• Tag
• Cate

Total : 117

2022

• 05/14 浅谈EDR绕过
• 05/14 调用NtCreateUserProcess创建进程绕过杀软hook
• 05/12 ETW的攻与防
• 05/07 对抗无落地的shellcode注入
• 05/04 x64环境下隐藏可执行内存
• 05/01 深入理解注册表监控
• 04/30 windows环境下的自保护探究
• 04/29 64位下使用回调函数实现监控
• 04/16 通过嵌入x64汇编隐藏数据&反调试
• 04/13 构建API调用框架绕过杀软hook
• 04/10 windows环境下的反调试探究
• 04/07 浅谈hook攻防
• 04/04 通过硬件断点绕过hook检测
• 04/01 windows环境下的调试器探究
• 03/28 windows异常处理探究
• 03/22 ring0下使用内核重载绕过杀软hook
• 03/16 基于全局句柄表发现隐藏进程
• 03/03 基于PEB断链实现进程与模块隐藏
• 02/20 ring3下API的逆向分析及重构
• 02/17 shellcode编写探究
• 02/16 ring0下的Inline hook
• 02/15 ring0下的进程保护
• 02/14 进程强杀初探
• 01/17 URLDNS链探究
• 01/15 RMI探究
• 01/14 java反射探究
• 01/10 java反序列化探究

2021

• 12/05 关于抓取明文的探究
• 11/08 使用api创建计划任务详解
• 11/07 自删除技术的实现
• 11/05 CS中上线不出网主机
• 11/04 创建进程的几种方式
• 10/27 自启动技术详解
• 10/26 初探傀儡进程
• 10/25 socket的探究与实现
• 10/22 通过内存写入隐藏模块
• 10/21 初探进程伪装
• 10/21 关于进程隐藏的探究
• 10/19 关于bypassuac的探究
• 10/07 初探com劫持
• 10/04 CSV注入获取meterpreter
• 10/04 反沙箱调试
• 10/04 父进程伪造
• 10/04 调试与反调试的探究
• 10/03 初探dll劫持
• 10/01 关于几种dll注入的学习
• 09/26 浅谈内网转发与流量代理
• 09/13 记一次外网打点到内网渗透
• 09/12 hook技术详解
• 09/10 mysql提权总结
• 08/23 php漏洞大杂烩
• 08/20 struts2漏洞总结
• 08/16 tomcat漏洞大杂烩
• 08/09 红日靶场4
• 08/04 weblogic漏洞大杂烩
• 07/28 浅谈域环境下布置水坑实现hash窃取
• 07/21 红日靶场2
• 07/20 redis漏洞总结
• 07/19 spring漏洞总结
• 07/19 红日靶场3
• 07/06 红日靶场5
• 07/05 一种简单的反虚拟机调试方法
• 06/16 C++二叉树实现
• 06/15 C++链表实现
• 06/13 msf生成木马小结
• 06/11 certutil探究
• 06/10 横向移动总结
• 06/09 从mimikatz抓取密码学习攻防
• 06/08 LLMNR和NetBIOS欺骗攻击分析及防范
• 06/04 NULL、0、nullptr 区别分析
• 06/02 RPC提权
• 06/01 CVE-2019-1388 UAC提权
• 06/01 如何编写属于自己的第一个exp
• 05/29 读书笔记
• 05/28 vulnhub靶场实战
• 05/26 渗透测试中弹shell的多种方式及bypass
• 05/25 CVE-2020-1472详解
• 05/23 从外围打点到内网渗透拿下域控
• 05/19 内网渗透之向日葵妙用
• 05/12 Dedecms(织梦cms)漏洞分析及复现
• 05/12 Empirecms(帝国cms)漏洞分析及复现
• 05/11 CVE-2020-0796分析及利用
• 05/11 MS17_010检测及打法
• 05/11 木马解析&disable_fuctions
• 05/08 jboss之JMXInvokerServlet反序列化漏洞分析利用
• 05/08 内网穿透的n种姿势
• 05/06 文件上传bypass安全狗
• 04/28 cs加载宏上线初探
• 04/27 内网渗透之DPAPI机制学习
• 04/20 隐藏用户的创建和使用
• 04/19 利用卷影拷贝服务提取ntds.dit
• 04/17 中间人攻击之arp欺骗
• 04/15 浅谈域渗透中组策略及gpp运用
• 04/14 thinkphp漏洞分析与总结
• 04/13 msf使用详解
• 04/13 sql注入之超详细sqlmap使用攻略
• 04/10 windows认证解读
• 04/09 巧用smb beacon拿下不出网主机(红日靶场1)
• 04/08 phpmyadmin页面getshell
• 04/08 windows环境下抓密码总结
• 04/04 Stega
• 04/02 内网渗透命令
• 03/30 IPC命令&计划任务上线
• 03/29 常用端口总结
• 03/27 mysql离线解析密码
• 03/27 绕过CDN找源站ip
• 03/27 记一次php、sql注入学习后的一道ctf代码审计题复盘
• 03/26 小白的第一次sql实战
• 03/23 crackme001
• 03/21 certutil&wmic绕过
• 03/17 vps-java环境配置
• 03/16 Joomla框架搭建&远程代码执行(RCE)漏洞复现
• 03/16 jboss打入内网的四种方式
• 03/16 sqlmap在https下的一种错误 - ssl连接失败
• 03/14 汇编JCC指令表
• 03/13 README
• 03/13 写在最前

 内网渗透  cve  漏洞复现  C++  二进制  内核  cms  web渗透  private  横向移动  提权  windows  ctf  java  cobalt strike  apt  java中间件  msf命令  oa  中间件  mysql  sql  thinkphp  web  x64  环境配置  域渗透  碎碎念  bypass  php  靶场实战  权限维持



缺失模块，请参考主题文档进行安装配置：https://github.com/fi3ework/hexo-theme-archer#%E5%AE%89%E8%A3%85%E4%B8%BB%E9%A2%98

