总览：

一、IAT HOOK：
 因为上一篇博客对已经对IAT Hook基本流程及作用进行了介绍，希望能先学懂PE再来看IATHook.下面贴上Iathook的源码，源码中有详细的注释，还记着为什么不能结束360的进程吗？参考思路如下图（因为写代码的时候解决方案写到了源码中，不粘贴复制过来了）：

 以下代码是DLL注入+iathook，通过测试procexp中的kill功能并没有使用OpenProcess函数，所以需要逆向看一看他是如何结束的进程，下回与大家一起讨论，64的注入是成功，但是记得要改DWORD等32位整型变量，整体思路是不变的。
 代码中有ZwCreateThreadEx注入，是更底层的函数，大家如果注入系统进程失败，可以把注释打开使用ZwCreateThreadEx进行注入，测试没问题
声明：

// 因为ZwCreateThreadEx没有定义，所以自己定义一个伪函数typedef DWORD(WINAPI* FnZwCreateThreadEx)(PHANDLE ThreadHandle, ACCESS_MASK DesiredAccess, LPVOID ObjectAttributes, HANDLE ProcessHandle, LPTHREAD_START_ROUTINE lpStartAddress, LPVOID lpParameter, ULONG CreateThreadFlags, SIZE_T ZeroBits, SIZE_T StackSize, SIZE_T MaximunStackSize, LPVOID pUnkown);FnZwCreateThreadEx MyZwCreateThreadEx;// DLL的路径 const char DllPath[MAX_PATH] = { "C:\\Users\\Administrator\\documents\\visual studio 2013\\Projects\\Text\\Debug\\TerminateProcessHook.dll" }; const char DllPath2[MAX_PATH] = { "C:\\Users\\Administrator\\documents\\visual studio 2013\\Projects\\Text\\Debug\\HookDll.dll" }; // 需要声明的变量 HANDLE hProc = NULL; HANDLE RemoteHandle = NULL;

注入源码：
这是写在一个按钮响应消息里面的代码，远程线程挂起没有测试，如果不行可以删除。

HMODULE hNtdHandle = LoadLibrary(L"ntdll.dll"); // 获取地址给伪函数（因为ZwCreateThreadEx没有声明） MyZwCreateThreadEx = (FnZwCreateThreadEx)GetProcAddress(hNtdHandle, "ZwCreateThreadEx"); // 其实没必要这样写，不过更为规范一些 auto pFinAddress = GetProcAddress(GetModuleHandle(L"Kernel32.dll"), "LoadLibraryA"); // 第一次点击按钮,开启保护(只执行一次)， 第二次点击按钮会挂起远程线程（暂停保护），第三次会在恢复...... if ((IntHookFlag == FALSE) && (IntHookFlag == TRUE)) { IntHookFlag = TRUE; // 挂起远程线程 SuspendThread(RemoteHandle); SetDlgItemText(IDC_STATIC3, L"×"); } else { IntHookFlag = FALSE; // 恢复远程线程 ResumeThread(RemoteHandle); SetDlgItemText(IDC_STATIC3, L"√"); } // IAT Hook 自我保护未开启 if (OneIntHookFlag == FALSE) { // 标记为真 OneIntHookFlag = TRUE; // 1. 获取被注入句柄 // HANDLE hProc = FindWindow(L"CalcFrame",NULL); hProc = OpenProcess(PROCESS_ALL_ACCESS, FALSE, 5000); if (!hProc) { AfxMessageBox(L"FindWindow() failuer"); return; } // DLL名称大小 SIZE_T dwSize = strlen(DllPath2) + 1; // 2. 被注入进程申请内存空间 auto pDlladdress = VirtualAllocEx(hProc, NULL, dwSize, MEM_COMMIT, PAGE_READWRITE); if (!pDlladdress) { CloseHandle(hProc); AfxMessageBox(L"VirtualAllocEx() failuer"); return; } // 3. 写入内存数据 if (!WriteProcessMemory(hProc, pDlladdress, DllPath2, dwSize, &dwSize)) { VirtualFree(pDlladdress, dwSize, MEM_RELEASE); CloseHandle(hProc); AfxMessageBox(L"WriteProcessMemory() failuer"); return; } // 补：这个地方创建信号量来传递Pid; DWORD m_Pid = GetCurrentProcessId(); // HANDLE pProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, m_Pid); HANDLE hMap = CreateFileMapping(INVALID_HANDLE_VALUE, NULL, PAGE_READWRITE, 0, 0x10, L"Pid"); LPVOID hMapFile = MapViewOfFile(hMap, FILE_MAP_ALL_ACCESS, 0, 0, 0); // DLL里面接收PID memcpy(hMapFile, &m_Pid, sizeof(HANDLE)); // 4. 远程注入 LoadLibraryA获取函数地址可以直接函数名（编译器会帮助你获取VA），当然也可以GetProcess自己来获取VA DWORD dwTid = 0; // LoadLibrary(L""); RemoteHandle = CreateRemoteThread(hProc, NULL, 0, (LPTHREAD_START_ROUTINE)LoadLibraryA, (LPVOID)pDlladdress, 0, NULL); // HANDLE RemoteHandle = NULL; // DWORD dwStatu = MyZwCreateThreadEx(&RemoteHandle, PROCESS_ALL_ACCESS, NULL, hProc, (LPTHREAD_START_ROUTINE)pFinAddress, (LPVOID)pDlladdress, 0, 0, 0, 0, NULL); SetDlgItemText(IDC_STATIC3, L"√"); DWORD error = GetLastError(); // 5. 这个地方就不等待执行后在返回了WaitForSingleObjectEx(); // 6. 关闭远程句柄（只是关闭了本进程获取到的句柄，引用计数-1） CloseHandle(hProc);

