有时在开发中,会遇到这样一种情况,当非常需要对某些内核函数进行挂钩时,而常规基于PE的挂钩,往往达不到目的。在本文中将要探讨的,是怎样直接挂钩内核函数,另外,在示例中,还要演示在系统中显示为一个基本磁盘的可移动USB存储设备,并在其上创建及管理多个分区(因为这样或那样的原因,Windows既不允许,也不能识别可移动存储设备上的多个分区,所以我们要“欺骗”一下系统)。因为本文中的示例只用作演示目的,所以只对一个函数进行了挂钩,但可对文中阐述的方法进行扩展,以处理多个函数(例如,工程中可能需要直接挂钩好几个NDIS库中的函数)。再者,你应该清楚地认识到,本文是在讲述直接挂钩,而不是研究USB存储,所以,用作示例的问题当然还可有其他的方法来解决。
我们的问题
USB设备在系统中表示的方式,定义在STORAGE_DEVICE_DESCRIPTOR结构的RemovableMedia字段中,此结构通常会在USBSTOR.SYS响应IOCTL_STORAGE_QUERY_PROPERTY请求时返回。如果设备生产商想让此设备显示为一个基本磁盘,会在驱动程序中设置STORAGE_DEVICE_DESCRIPTOR 结构中RemovableMedia字段,并在响应IOCTL_STORAGE_QUERY_PROPERTY请求时返回FALSE。由此,设备在系统中就显示为一个基本磁盘,而DISK.SYS也不知道它实际上是在与硬盘,还是在与一个USB设备打交道。
因此,如果我们挂钩USBSTOR.SYS中的IRP_MJ_DEVICE_CONTROL子程序,只需简单地修改IOCTL_STORAGE_QUERY_PROPERTY请求的返回值,就能在系统中把可移动磁盘显示为一个基本磁盘,这可通过以下的代码来完成:
typedef NTSTATUS (__stdcall*ProxyDispatch) (IN PDEVICE_OBJECT device,IN PIRP Irp);
ProxyDispatch realdispatcher;
//代理函数
NTSTATUS Dispatch(IN PDEVICE_OBJECT device,IN PIRP Irp)
{
NTSTATUS status=0; ULONG a=0;PSTORAGE_PROPERTY_QUERY query;
PSTORAGE_DEVICE_DESCRIPTOR descriptor;
PIO_STACK_LOCATION loc= IoGetCurrentIrpStackLocation(Irp);
if(loc->Parameters.DeviceIoControl.IoControlCode
==IOCTL_STORAGE_QUERY_PROPERTY)
{
query=(PSTORAGE_PROPERTY_QUERY) Irp->AssociatedIrp.SystemBuffer;
if(query->PropertyId==StorageDeviceProperty)
{
descriptor=(PSTORAGE_DEVICE_DESCRIPTOR) Irp->AssociatedIrp.SystemBuffer;
status=realdispatcher(device,Irp);
descriptor->RemovableMedia=FALSE;
return status;
}
}
return realdispatcher(device,Irp);
}
//代码中的其他地方……
realdispatcher=(ProxyDispatch) driver->MajorFunction[IRP_MJ_DEVICE_CONTROL];
driver->MajorFunction[IRP_MJ_DEVICE_CONTROL]=Dispatch;
正如你所看到的,一个可移动USB设备能非常简单地在系统中显示为一个基本磁盘,然而,还有一点小小的“并发症”——只有当你在USB接口中插入一个设备时,系统才会加载USBSTOR.SYS,直到拔出设备后,才会卸载它,因此,我们不能预先对USBSTOR.SYS进行挂钩——必须先插入一个设备。如果我们在USBSTOR.SYS已经处理了IOCTL_STORAGE_QUERY_PROPERTY请求之后,才对它进行挂钩,那么为时已晚了。我们也不能插入一个设备,挂钩USBSTOR.SYS,拔掉它,接着再插入;当你拔出设备时,USBSTOR.SYS也卸载了,挂钩只会白费力气。所以,要对USBSTOR.SYS进行挂钩,最适当的时机是在当它准备创建设备对象时,一方面,我们知道USBSTOR.SYS已经加载了,另一方面,此时IOCTL_STORAGE_QUERY_PROPERTY请求还并未被处理。如果我们能设法捕捉到USBSTOR.SYS对IoCreateDevice()的调用,那么接下来的事情就简单多了——IoCreateDevice()接受一个指向新创建设备的DRIVER_OBJECT的指针作为参数,因此,我们就可在驱动程序的MajorFunction[IRP_MJ_DEVICE_CONTROL]中替换掉一个指针。
