【A-Protect】x86 Hook 系统调用

 

代码

DriverEntry 创建线程，部分执行代码如下：

VOID IsKernelBooting(IN PVOID Context)
{

// ...

	_asm
	{
		pushad;
		mov ecx, 0x176;                     // msr EIP
		rdmsr;
		mov KiFastCallEntry, eax;
		popad;
	}
	if (*KiFastCallEntry == 0xe9)           // 0xe9 , jmp
	{
		DbgPrint("Terminate System Thread\n");
		return;
	}

// ...

}

 

解析

 

这段代码主要是获取到 KiFastCallEntry 函数的地址。

 

1. pushad/popad
   
   
   将以下寄存器压入栈、出栈，以便在汇编中使用寄存器。
   
    
2. rdmsr 
   
   读取MSR寄存器的内容，并将读取到的内容高32bit存储在EDX，低32bit存储在EAX。
   
   MSR 寄存器是在x86 中使用 快速系统调用 依赖的寄存器（区别int 0x2E自陷）。
   
   在 x86 中，系统调用服务过程使用三个MSR寄存器，如下：
    

   SYSENTER_CS_MSR,   //0x174
   SYSENTER_EIP_MSR,  //0x176， 包含KiFastCallEntry地址
   SYSENTER_ESP_MSR   //0x175

   所以，rdmsr执行之后，EAX就存储了 KiFastCallEntry 函数的起始地址。
   
   
    
3. 获取到KiFastCallEntry 之后，根据其第一字节是否为0xe9判断该函数是否已经被Hook，0xe9对应jmp指令。
   
   
    
4. x86 快速系统调用 过程：
   
   
   
   
   
   KiFastCallEntry 函数地址就是存储在 SYSENTER_EIP_MSR 内容对应的寄存器。

 

 

后记

 

1. 以上代码仅适用于 x86 使用快速调用的方式，也就是 sysenter/sysexit；在x64中，快速系统调用已更改为 syscall/sysret。