DLL源码：

// dllmain.cpp : 定义 DLL 应用程序的入口点。#include "stdafx.h"// Save New Function AddressBYTE g_NewAddress[5] = { 0xE9 };// Save Old Function AddressBYTE g_OldAddress[5] = {};// Save WriteAttribDWORD g_OldAttrib = 0;// Save ProtectProcessPidDWORD g_Pid = 0;// Statement : Camouflage FunctionHANDLE WINAPI MyOpenProcess(_In_ DWORD dwDesiredAccess, _In_ BOOL bInheritHandle, _In_ DWORD dwProcessId);// Statement : Instanll Hookvoid InstallHook();// Statement : UnInstall Hookvoid UnInstallHook();// True OpenProcesstypedef HANDLE(WINAPI*FnOpenProcess)(_In_ DWORD dwDesiredAccess,_In_ BOOL bInheritHandle,_In_ DWORD dwProcessId);FnOpenProcess FOpenProcess;BOOL APIENTRY DllMain(HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved ){ switch (ul_reason_for_call) { // 被远程线程创建时候会被调用 case DLL_PROCESS_ATTACH: { ::MessageBox(NULL, L"X64任务管理器", L"注入", NULL); // 安装HOOK InstallHook(); } break; case DLL_PROCESS_DETACH: { // 卸载HOOK UnInstallHook(); } break; } return TRUE;}// Implementation : Camouflage FunctionHANDLE WINAPI MyOpenProcess(_In_ DWORD dwDesiredAccess, _In_ BOOL bInheritHandle, _In_ DWORD dwProcessId){ /* 做个过滤,因为我们需要保护进程只有一个,被保护的PID是多少？ 我们可以做用映射，信号量等把Pid传到被注入进程中。 */ HANDLE hProce = NULL; if (dwProcessId == g_Pid) { // 先回复 UnInstallHook(); // 打开权限默认为NULL 拒绝访问 hProce = OpenProcess(NULL, bInheritHandle, dwProcessId); // 在安装 InstallHook(); return hProce; } else { // 先回复 UnInstallHook(); // 调用正确的OPenProcess hProce = OpenProcess(dwDesiredAccess, bInheritHandle, dwProcessId); // 在安装 InstallHook(); // 返回正确的句柄 return hProce;//FOpenProcess(dwDesiredAccess, bInheritHandle, dwProcessId); }}// Implementation : Instanll Hookvoid InstallHook(){ // 前奏工作 HANDLE hMap = OpenFileMapping(FILE_MAP_ALL_ACCESS, FALSE, L"Pid"); LPVOID hAddr = MapViewOfFile(hMap, FILE_MAP_ALL_ACCESS, 0, 0, 0); g_Pid = *(DWORD*)hAddr; // 1. 保存原来的地址(是指令长度) memcpy(g_OldAddress, OpenProcess, 5); FOpenProcess = (FnOpenProcess)OpenProcess; // 2. 计算偏移 DWORD dwOffset = (DWORD)MyOpenProcess - (DWORD)OpenProcess - 5; // 3. 数组填充新偏移 // memcpy(&g_NewAddress[1], &dwOffset, 4); 切记不可用这种方式 当年这个BUG卡了好久 内存大小端字符排序 内存拷贝是正向的 偏移错误 *(DWORD *)(g_NewAddress + 1) = dwOffset; VirtualProtect(OpenProcess, 5, PAGE_EXECUTE_READWRITE, &g_OldAttrib); // 4. 写入地址 memcpy(OpenProcess, g_NewAddress, 5); VirtualProtect(OpenProcess, 5, g_OldAttrib, &g_OldAttrib);}// Implementation : UnInstall Hookvoid UnInstallHook(){ VirtualProtect(OpenProcess, 5, PAGE_EXECUTE_READWRITE, &g_OldAttrib); // 写回去就行了 memcpy(OpenProcess, g_OldAddress, 5); VirtualProtect(OpenProcess, 5, g_OldAttrib, &g_OldAttrib);}

