讀書筆記_windows下的混合鉤子（HOOK）_part 5_鉤子的記憶體空間

鉤子的記憶體空間

使用者空間的鉤子的問題之一是為了編寫LoadLibrary參數或編寫代碼，鉤子通常必須在遠程進程中分配空間。在核心中存在一個可寫地區，它映射到每個進程的地址空間。另一個技術利用了兩個虛擬位址映射到同一個物理地址這個事實。核心地址0xFFDF0000和使用者地址0x7FFE0000都指向同義物理頁面。該共用地區核心地址是可寫的，但使用者地址則不能寫。利用MDL的方法可以將代碼寫到核心地址並以使用者地址來訪問它。

該共用地區的大小是4k，核心佔用其中的一部分，但還可以使用大約3k的空間用於代碼和變數。該記憶體地區的名稱是KUSER_SHARED_DATA，以下是一個寫入該地區的樣本：

DWORD d_shareM = 0x7ffe0800; // A user Address

DWORD d_sharedK = 0xffdf0800; // A Kernel Address

 

Unsigned char new_code[] =  {

      0x90,                        // NOP make INT 3 to see

      0xb8, 0xff, 0xff, 0xff,0xff,        // move ax, 0xffffffff

      0xff, 0xe0                    // jmp eax

};

If ( !gb_Hooked )

{

     RtlCopyMemory((PVOID)d_sharedK, new_code, 8);

     RtlCopyMemory( (PVOID)(d_sharedK +2), (PVOID)&pd_IAT[index], 4);

     gb_Hooked = TRUE;

}

第一位元組是作業碼，若希望觀察行為，則使用NOP指令或INT3（break）指令，後續7個位元組只是將一個啞地址移入EAX，然後跳轉到該地址。此時鉤子函數的編寫者需要向記憶體中寫入一個更進階的函數以便真正函數的輸出進行過濾。