为了达到上述目的,我们准备在IoCreateDevice()的可执行代码中插入一些指令,以便直接挂钩,也就是所谓的“通过覆盖的挂钩”。事实上,只有通过挂钩ntoskrnl.exe的导出索引,才能完成此项任务,但是,本文要讲述的是有关直接挂钩,所以,我们准备对IoCreateDevice()进行直接挂钩。然而,知己知彼,百战百胜,先了解一下相关的事情,总是有好处的,那就先来了解一下中断挂钩吧。
处理中断与异常
为响应硬件中断或异常,CPU保存了当前运行线程的执行上下文,并把执行流程转到一个特殊的内核模式程序中——称为“处理程序”。执行上下文保存的方式,依赖于中断模式的特权级;如果中断代码是非特权级的,处理器必须切换到特权堆栈和代码段,以便可以执行一个内核模式的处理程序,因此,CPU在转换执行流程到相应的处理程序之前,会把用户模式的SS、ESP、EFLAGS、CS寄存器值(所有入栈均按上述顺序),加上返回地址,压入到内核堆栈上;另外,如果是发生异常,CPU也可以在栈顶的返回地址上,再压入一个错误代码。如果中断代码是特权级的,堆栈切换就没有必要了,因此,在这种情况下,只有EFLAGS、CS和返回地址,也许可能还有错误代码被压入到堆栈中;此时,SS和ESP寄存器不会保存在堆栈上。
每一个中断及异常都有着与之关联的号码,称为向量,共有256个中断向量。所有中断与异常处理程序的地址,都存储在一个称为“中断描述符表”(IDT)的内核模式的数据结构中。通常,在一台对称多处理(SMP)计算机上,每个处理器都有其自己的IDT,但在整个系统中,所有中断与异常处理程序的地址,对所有CPU而言,都是一样的。每个IDT入口点关联到它对应的向量,且在每个IDT中,都可以保存中断门描述符、陷阱门描述符、任务门描述符。中断与陷阱门描述符的二进制形式,可用如下的结构来表示:
struct GATE
{
WORD OffsetLow;
WORD Selector;
WORD Unused:8;
WORD Type:5;
WORD DPL:2;
WORD Present:1;
WORD OffsetHigh;
} ;
如上所示,中断与陷阱门描述符的二进制表示形式,与调用门描述符非常相似。而中断与陷阱门的不同之处,在于当中断或异常处理程序开始处理时,EFLAGS寄存器中IF标志的状态。如果中断或异常是通过一个中断门引发的,IF标志会被处理器自动清除;如果中断或异常是通过一个陷阱门引发的,则IF标志不会受到影响。在其他方面,中断与陷阱门是一样的——这也不足为奇,因为它们都是用同样的结构来描述的,但任务门描述符的二进制形式就不相同了。另外,因为性能的原因,在Windows NT中,所有的用户过程都运行于一个单任务的上下文中,所以在IDT中,还有一些任务门描述符,它们主要保留用于“异常的情况”,如系统崩溃;它们的任务是保证系统可以有足够长时间,在CPU重设自身之前,抛出一个蓝屏错误。
现在,要来说一下异常了,IDT的头32个入口点负责与异常处理程序打交道(它们对特定向量的映射,已被Intel预先定义好了),异常在此可归类为陷阱(Trap)、错误(Fault)与异常终止(Abort)。异常终止类的异常不允许失败的任务继续执行下去,有关的一个典型例子就是机器检查异常(INT 0x12);而陷阱与错误则允许失败的任务在异常被处理之后,继续执行下去。陷阱与错误的不同之处,在于保存在堆栈上的返回地址不同;在错误类的异常情况下,这个地址指向导致异常的指令,也就是说,在异常处理程序返回控制之后,会试图执行前面失败的指令,有关的一个典型例子就是页面错误异常(INT 0xE);而在陷阱类的异常情况下,返回地址将指向紧跟在导致异常指令后的下一条指令,有关的典型例子如调试断点异常(INT 3)。
一个调试异常(INT 1)就本身而言,是个非常有意思的异常——依据不同的异常原因,它可以被陷阱或错误异常抛出。通常,一个调试异常可被以下任一原因抛出:
Ø 执行时的断点
Ø 内存访问的断点
Ø IO端口访问的断点
Ø 一般侦测情况(会设置EFLAGS寄存器的TF标志,甚至于每条指令的执行,都可以抛出一个调试异常)
Ø 任务切换(此处与Windows的任务切换无关)
Ø INT 1指令
在1至4的情况中,INT 1是作为一个错误被抛出,而在其他情况中,它是作为一个陷阱被抛出,而一般可通过来自DR6寄存器的INT 1处理程序,来找出抛出异常的原因。一个调试异常能由多个原因产生,例如,设置了TF标志的执行断点,在这种情况下,执行断点比TF标志具有更高的优先级,因此,INT 1是作为一个错误抛出,而不是作为一个陷阱。
