---INLINE HOOK實現NDIS HOOK
前面講述了如何通過獲取NDIS_PROTOCOL_BLOCK來實現NDIS HOOK,這里講述第二種方法,那就是inline hook方法。說起inline hook,也不是什么新鮮玩意,無非是在一個函數的首部嵌入一個jmp機器指令,在該函數執行有效代碼前就跳到我們的代理函數,在我們的代理函數里做了必要的處理以后,再跳回原來的函數,接著執行原函數的指令。
既然tcpip.sys是標準的NDIS協議驅動,那么收包函數顯然應該是在tcpip.sys內部實現的,我們直接找到這兩個收包函數,然后對其inline hook不就可以了嗎?經過逆向分析,我找到了這兩個函數,本人安裝了兩個XP系統,其中一個導出了這兩個函數,另一個系統卻沒導出,所以我們仍然需要用特征碼搜索這兩個函數,這兩個函數聲明如下:
NDIS_STATUS
ARPRcv (NDIS_HANDLE BindContext,
NDIS_HANDLE MacContext,
UCHAR* HeadBuffer,
ULONG HeadSize,
UCHAR* Buffer,
ULONG BufferSize,
ULONG PacketSize);
INT
ARPRcvPacket (NDIS_HANDLE BindContext,
PNDIS_PACKET Packet);
搜索這兩個函數地址的代碼如下:
//以下全局變量保存兩個函數的地址
void* ARPRcv=NULL;
void* ARPRcvPacket=NULL;
void SearchProtocolRoutine()
{
//以下分別為兩個收包函數的特征碼
UCHAR ARPRcvBytes[] ={0x8b,0xff,0x55,0x8b,0xec,0x56,0x8b,0x75,0x08,0x33};
UCHAR ARPRcvPacketBytes[]={0x8b,0xff,0x55,0x8b,0xec,0x51,0x53,0x56,0x57,0x8b};
//獲取tcpip.sys模塊的基地址,該函數在前一節已經提供給大家
char* base=FindModule("tcpip.sys");
while(ARPRcv==NULL||ARPRcvPacket==NULL)
{
if(ARPRcv==NULL&&
RtlCompareMemory(ARPRcvBytes,base,10)==10)
{
ARPRcv=base;
}
else if(ARPRcvPacket==NULL&&
RtlCompareMemory(ARPRcvPacketBytes,base,10)==10)
{
ARPRcvPacket=base;
}
base++;
}
}
各種編譯器所編譯的函數,前幾個指令都是幾乎一樣的,用來建立堆棧幀,這些指令叫函數的序言。
在win2000上是三字節
push ebp
mov ebp, esp
到了winxp以及后續系統上,則變成了五字節
mov edi, edi
push ebp
mov ebp, esp
而一個近跳轉指令剛好是五字節,在xp上剛好覆蓋了函數的序言,所以在XP上掛鉤也相對容易一點,這里著重說明如何對ARPRcv進行掛鉤,我們在ARPRcv內部插入一個jmp指令,將跳到ARPRcvProx函數,該函數是個裸函數,函數實現如下:
_declspec(naked) ARPRcvProx()//跳板函數
{
_asm
{
mov edi, edi
push ebp
mov ebp ,esp
//七個參數開始壓棧
push [ebp+20h]
push [ebp+1ch]
push [ebp+18h]
push [ebp+14h]
push [ebp+10h]
push [ebp+0ch]
push [ebp+8]
call NewARPRcv //調用NewARPRcv函數
cmp eax,0x10003 //判斷函數返回值是否NDIS_STATUS_NOT_ACCEPTED
jz end //如果是NDIS_STATUS_NOT_ACCEPTED,直接結束本函數
//而不跳回到ARPRcv函數
mov eax,ARPRcv //如果返回的不是NDIS_STATUS_NOT_ACCEPTED,將會
//執行到這條指令,該指令將 ARPRcv函數的地址裝入eax
add eax,5 //將ARPRcv地址值加上5,存入eax,表示即將跳轉的//地址
jmp eax //開始跳回ARPRcv體內
end:
pop ebp
retn 1ch
}
}
在該函數內部,又調用了NewARPRcv函數,原型和ARPRcv保持一致,也必須由我們自己實現:
NDIS_STATUS
NewARPRcv(