 
二、ObjectHook：
 ObjectHook相关内核数据结构知识分享，如果你写过windows内核编程，那么更容易理解一些。

 如上图所示：这就是Windows内核对象数据结构，表示注册表、进程、线程等等。对象数据结构当然是对象管理器管理，所有的对象内部都会有OBJECT_HEADER的结构体，用来维护生命周期。

 对象头上面是对象头引导，如OBJECT_HEADER_QUOTA_INFO、OBJECT_HEADER_HANDLE_INFO还有后面两个，描述了相关对象额外的属性，这些结构体对应着OBJECT_HEADER中的成员变量，如下介绍：
  1、OBJECT_HEADER_NAME_INFO --> NameInfoOffset
  2、OBJECT_HEADER_HANDLE_INFO --> HandleInfoOffset
  3、OBJECT_HEADER_QUOTA_INFO --> QuotaInfoOffset

 图中OBJECT_HEADER结构体中前两个PointerCount与HandleCount是引用计数。
  1、PointerCount：内核模式对象引用数量
  2、HandleCount：句柄数量
补充一些：
 1. 内核中的指针引用. 一旦内核中新增了一个对象的引用, 则对象的引用计数自增一,如果一个对象的引用不再有用,则引用计数自减一. 这两种引用的增减是使用ObReferenceObjectByPointer和ObDereferenceObject导致的.
 2. 一个进程打开一个对象并成功获得一个句柄, 会使得对象头中的句柄计数自增一. 当一个句柄不再被使用时, 句柄计数自减一. 这两种引用的增减来自ObpIncrementHandleCount和ObpDecrementHandleCount函数.

 +0x10指向的是_OBJECT_CREATE_INFORMATION

 在创建CreateProcess时候会给该结构体申请空间，后面会填充该结构体信息。

 我们重点看一下偏移为+0x008 OBJECT_TYPE，表示对于通用属性（对象的通用属性）存储，如下图所示：

 OBJECT_TYPE.TypeInfo指向了OBJECT_TYPE_INITIALIZER结构体，这个结构体包含特定对象类型的函数，对象管理器用于各类的执行操作，如下图所示：

 你会发现我用红色框框标记了上图的一些成员，所谓的ObjectHook就是他们（替换地址），这些函数过程会在特定时机被调用。

如何找到对象头？
 我先们在windbg下来看一看，你要知道的一点是：内核变量ObTypeIndexTable是一个指针数组，它的每个成员都指向一种对象类型的OBJECT_TYPE结构体，也就是说它是由一个指针数组维护的。
 那么我们就好办了，找到这个指针数组看一看