那么,有了挂钩函数之后,上面这些东西都能做些什么呢?我们将要把目标函数开始处的头几个字节(8个字节就足够了),复制到从非分页池里分配的数组中,再挂钩INT 1与INT 3的处理程序,并写入一个0xCC操作码(其代表INT 3指令)至目标函数的开始处。这样,当目标函数准备执行它的第一条指令时,就会触发我们被代理过的INT 3处理程序,而我们INT 3处理程序开始执行时的堆栈布局,可用下面的结构来描述:
struct INTTERUPT_STACK
{
ULONG InterruptReturnAddress;
ULONG SavedCS;
ULONG SavedFlags;
ULONG FunctionReturnAddress;
ULONG Argument;
};
在堆栈顶部,CPU设置了一个帧,以用于响应一个INT 3指令,也就是一个INT 3处理程序应该返回控制,加上CS及EFLAGS寄存器标志的地址值;而目标函数应该返回控制的地址紧接其后;另外,函数参数的数组在堆栈上,正位于返回地址之下(所以从实践经验来说,把所有的参数当作ULONG,还是有道理的,这样我们就能
在需要时把它们转换成它们实际的类型)。在这一点上,我们就能做任何想做的事了——我们可以检查或修改函数参数、修改返回地址,也就是那些通常在挂钩函数之后可以做的事情。但对我们目前的任务来说,我们只对第一个参数感兴趣,也就是传递给IoCreateDevice()的PDRIVER_OBJECT。
在被我们代理的INT 3处理程序返回之前,它将会把栈顶结构中的InterruptReturnAddress字段,修改为我们复制的带有指令的数组,并设置SaveFlags字段中的TF标志。我们的INT 3处理程序返回之后,保存在堆栈上的InterruptReturnAddress和SavedFlags字段,将会分别弹出至EIP与EFLAGS寄存器中。由此,执行流程将会从我们复制的指令数组处继续执行,而且,我们一旦修改了TF标志,它将会以单步模式继续下去,也就是说,在每条指令执行时,都会抛出INT 1。
如果INT 1的抛出,是因为设置了TF标志,那它将会被当作一个陷阱来处理。因此,在数组中第一条指令执行之后,就会触发我们代理过的INT 1处理程序,而保存在堆栈上的EIP将会指向数组中的第二条指令。这样,从保存在栈顶的返回地址中,减去我们数组的地址,就可以得到执行过的指令大小,因此,在我们的INT 1处理程序返回前,它将会修改返回地址为目标函数起始地址(+)执行过的指令大小,并清除保存在堆栈上的EFLAGS中的TF标志。由此,执行流程将会从目标函数的第二条指令处开始继续,而我们的INT 1处理程序返回之后,TF标志也被清除了。换句话来说,目标函数将会继续执行下去,好像什么事也没有发生过一样。
明显地,我们的方法似乎有点复杂了,让人难以理解,但实际上,我们只不过换了种方式来做而已。例如,我们可以复制目标函数起始处的一些指令到我们的数组中,并通过一个JMP指令覆盖掉目标函数的起始地址,这样,执行程序就能跳到我们的挂钩代码中来了。如果这样做的话,我们还要计算出目标函数内的偏移量,以确定我们的挂钩代码执行完后,从目标函数哪条指令开始恢复执行,所以,就还要算出指令大小。可是,说起来容易,做起来难啊,要像上述这样来做,将必须写一个完整的反汇编程序,而且,复杂的事还在后面,指令还可能涉及到与特定指令位置相关的内存,这种情况下,我们必须在重定位之后,调整指令的操作数。换句话来说,如果我们选择把函数开始处覆写为一个JMP,而不是INT 3指令,我们的程序将会非常大,95%的代码都要用于处理反汇编,而不是挂钩本身。因此,对INT 1与INT 3进行挂钩,是更加合情合理的事情,只要利用好INT 1与INT 3,想要CPU做什么,都不是问题了。
现在,来看一下实际的工作。
解决我们的问题
针对我们特定的工程,可在DriverEntry()中进行所有与挂钩相关的工作,下面来看一下代码:
//这个子程序挂钩并恢复IDT,
//必须保证这个函数只运行在一个CPU上,
//因此我们在整个执行过程中屏蔽了中断以避免上下文切换。
void HookIDT()
{
ULONG handler1,handler2,idtbase,tempidt,a;
UCHAR idtr[8];
//取得地址以便写入到IDT
handler1=(ULONG)&replacementbuff[0];
handler2=(ULONG)&replacementbuff[32];
//分配临时的内存,这应该为我们的第一步,从此时开始,我们屏蔽了中断直到返回,
//我们不想冒险调用任何不是我们自己编写的代码。
//(理论上来说,这个代码可能会在我们未知的情况下重新打开中断,那可就……)
tempidt=(ULONG)ExAllocatePool(NonPagedPool,2048);
