飛揚天下

---INLINE HOOK實現NDIS HOOK
前面講述了如何通過獲取NDIS_PROTOCOL_BLOCK來實現NDIS HOOK，這里講述第二種方法，那就是inline hook方法。說起inline hook，也不是什么新鮮玩意，無非是在一個函數的首部嵌入一個jmp機器指令，在該函數執行有效代碼前就跳到我們的代理函數，在我們的代理函數里做了必要的處理以后，再跳回原來的函數，接著執行原函數的指令。
既然tcpip.sys是標準的NDIS協議驅動，那么收包函數顯然應該是在tcpip.sys內部實現的，我們直接找到這兩個收包函數，然后對其inline hook不就可以了嗎？經過逆向分析，我找到了這兩個函數，本人安裝了兩個XP系統，其中一個導出了這兩個函數，另一個系統卻沒導出，所以我們仍然需要用特征碼搜索這兩個函數，這兩個函數聲明如下：
NDIS_STATUS
ARPRcv (NDIS_HANDLE BindContext,
NDIS_HANDLE MacContext,
UCHAR* HeadBuffer,
ULONG HeadSize,
UCHAR* Buffer,
ULONG BufferSize,
ULONG PacketSize);
INT
ARPRcvPacket (NDIS_HANDLE BindContext,
PNDIS_PACKET Packet);
搜索這兩個函數地址的代碼如下：
//以下全局變量保存兩個函數的地址
void* ARPRcv=NULL;
void* ARPRcvPacket=NULL;
void SearchProtocolRoutine()
{
//以下分別為兩個收包函數的特征碼
UCHAR ARPRcvBytes[] ={0x8b,0xff,0x55,0x8b,0xec,0x56,0x8b,0x75,0x08,0x33};
UCHAR ARPRcvPacketBytes[]={0x8b,0xff,0x55,0x8b,0xec,0x51,0x53,0x56,0x57,0x8b};
//獲取tcpip.sys模塊的基地址，該函數在前一節已經提供給大家
char* base=FindModule("tcpip.sys");
while(ARPRcv==NULL||ARPRcvPacket==NULL)
{
if(ARPRcv==NULL&&
RtlCompareMemory(ARPRcvBytes,base,10)==10)
{
ARPRcv=base;
}
else if(ARPRcvPacket==NULL&&
RtlCompareMemory(ARPRcvPacketBytes,base,10)==10)
{
ARPRcvPacket=base;
}
base++;
}
}
各種編譯器所編譯的函數，前幾個指令都是幾乎一樣的，用來建立堆棧幀，這些指令叫函數的序言。
在win2000上是三字節
push ebp
mov ebp, esp
到了winxp以及后續系統上，則變成了五字節
mov edi, edi
push ebp
mov ebp, esp
而一個近跳轉指令剛好是五字節，在xp上剛好覆蓋了函數的序言，所以在XP上掛鉤也相對容易一點，這里著重說明如何對ARPRcv進行掛鉤，我們在ARPRcv內部插入一個jmp指令，將跳到ARPRcvProx函數，該函數是個裸函數，函數實現如下：
_declspec(naked) ARPRcvProx()//跳板函數
{
_asm
{
mov edi, edi
push ebp
mov ebp ,esp
//七個參數開始壓棧
push [ebp+20h]
push [ebp+1ch]
push [ebp+18h]
push [ebp+14h]
push [ebp+10h]
push [ebp+0ch]
push [ebp+8]
call NewARPRcv //調用NewARPRcv函數
cmp eax,0x10003 //判斷函數返回值是否NDIS_STATUS_NOT_ACCEPTED
jz end //如果是NDIS_STATUS_NOT_ACCEPTED，直接結束本函數
//而不跳回到ARPRcv函數
mov eax,ARPRcv //如果返回的不是NDIS_STATUS_NOT_ACCEPTED，將會
//執行到這條指令，該指令將 ARPRcv函數的地址裝入eax
add eax,5 //將ARPRcv地址值加上5，存入eax，表示即將跳轉的//地址
jmp eax //開始跳回ARPRcv體內
end:
pop ebp
retn 1ch
}
}
在該函數內部，又調用了NewARPRcv函數，原型和ARPRcv保持一致，也必須由我們自己實現：
NDIS_STATUS
NewARPRcv(