 到底对不对？我们来测试一下？

 OBJECT_TYPE了+0x28就是_OBJECT_TYPE_INITIALIZER。windbg下面能找到，编写代码的时候如何获取OBJECT_HEADER呢？

 先来看一下，OBJECT_HEADER + 0x18，是成员变量Boby，这是什么？这是对象主体，我们可以看到对象主体中OBJECT_DIRECTORY，DRIVER_OBJECT，DEVICE_OBJECT等对象结构，我们在编写windows内核编程的时候会创建驱动对象，设备对象，这样就好说了。
 假设驱动对象地址是OBJECT_HEADER + 0x18偏移的地方，那么驱动对象地址-0x18则是OBJECT_HEADER的地址，如下图所示：

 上面代码就是用汇编进行了的ObjectHook，如果理解了以上结构体概念，这些汇编代码应该没有难度。
 为什么不用结构体去编程？因为我不想定义那么多结构体，部分结构体windows是没有公开的，需要自己在头文件中定义，但是代码中仍然给出了完整的结构体，可以用结构体实现，源码如下：
头文件定义：
#include <ntddk.h>

/*定义的结构体信息*/typedef struct _OBJECT_TYPE_INITIALIZER{ USHORT Length; USHORT type; PVOID ObjectTypeCode; PVOID InvalidAttributes; GENERIC_MAPPING GenericMapping; PVOID ValidAccessMask; PVOID RetainAccess; POOL_TYPE PoolType; PVOID DefaultPagedPoolCharge; PVOID DefaultNonPagedPoolCharge; PVOID DumpProcedure; PVOID OpenProcedure; PVOID CloseProcedure; PVOID DeleteProcedure; PVOID ParseProcedure; PVOID SecurityProcedure; PVOID QueryNameProcedure; USHORT OkayToCloseProcedure;} OBJECT_TYPE_INITIALIZER, *POBJECT_TYPE_INITIALIZER;typedef struct _OBJECT_TYPE{ LIST_ENTRY TypeList; // : _LIST_ENTRY UNICODE_STRING Name; // : _UNICODE_STRING PVOID DefaultObject; // : Ptr32 Void ULONG Index; // : UChar ULONG TotalNumberOfObjects; // : Uint4B ULONG TotalNumberOfHandles; // : Uint4B ULONG HighWaterNumberOfObjects; // : Uint4B ULONG HighWaterNumberOfHandles; // : Uint4B OBJECT_TYPE_INITIALIZER TypeInfo; // : _OBJECT_TYPE_INITIALIZER PVOID TypeLock; // : _EX_PUSH_LOCK ULONG Key; // : Uint4B LIST_ENTRY CallbackList; // : _LIST_ENTRY} OBJECT_TYPE, *POBJECT_TYPE;typedef struct _OBJECT_CREATE_INFORMATION{ ULONG Attributes; HANDLE RootDirectory; KPROCESSOR_MODE ProbeMode; ULONG PagedPoolCharge; ULONG NonPagedPoolCharge; ULONG SecurityDescriptorCharge; PVOID SecurityDescriptor; PSECURITY_QUALITY_OF_SERVICE SecurityQos; SECURITY_QUALITY_OF_SERVICE SecurityQualityOfService;} OBJECT_CREATE_INFORMATION, *POBJECT_CREATE_INFORMATION;typedef struct _OBJECT_HEADER{ //对象头部的指针计数，对对象头指针引用的计数 LONG_PTR PointerCount; union { //句柄引用计数 LONG_PTR HandleCount; PVOID NextToFree; }; POBJECT_TYPE Type; //OBJECT_HEADER_NAME_INFO相对于此结构的偏移 UCHAR NameInfoOffset; //OBJECT_HEADER_HANDLE_INFO相对于此结构的偏移 UCHAR HandleInfoOffset; //OBJECT_HEADER_QUOTA_INFO相对于此结构的偏移 UCHAR QuotaInfoOffset; UCHAR Flags; union { //创建对象是用于创建对象附加头的结构 //里面保存了和附加对象头类似的信息 PVOID ObjectCreateInfo; PVOID QuotaBlockCharged; }; PSECURITY_DESCRIPTOR SecurityDescriptor; QUAD Body;} OBJECT_HEADER, *POBJECT_HEADER;// 获取头信息#define OBJECT_TO_OBJECT_HEADER(o)\ CONTAINING_RECORD((o),OBJECT_HEADER,Body)#define CONTAINING_RECORD(address,type,field)\ ((type*)(((ULONG_PTR)address)-(ULONG_PTR)(&(((type*)0)->field))))