IN NDIS_HANDLE ProtocolBindingContext,
IN NDIS_HANDLE MacReceiveContext,
IN PVOID HeaderBuffer,
IN UINT HeaderBufferSize,
IN PVOID LookAheadBuffer,
IN UINT LookaheadBufferSize,
IN UINT PacketSize
)
{
/*
在這里加入你的判斷邏輯代碼,是否攔截該數據
如果要攔截,則返回 NDIS_STATUS_NOT_ACCEPTED
否則返回NDIS_STATUS_SUCCESS,把數據交給ARPRcv處理
*/
return NDIS_STATUS_SUCCESS;
}
同樣的原理,我們在ARPRcvPacket里面插入jmp指令,將跳轉到ARPRcvPacketProx裸函數,該函數實現如下:
_declspec(naked) ARPRcvPacketProx()
{
_asm
{
mov edi, edi
push ebp
mov ebp ,esp
//兩個參數開始壓棧
push [ebp+0ch]
push [ebp+8]
call NewARPRcvPacket//調用NewARPRcvPacket
cmp eax,0 //如果返回0則表示拒絕該數據包
jz end //直接返回本函數
mov eax ,ARPRcvPacket
add eax ,5
jmp eax //跳回ARPRcvPacket函數第六個字節
end: pop ebp
retn 8
}
}
在該函數內部,將會調用NewARPRcvPacket,函數實現如下:
INT
NewARPRcvPacket(NDIS_HANDLE BindContext,
PNDIS_PACKET ndisPacket)
{
/*
在這里加入你的判斷邏輯,是否攔截該數據,如果要攔截,則返回0,
否則返回非0
*/
DbgPrint("RcvPacket");
return 1;
}
請仔細閱讀以上代碼的注釋,接下來,我們還必須提供一個函數實現安裝和卸載掛鉤功能
void PatchARPRcv(BOOLEAN isPatch)//isPatch為TRUE表示安裝掛鉤,為FALSE表示卸載掛鉤。
{
/*即將用以下五個字節覆蓋ARPRcv函數前五個字節
這5個字節就是jmp XXXX指令的機器碼,因為跳轉的相對地址還需要
進一步計算,所以暫時用零填充
*/
UCHAR patchBytes[5]={0xe9,0x00,0x00,0x00,0x00};
//即將用以下五個字節覆蓋ARPRcvPacket函數前五個字節
UCHAR patchBytes2[5]={0xe9,0x00,0x00,0x00,0x00};
//保存原始函數的前五個字節,方便以后恢復掛鉤
UCHAR restoreBytes[5]={0x8b,0xff,0x55,0x8b,0xec};
/*
以下兩行代碼計算跳轉的偏移量
*/
int offset=(char*)ARPRcvProx-(char*)ARPRcv-5;
int offset2=(char*)ARPRcvPacketProx-(char*)ARPRcvPacket-5;
//修正patchBytes和patchBytes2中的相對地址
memcpy(patchBytes+1,&offset,4);
memcpy(patchBytes2+1,&offset2,4);
if(isPatch)
{
DisableWriteProtect();//禁止寫保護
memcpy(ARPRcv,patchBytes,5);
memcpy(ARPRcvPacket,patchBytes2,5);
EnableWriteProtect(); //開啟寫保護
}
else
{
DisableWriteProtect();
memcpy(ARPRcv,restoreBytes,5);
memcpy(ARPRcvPacket,restoreBytes,5);
EnableWriteProtect();
}
}
因為ARPRcv和ARPRcvPacket函數處于只讀頁,所以必須先禁用寫保護才能向其中插入代碼,禁用寫保護和開啟寫保護代碼如下:
void
DisableWriteProtect()
{
_asm{
cli
mov eax, cr0
and eax, 0FFFEFFFFh
mov cr0, eax
}
}
void
EnableWriteProtect()
{
_asm{
mov eax, cr0
or eax, not 0FFFEFFFFh
mov cr0, eax
sti
}
}
注意這些代碼暫時只適用XP系統,在win2000和win2003上都需要少許改動。