IN NDIS_HANDLE ProtocolBindingContext,
IN NDIS_HANDLE MacReceiveContext,
IN PVOID HeaderBuffer,
IN UINT HeaderBufferSize,
IN PVOID LookAheadBuffer,
IN UINT LookaheadBufferSize,
IN UINT PacketSize
)
{
/*
在這里加入你的判斷邏輯代碼，是否攔截該數據
如果要攔截，則返回 NDIS_STATUS_NOT_ACCEPTED
否則返回NDIS_STATUS_SUCCESS，把數據交給ARPRcv處理
*/
return NDIS_STATUS_SUCCESS;
}
同樣的原理，我們在ARPRcvPacket里面插入jmp指令，將跳轉到ARPRcvPacketProx裸函數，該函數實現如下：
_declspec(naked) ARPRcvPacketProx()
{
_asm
{
mov edi, edi
push ebp
mov ebp ,esp
//兩個參數開始壓棧
push [ebp+0ch]
push [ebp+8]
call NewARPRcvPacket//調用NewARPRcvPacket
cmp eax,0 //如果返回0則表示拒絕該數據包
jz end //直接返回本函數
mov eax ,ARPRcvPacket
add eax ,5
jmp eax //跳回ARPRcvPacket函數第六個字節
end: pop ebp
retn 8
}
}
在該函數內部，將會調用NewARPRcvPacket,函數實現如下：
INT
NewARPRcvPacket(NDIS_HANDLE BindContext,
PNDIS_PACKET ndisPacket)
{
/*
在這里加入你的判斷邏輯，是否攔截該數據，如果要攔截，則返回0，
否則返回非0
*/
DbgPrint("RcvPacket");
return 1;
}
請仔細閱讀以上代碼的注釋，接下來，我們還必須提供一個函數實現安裝和卸載掛鉤功能
void PatchARPRcv(BOOLEAN isPatch)//isPatch為TRUE表示安裝掛鉤，為FALSE表示卸載掛鉤。
{
/*即將用以下五個字節覆蓋ARPRcv函數前五個字節
這5個字節就是jmp XXXX指令的機器碼，因為跳轉的相對地址還需要
進一步計算，所以暫時用零填充
*/
UCHAR patchBytes[5]={0xe9,0x00,0x00,0x00,0x00};
//即將用以下五個字節覆蓋ARPRcvPacket函數前五個字節
UCHAR patchBytes2[5]={0xe9,0x00,0x00,0x00,0x00};
//保存原始函數的前五個字節，方便以后恢復掛鉤
UCHAR restoreBytes[5]={0x8b,0xff,0x55,0x8b,0xec};
/*
以下兩行代碼計算跳轉的偏移量
*/
int offset=(char*)ARPRcvProx-(char*)ARPRcv-5;
int offset2=(char*)ARPRcvPacketProx-(char*)ARPRcvPacket-5;
//修正patchBytes和patchBytes2中的相對地址
memcpy(patchBytes+1,&offset,4);
memcpy(patchBytes2+1,&offset2,4);
if(isPatch)
{
DisableWriteProtect();//禁止寫保護
memcpy(ARPRcv,patchBytes,5);
memcpy(ARPRcvPacket,patchBytes2,5);
EnableWriteProtect(); //開啟寫保護
}
else
{
DisableWriteProtect();
memcpy(ARPRcv,restoreBytes,5);
memcpy(ARPRcvPacket,restoreBytes,5);
EnableWriteProtect();
}
}
因為ARPRcv和ARPRcvPacket函數處于只讀頁，所以必須先禁用寫保護才能向其中插入代碼，禁用寫保護和開啟寫保護代碼如下：
void
DisableWriteProtect()
{
_asm{
cli
mov eax, cr0
and eax, 0FFFEFFFFh
mov cr0, eax
}
}
void
EnableWriteProtect()
{
_asm{
mov eax, cr0
or eax, not 0FFFEFFFFh
mov cr0, eax
sti
}
}
注意這些代碼暫時只適用XP系統，在win2000和win2003上都需要少許改動。