代码实现：

#include "HookHead.h"VOID UnLoadDriver(){}NTSTATUS MyDeleteProcedure();NTSTATUS MaDefaultFunction(DEVICE_OBJECT* pDeviceObj, IRP* Irp){ Irp->IoStatus.Information = 0; Irp->IoStatus.Status = STATUS_SUCCESS; IoCompleteRequest(Irp, IO_NO_INCREMENT); return STATUS_SUCCESS;}NTSTATUS DriverEntry(DRIVER_OBJECT* pDeviceObj, UNICODE_STRING* RegistryPath){ pDeviceObj->DriverUnload = UnLoadDriver; for (int i = 0; i < IRP_MJ_MAXIMUM_FUNCTION; ++i) { pDeviceObj->MajorFunction[i] = MaDefaultFunction; } // 1. 获取OBJECT_HEAD __asm { // 保存环境 pushad; pushfd; // 1 设备对象就是 OBJECT_BODY 也就是 -0x18是OBJECT_HREAD -0x10是OBJECT_TYPE(OBJECT_HANDLE + 0x8) lea eax, pDeviceObj; sub eax, 0x10; // 2 获取到OBJECT_TYPE之后 地址加上0x3c则是DeleteProcdure（其实已经在OBJECT_TYPE_INITIALZER结构体中） lea eax, [eax + 0x3c]; // 3 DeleteProcdure地址替换成的MyDeleteProcedure地址 lea esi, MyDeleteProcedure; mov eax, esi; // 恢复环境 popad; popfd; } // 2. 获取OBJECT_TYPE // 3. 替换相对应的函数}NTSTATUS MyDeleteProcedure(){}

 
三、SsdtHook：
 SSDT：System Service Descriptor Table,系统服务描述符表。这个表保存啥的？其实就是把三环零环的API联起来，不单单是索引表，而且还包含一些索引基址、服务函数个数等。

先有个基本的概念，下面来看一张图：

 我们发现不论是System support process，还是Service processes他们都会进入内核模式之前都会经过Ntdll.dll模块。然后通过系统服务调度程序到接口，到微内核，到HAL（驱动硬件相关联的地方）。
 所以内核层下也有微内核与HAL层，前面博客中介绍过一些相关的结构体如_EPROCESS里面内嵌_KPROCESS，_EPROCESS被执行体层执行，而_KPROCESS是微内核层调度。
内核层分为：
 1、执行体层
 2、微内核层
 3、HAL层
用OD随便跟踪函数：

 上面调用的函数有点奇怪，并不是想象中的CALL [EDX]，而是wow64cpu函数。这是用户模式下实现的，作为 ntdll.dll 和内核之间的层。如果你的应用程序是32位，为了能在64位的系统上运行起来，就会调用这个函数兼容，Windows下的一个子系统。
该函数有三种返回值：
 1、64位运行在64位系统下，不是WOW64模式，return 0;
 2、32位运行在64位系统下，WOW64模式，return 1;
 3、32位运行在32位系统下，return 0;
 有点像傀儡进程一样，函数过程大概是这样，原进程会被创建（包括注册表），然后判断该程序信息，如果不是64位在C盘下（具体位置记不清楚），Temp的文件夹下创建一个64位的线程，修改注册表信息等(不太准确，只是以前逆向的时候观察过整个的过程)。
 MOV EAX, 0x22(0x23) --> 保存调用号 ssdt表中的序号
 EAX寄存器保存保存函数的调用号，其实到内核以后就靠调用号来确认调用的是哪个函数。

