InlineHook2

于 2022-05-11 21:33:57 发布
阅读量269 收藏
点赞数
分类专栏: Windows 文章标签: c语言 visual studio c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CSNN2019/article/details/121197407
版权
这篇博客探讨了CPU的写保护机制以及如何利用IdtEntry和JmpTarget实现代码注入。通过关闭和开启写保护,修改中断描述符表(IDT)条目来达到跳转执行自定义代码的目的,同时展示了如何统计入口调用次数并打印出来。内容涉及底层系统编程和安全技术。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在这里插入图片描述

							00000000`8003f120
8003f120  00000000`80aaa1aa 00000000`8003f130
8003f130  00000000`8003f138 00000000`8003f140
8003f140  00000000`8003f148 00000000`8003f150
8003f150  00000000`8003f158 00000000`8003f160

在这里插入图片描述
目标0x8053E545 写入目标是0x8003f120

#include <iostream>
#include<Windows.h>
char* p;
int i;
void JmpTarget();
void __declspec(naked) IdtEntry() {
    p = (char*)0x8003f120;
    for (int i = 0; i < 64; i++) {
        *p = ((char*)JmpTarget)[i];
        p++;
    }

    __asm {
        iretd

    }
}

void __declspec(naked) JmpTarget() {

    __asm {
   
        mov ecx, 0x23
        push 0x30
        pop fs
        mov ds, cx
        mov es, cx


        mov ecx, 0x8053E54D
        jmp ecx

    }


}
void go() {
    __asm {
        mov eax, 1
        int 0x20
    }
}

int main()
{
    if ((DWORD)IdtEntry != 0x401040) {
        printf("wrong addr:%p", IdtEntry);
        exit(-1);
    }
    go();
    system("pause");
}

运行之后验证写入成功:
在这里插入图片描述
关闭CPU写保护
在这里插入图片描述
PTE可读不可写可执行

 		mov eax, cr0
        and eax, not 10000h
        mov cr0, eax

开启CPU写保护

   		mov eax, cr0
        or eax, 10000h
        mov cr0, eax

#include <iostream>
#include<Windows.h>
DWORD g_num;
void __declspec(naked) IdtEntry() {
    __asm {
        mov eax, cr0
        and eax, not 10000h
        mov cr0, eax

        mov al, 0xe9
        mov ds : [0x8053E540] , al
        mov eax, 0xFFB00BDB
        mov ds : [0x8053E541] , eax

        mov eax, cr0
        or eax, 10000h
        mov cr0, eax

        test eax, eax
        jnz L
        mov ds : [0x8003f3f0] , eax
        mov g_num, eax
        jmp End

        L :
        mov eax, ds : [0x8003f3f0]
            mov g_num, eax

            End :
        iretd

    }
}

void reset() {
    __asm {
        xor eax.eax
        int 0x20
    }
}

void go() {
    __asm {
        mov eax, 1
        int 0x20
    }
}

int main()
{
    if ((DWORD)IdtEntry != 0x401000) {
        printf("wrong addr:%p", IdtEntry);
        exit(-1);
    }
    reset();
    printf("%d\n", g_num);
    while (1) {
        go();
        Sleep(1000);
        printf("%d\n", g_num);
    }
    system("pause");
}

Hook1:

在这里插入图片描述

#include <iostream>
#include<Windows.h>
DWORD g_num;
void __declspec(naked) IdtEntry() {
    __asm {
        mov eax, cr0
        and eax, not 10000h
        mov cr0, eax

        mov al, 0xe9
        mov ds : [0x8053E540] , al
        mov eax, 0xFFB00BDB
        mov ds : [0x8053E541] , eax

        mov eax, cr0
        or eax, 10000h
        mov cr0, eax
        iretd

    }
}


void go() {
    __asm {
  
        int 0x20
    }
}

int main()
{
    if ((DWORD)IdtEntry != 0x401040) {
        printf("wrong addr:%p", IdtEntry);
        exit(-1);
    }
    printf("%d\n", g_num);
        go();  
    system("pause");
}

查看入口调用次数

在0x8003f3f0地址处查看调用次数

#include <iostream>
#include<Windows.h>
char* p;
int i;
void JmpTarget();
void __declspec(naked) IdtEntry() {
    p = (char*)0x8003f120;
    for (int i = 0; i < 64; i++) {
        *p = ((char*)JmpTarget)[i];
        p++;
    }

    __asm {
        iretd

    }
}

void __declspec(naked) JmpTarget() {

    __asm {
          pushad
          pushfd

          mov eax,ds:[0x8003f3f0]
          inc eax
          mov ds:[0x8003f3f0],eax

          popfd
          popad

        mov ecx, 0x23
        push 0x30
        pop fs
        mov ds, cx
        mov es, cx


        mov ecx, 0x8053E54D
        jmp ecx

    }


}
void go() {
    __asm {
        mov eax, 1
        int 0x20
    }
}

int main()
{
    if ((DWORD)IdtEntry != 0x401040) {
        printf("wrong addr:%p", IdtEntry);
        exit(-1);
    }
    go();
    system("pause");
}

在这里插入图片描述

利用程序将其次数打印出来

#include <iostream>
#include<Windows.h>
DWORD g_num;
void __declspec(naked) IdtEntry() {
    __asm {
        test eax, eax
        jnz L
        mov ds : [0x8003f3f0] , eax
        mov g_num, eax
        jmp End

        L :
        mov eax, ds : [0x8003f3f0]
         mov g_num, eax

         End :
       iretd

    }
}

void reset() {
    __asm {
        xor eax,eax
        int 0x20
    }
}

void go() {
    __asm {
        mov eax, 1
        int 0x20
    }
}

int main()
{
    if ((DWORD)IdtEntry != 0x401040) {
        printf("wrong addr:%p", IdtEntry);
        exit(-1);
    }
    reset();
    printf("%d\n", g_num);
    while (1) {
        go();
        Sleep(1000);
        printf("%d\n", g_num);
    }
    system("pause");
}

在这里插入图片描述

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

寻梦&之璐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值