噗,一直以为hook是一种黑客手段俗称钩子。。。
65146
%7B%22isLastPage%22%3Atrue%2C%22notes%22%3A%5B%5D%2C%22pid%22%3A%22t65146%22%2C%22tid%22%3A%2265146%22%2C%22mainForumsId%22%3A%5B%22134%22%5D%2C%22categoriesId%22%3A%5B%22424%22%5D%2C%22tcId%22%3A%5B%5D%7D
%7B%22isEditMode%22%3Afalse%7D
【转载】YY-一种高可靠性Hook的思路
这个帖子原先发在pediy上:
XXXXXXXXXXXXXXXXXXXX/XXXXXXXXXXXXXp?t=187531
看了这个众神出没的帖子:
《那些年搞驱动的那些坑_欢迎补充 》
XXXXXXXXXXXXXXXXXXXX/XXXXXXXXXXXXXp?p=1275930#post1275930
里面提到一种比较纠结的hook情况:
hook时某个线程的EIP正好指向hook位置的中间
引用:
最初由 aait发布 查看帖子
你hold住其他 U的时候,总要放开的吧。你一放开,系统里面等待排队的线程有很多个,如果其中某一个线程排队等待恢复的EIP正好是你hook的5个字节的第3个字节怎么办?
这种情况下,EIP恢复后会指向hook的位置的中间,结果是指令被截断后进行解释,很可能会产生异常。
以下是个人针对这种情况的一点思路,不喜勿喷:
1.最简单的方法是避免hook的位置原先存在多条指令。我们可以尝试替换掉一条长度>=5的指令,但是这种方法局限性很大,将会严重限制hook的位置。
2.既然如此,就不能想着尽量避免这种情况了,得正面应对,最直接的解决方案是暂停掉整个系统,检查所有的线程的eip…………太复杂太扯淡。
3.之后又想到另一种方案,这也是本文的重点:
我们能通过MDL保证hook位置可写,但是是否能截获这种情况,并作出处理避免悲剧?
A.最简单的截获方法是在异常处理阶段,但是仔细想想这也是不可行的:如果eip停在hook的位置中间,恢复执行后不一定立刻产生异常,代码说不定还会跑很远,我们无法简单地预测之后的行为,并且在这一过程中很可能已经产生了一些不可逆转的错误。
B.那么接下来的思路就是直接截获了,可以采取类似于调试器下软断点的方法,将hook位置所在代码页设置成其NX位(别的位或许也能实现),然后在异常处理例程中作出处理。
C.既然说道断点,硬断点理论上也能实现B中的思路。
不过要实现更高的可靠性最终做的也不是很简单,得根据hook位置的情况采取相应的处理,比如恢复已经执行的指令影响的寄存器等,这里也只是一个思路,没有代码(至少现在没有)。
欢迎讨论~
伪代码:
代码:
RtlSafeCopyMemory(pHookAddr,pHookCodeBuffer,dwHookCodeSize);//通过MDL安全写入内存
KeSetHookWatcher(pHookAddr);//通过修改页属性使得执行在hook位置所在页上的代码产生异常,并且挂接异常处理流程(这里可以通过相应的接口,或者hook idt——hook idt是安全的)
处理过程要做的事情是:
1.恢复上一条指令的操作,比如很常见的:
代码:
00000 55 push ebp
00001 8b ec mov ebp, esp
而eip指向 mov ebp, esp,那么我们需要做的就是
add esp,4
同时这种“hook保护机制”在hook后一定时间内即可撤除(之后所有已存在的活动线程都得到调度之后就不存在之前的问题),对于被挂起的线程如果也要处理可以采取别的方法。
XXXXXXXXXXXXXXXXXXXX/XXXXXXXXXXXXXp?t=187531
看了这个众神出没的帖子:
《那些年搞驱动的那些坑_欢迎补充 》
XXXXXXXXXXXXXXXXXXXX/XXXXXXXXXXXXXp?p=1275930#post1275930
里面提到一种比较纠结的hook情况:
hook时某个线程的EIP正好指向hook位置的中间
引用:
最初由 aait发布 查看帖子
你hold住其他 U的时候,总要放开的吧。你一放开,系统里面等待排队的线程有很多个,如果其中某一个线程排队等待恢复的EIP正好是你hook的5个字节的第3个字节怎么办?
这种情况下,EIP恢复后会指向hook的位置的中间,结果是指令被截断后进行解释,很可能会产生异常。
以下是个人针对这种情况的一点思路,不喜勿喷:
1.最简单的方法是避免hook的位置原先存在多条指令。我们可以尝试替换掉一条长度>=5的指令,但是这种方法局限性很大,将会严重限制hook的位置。
2.既然如此,就不能想着尽量避免这种情况了,得正面应对,最直接的解决方案是暂停掉整个系统,检查所有的线程的eip…………太复杂太扯淡。
3.之后又想到另一种方案,这也是本文的重点:
我们能通过MDL保证hook位置可写,但是是否能截获这种情况,并作出处理避免悲剧?
A.最简单的截获方法是在异常处理阶段,但是仔细想想这也是不可行的:如果eip停在hook的位置中间,恢复执行后不一定立刻产生异常,代码说不定还会跑很远,我们无法简单地预测之后的行为,并且在这一过程中很可能已经产生了一些不可逆转的错误。
B.那么接下来的思路就是直接截获了,可以采取类似于调试器下软断点的方法,将hook位置所在代码页设置成其NX位(别的位或许也能实现),然后在异常处理例程中作出处理。
C.既然说道断点,硬断点理论上也能实现B中的思路。
不过要实现更高的可靠性最终做的也不是很简单,得根据hook位置的情况采取相应的处理,比如恢复已经执行的指令影响的寄存器等,这里也只是一个思路,没有代码(至少现在没有)。
欢迎讨论~
伪代码:
代码:
RtlSafeCopyMemory(pHookAddr,pHookCodeBuffer,dwHookCodeSize);//通过MDL安全写入内存
KeSetHookWatcher(pHookAddr);//通过修改页属性使得执行在hook位置所在页上的代码产生异常,并且挂接异常处理流程(这里可以通过相应的接口,或者hook idt——hook idt是安全的)
处理过程要做的事情是:
1.恢复上一条指令的操作,比如很常见的:
代码:
00000 55 push ebp
00001 8b ec mov ebp, esp
而eip指向 mov ebp, esp,那么我们需要做的就是
add esp,4
同时这种“hook保护机制”在hook后一定时间内即可撤除(之后所有已存在的活动线程都得到调度之后就不存在之前的问题),对于被挂起的线程如果也要处理可以采取别的方法。
200字以内,仅用于支线交流,主线讨论请采用回复功能。