 对windows内核比较熟悉的应该知道，用户的堆栈与内核的堆栈不是同一个堆栈空间，而且用户层没有权限去访问内核层的数据，通过什么进入内核层？一条汇编指令 SYSENTER，如下图所示：

 cs:ip执行这一条汇编指令之后，你将进入到内核。如何做到的呢？其实在SYSENTRY指令之前，先会用edx保存esp的值，执行SYSENTER时候会读取特殊寄存器MSR模组寄存器，如下图所示：

没有名字，只有编号，通过以下两条汇编指令对MSR进行操作：

详细：
 1、RDMSR：将 ECX 寄存器指定的 64 位型号专用寄存器 (MSR) 的内容加载到寄存器 EDX:EAX。EDX 寄存器中加载 MSR 的高 32 位，EAX 寄存器中加载低 32 位。在读取的 MSR 中，如果实现的位数小于 64，则返回 EDX:EAX 中未实现的位的值未定义。
 2、WRMSR ：将寄存器 EDX:EAX 的内容写入 ECX 寄存器指定的 64 位型号专用寄存器 (MSR)。高 32 位从 EDX 复制，低 32 位从 EAX 复制。MSR 中未定义或保留的位总是设置为上次读取时的值。
 补充一下：其实有些KiFastCallEntry Hook大家看到这里应该明白，其实就是改变编号0x176保存的地址。

 当SYSENTER执行时候，就把寄存器的值初始化成真正的寄存器CS,ESP,EIP寄存器的数据。这时候就跑到KiFastCallEntry。

 KiFastCallEntry函数大家有兴趣可以分析下，那么对上面的流程更为清晰，怎样去分析呢，windbg下就可以，如下图所示：

 竟然进入到了内核层，把用户栈的内容拷贝到内核栈，但是拷贝多少个字节？参数个数？

 通过eax在用户层保存的序号，就能找到函数地址。通过调用号作为序号，就能找到参数个数，个数*4就是总字节，其实这张表就是SSDT，还有一张表叫ShadowSSDT,专门用于保存和用户界面相关服务，内核中还有两张没有使用的表，如下图所示（两个结构体）。

 _KSYSTEM_SERVICE_TABLE便是SSDT的结构体，通过上图我们知道了SSDT的结构，另一个结构体保存了这四张表。

windbg如何找到ssdt？
 1、dd KeServiceDescriptorTable(由ntoskrnl.exe导出)。
 2、还可以通过_KTHREAD + 0xbc来找到ServiceTableBase结构体基址。


使用结构体解析地址看一下，如下图所示：

 图中标红便对应着结构体成员值，函数地址表首地址、每个函数被调用次数、服务函数个数191个，参数表地址。
 HOOK的是什么？ 其实HOOK的就是函数地址表中的地址，当内核层通过调用号找到ssdt中的索引号，调用的是我们自己的函数地址即可。
到底是不是这样？经过测试确实是这样，下图是源码测试图：


