我对 HOOK 派遣例程函数表的体会。。。

关键点:

调试函数得到的信息:

 

kd> u nt!IofCallDriver
nt!IofCallDriver:
804ef120 ff2500d25480    jmp     dword ptr [nt!pIofCallDriver (8054d200)]
804ef126 cc              int     3
804ef127 cc              int     3
804ef128 cc              int     3
804ef129 cc              int     3
804ef12a cc              int     3
804ef12b cc              int     3
nt!IoCheckQuerySetFileInformation:
804ef12c 8bff            mov     edi,edi

 

我们知道,在调用IoCallDriver 的时候,它会先调用 IofCallDriver,所以,我们必须替换 这个 JMP 的地址,也就是

替换成我们的函数地址。。。

 

替换的过程:

 ULONG  uAddress;
 KIRQL  Irql;

 uAddress = (ULONG)IofCallDriver;  // 得到原函数地址

 __asm
 {
  mov eax, uAddress;
  mov esi, [eax+2];                           // 取得 FF 后边的地址
  mov eax, esi;                                  // 保存原来函数的地址(也就是 FF 后边的 4 字节:也就是IoCallDriver 的地址 )
  mov OldIofCallDriver, eax;             //  用我们定义好的指向函数的指针 指向 IoCallDriver 这个函数。。。因为我们处理完后,

                                                         // 可以把控制权还给系统
 }                               

                        

 Irql = KeRaiseIrqlToDpcLevel();       // 提高中断等级,防止被抢占。。。    
 ClearMemoryProtect();                    // 去除内存的写保护,我自己把它们封装了
 __asm
 {
  mov eax, uAddress;                                         // 再次得到函数地址
  mov esi, [eax+2];                                            // 同上
  mov dword ptr [esi], offset MyIofCallDriver;  // 将原来函数的地址覆盖成我们定义的 HOOK 函数,

                                                                        // 然后,当请求到来的时候,程序会首先执行我们,

                                                                        // 然后,在我们的函数中,我们通过前边得到的函数指针,调用原来的函数...
 }
 RecoverMemoryProtect();
 KeLowerIrql(Irql);

卸载呢?

也就是,我们将 jmp 后 的4 个字节 替换成原来的函数地址,一切就是这样,从这里可以看出,指针的威力是很强大的。。。

你可能感兴趣的:(c,hook)