我们用ark工具看一下，如下图所示：

源码如下：
头文件：

#pragma once#include <ntddk.h>#define CTL_SSDT_ENABLE \ CTL_CODE(FILE_DEVICE_UNKNOWN, 0x801, METHOD_OUT_DIRECT, FILE_ANY_ACCESS)#define CTL_SSDT_DISABLE \ CTL_CODE(FILE_DEVICE_UNKNOWN, 0x802, METHOD_OUT_DIRECT, FILE_ANY_ACCESS)typedef struct _KSERVICE_TABLE_DESCRIPTOR{ KSYSTEM_SERVICE_TABLE ntoskrnl; // ntoskrnl.exe的服务函数，即SSDT KSYSTEM_SERVICE_TABLE win32k; // win32k.sys的服务函数(GDI32.dll/User32.dll 的内核支持)，即ShadowSSDT KSYSTEM_SERVICE_TABLE notUsed1; // 不使用 KSYSTEM_SERVICE_TABLE notUsed2; // 不使用}KSERVICE_TABLE_DESCRIPTOR, *PKSERVICE_TABLE_DESCRIPTOR;typedef struct _KSYSTEM_SERVICE_TABLE{ PULONG ServiceTableBase; // 函数地址表的首地址 PULONG ServiceCounterTableBase; // 函数表中每个函数被调用的次数 ULONG NumberOfService; // 服务函数的个数, NumberOfService * 4 就是整个地址表的大小 UCHAR* ParamTableBase; // 参数个数表首地址} KSYSTEM_SERVICE_TABLE, *PKSYSTEM_SERVICE_TABLE;// 伪函数（Hook的函数）typedef NTSTATUS(NTAPI*FnNtOpenProcess)(PHANDLE ProcessHandle, ACCESS_MASK DesiredAccess, POBJECT_ATTRIBUTES ObjectAttributes, PCLIENT_ID ClientId);// 保存旧的地址FnNtOpenProcess g_OldNtOpenProcess;// 定义KeServieDescriptorTableShadowKSERVICE_TABLE_DESCRIPTOR* g_ServiceTab = NULL;// 保存被保护进程PIDHANDLE g_Pid = 0;

驱动层：

#include "SSDTHookHead.h"// 声明：驱动卸载VOID DriverUnLoad(DRIVER_OBJECT* pDeviceobj);// 声明：默认初始化NTSTATUS DefaultFunction(DEVICE_OBJECT* pDeviceObj, IRP* Irp);// 声明：控制码NTSTATUS ControlCode(DEVICE_OBJECT* pDeviceObj, IRP* Irp);// 声明：安装HOOKVOID InstallHook();// 声明：卸载HOOKVOID UnInstallHook();// 声明：关闭分页保护NTSTATUS ShudowMemoryPageProtect();// 声明：开启分页保护NTSTATUS StartMemoryPageProtect();// Hook实现函数NTSTATUS MyOpenProcess(PHANDLE ProcessHandle, ACCESS_MASK DesiredAccess, POBJECT_ATTRIBUTES ObjectAttributes, PCLIENT_ID ClientId);// 声明：入口点NTSTATUS DriverEntry(DRIVER_OBJECT* pDriverObj, UNICODE_STRING* RegistryPath){ UNREFERENCED_PARAMETER(RegistryPath); DEVICE_OBJECT* pDeviceObj = NULL; UNICODE_STRING DevName; UNICODE_STRING SymbolicLinkName; NTSTATUS Status = STATUS_SUCCESS; RtlInitUnicodeString(&DevName, L"\\Device\\SsdtHook"); RtlInitUnicodeString(&SymbolicLinkName, L"\\DosDevices\\SymbolicLinkName"); // DbgBreakPoint(); pDriverObj->DriverUnload = DriverUnLoad; for (int i = 0; i < IRP_MJ_MAXIMUM_FUNCTION; ++i) { pDriverObj->MajorFunction[i] = DefaultFunction; } // 设备对象 Status = IoCreateDevice(pDriverObj, 0, &DevName, FILE_DEVICE_UNKNOWN, 0, 0, &pDeviceObj); if (!NT_SUCCESS(Status)) return Status; // 使用缓冲区的方式进行3环与0环通讯 pDriverObj->Flags = DO_BUFFERED_IO; // 符号对象暴露给三环使用 Status = IoCreateSymbolicLink(&SymbolicLinkName, &DevName); if (!NT_SUCCESS(Status)) return Status; pDriverObj->MajorFunction[IRP_MJ_DEVICE_CONTROL] = ControlCode; return STATUS_SUCCESS;}VOID DriverUnLoad(DRIVER_OBJECT* pDeviceobj){ UNICODE_STRING DeleteSymblolicLinkName; RtlInitUnicodeString(&DeleteSymblolicLinkName, L"\\DosDevices\\SymbolicLinkName"); IoDeleteSymbolicLink(&DeleteSymblolicLinkName); IoDeleteDevice(pDeviceobj->DeviceObject);}// 实现：默认初始化NTSTATUS DefaultFunction(DEVICE_OBJECT* pDeviceObj, IRP* Irp){ UNREFERENCED_PARAMETER(pDeviceObj); Irp->IoStatus.Information = 0; Irp->IoStatus.Status = STATUS_SUCCESS; IoCompleteRequest(Irp, IO_NO_INCREMENT); return STATUS_SUCCESS;}// 实现：控制码NTSTATUS ControlCode(DEVICE_OBJECT* pDeviceObj, IRP* Irp){ // DbgBreakPoint(); UNREFERENCED_PARAMETER(pDeviceObj); // 通过Irp栈数据获取控制码 // NTSTATUS nStatus = STATUS_SUCCESS; PIO_STACK_LOCATION pIrpStack = IoGetCurrentIrpStackLocation(Irp); ULONG uControlCode = pIrpStack->Parameters.DeviceIoControl.IoControlCode; // 通过MDL获取需要保护的Pid // g_Pid = (HANDLE)MmGetSystemAddressForMdlSafe(Irp->MdlAddress, NormalPagePriority); PVOID Pbuf = Irp->AssociatedIrp.SystemBuffer; RtlCopyMemory((PVOID)&g_Pid, Pbuf, sizeof(ULONG)); switch (uControlCode) { case CTL_SSDT_ENABLE: { // DbgBreakPoint(); InstallHook(); } break; case CTL_SSDT_DISABLE: { UnInstallHook(); } break; default: break; } Irp->IoStatus.Information = 0; Irp->IoStatus.Status = STATUS_SUCCESS; IoCompleteRequest(Irp, IO_NO_INCREMENT); return STATUS_SUCCESS;}// 实现：安装HOOKVOID InstallHook(){ // DbgBreakPoint(); // 1.1 获取当前线程 PETHREAD pThread = PsGetCurrentThread(); // 1.2 线程结构体 +0xbc 获取的是 ServiceTable g_ServiceTab = (KSERVICE_TABLE_DESCRIPTOR*)(*(ULONG*)((ULONG_PTR)pThread + 0xbc)); // 1.3 获取SSDT地址基址且保存原始的函数VA g_OldNtOpenProcess = (FnNtOpenProcess)g_ServiceTab->ntoskrnl.ServiceTableBase[0xBE]; // 1.4 替换修改地址（这个地方先要关闭页保护） /* 只介绍其中的三种： PE - 是否启用保护模式,置1则启用 PG - 是否使用分页模式, 置1则开启分页模式, 此标志置1时,PE标志也必须置1,否则CPU报异常. WP - WP==1时, 不能修改只读的内存页 , WP==0 时, 可以修改只读的内存页. */ ShudowMemoryPageProtect(); g_ServiceTab->ntoskrnl.ServiceTableBase[0xBE] = (ULONG)MyOpenProcess; StartMemoryPageProtect();}// 实现：卸载HOOKVOID UnInstallHook(){ ShudowMemoryPageProtect(); g_ServiceTab->ntoskrnl.ServiceTableBase[0xBE] = (ULONG)g_OldNtOpenProcess; // DbgBreakPoint(); StartMemoryPageProtect();}// 实现：关闭分页保护NTSTATUS ShudowMemoryPageProtect(){ __asm { pushad; pushfd; mov eax, cr0; // 前提内存保护一定是开启的 WP = 1 否则..就给开启了 and eax, ~0x10000; mov cr0, eax; popfd; popad; }}// 实现：开启分页保护NTSTATUS StartMemoryPageProtect(){ __asm { pushad; pushfd; mov eax, cr0; or eax, 0x10000; mov cr0, eax; popfd; popad; }}// 实现：HOOK函数NTSTATUS MyOpenProcess(PHANDLE ProcessHandle, ACCESS_MASK DesiredAccess, POBJECT_ATTRIBUTES ObjectAttributes, PCLIENT_ID ClientId){ // 访问权限PROCESS_ALL_ACCESS改为NULL if (ClientId->UniqueProcess == g_Pid) { DbgBreakPoint(); DesiredAccess = 0; } return g_OldNtOpenProcess(ProcessHandle, DesiredAccess, ObjectAttributes, ClientId);}