_asm
{
cli
sidt idtr
lea ebx,idtr
mov eax,dword ptr[ebx+2]
mov idtbase,eax
}
//检查是否已挂钩IDT,
//如果是,重新打开中断并返回。
for(a=0;a<IdtsHooked;a++)
{
if(idtbases[a]==idtbase)
{
_asm sti
ExFreePool((void*)tempidt);
KeSetEvent(&event,0,0);
PsTerminateSystemThread(0);
}
}
_asm
{
//现在,将要加载IDT的副本到IDTR寄存器。
//以个人的经验来看,修改内存,再由IDTR寄存器进行指向,是不安全的。
mov edi,tempidt
mov esi,idtbase
mov ecx,2048
rep movs
lea ebx,idtr
mov eax,tempidt
mov dword ptr[ebx+2],eax
lidt idtr
//现在,我们能安全地修改IDT了,准备好。
mov ecx,idtbase
//挂钩INT 1
add ecx,8
mov ebx,handler1
mov word ptr[ecx],bx
shr ebx,16
mov word ptr[ecx+6],bx
//挂钩INT 3
add ecx,16
mov ebx,handler2
mov word ptr[ecx],bx
shr ebx,16
mov word ptr[ecx+6],bx
//重新加载原始IDT
lea ebx,idtr
mov eax,idtbase
mov dword ptr[ebx+2],eax
lidt idtr
sti
}
//添加我们刚才挂钩的IDT地址至已挂钩的IDT列表
idtbases[IdtsHooked]=idtbase;
IdtsHooked++;
ExFreePool((void*)tempidt);
KeSetEvent(&event,0,0);
PsTerminateSystemThread(0);
}
NTSTATUS DriverEntry(IN PDRIVER_OBJECT driver,IN PUNICODE_STRING path)
{
ULONG a;PUCHAR pool=0;
UCHAR idtr[8];HANDLE threadhandle=0;
//以机器码填充数组
replacementbuff[0]=255;replacementbuff[1]=37;
a=(long)&replacementbuff[6];
memmove(&replacementbuff[2],&a,4);
a=(long)&INT1Proxy;
memmove(&replacementbuff[6],&a,4);
replacementbuff[32]=255;replacementbuff[33]=37;
a=(long)&replacementbuff[38];
memmove(&replacementbuff[34],&a,4);
a=(long)&BPXProxy;
memmove(&replacementbuff[38],&a,4);
//保存INT 1与INT 3处理程序的原始地址
_asm
{
sidt idtr
lea ebx,idtr
mov ecx,dword ptr[ebx+2]
//保存INT1
add ecx,8
mov ebx,0
mov bx,word ptr[ecx+6]
shl ebx,16
mov bx,word ptr[ecx]
mov Int1RealHandler,ebx
//保存INT3
add ecx,16
mov ebx,0
mov bx,word ptr[ecx+6]
shl ebx,16
mov bx,word ptr[ecx]
mov BPXRealHandler,ebx
}
//挂钩INT 1与INT 3的处理程序,必须在覆写NDIS之前完成。
//把HookUnhookIDT()作为一个单独的线程运行,直到所有的IDT都进行了挂钩。
KeInitializeEvent(&event,SynchronizationEvent,0);
RtlZeroMemory(&idtbases[0],64);
a=KeNumberProcessors[0];
while(1)
{
PsCreateSystemThread(&threadhandle,
(ACCESS_MASK) 0L,0,0,0,
(PKSTART_ROUTINE)HookIDT,0);
KeWaitForSingleObject(&event,
Executive,KernelMode,0,0);
if(IdtsHooked==a)
break;
}
KeSetEvent(&event,0,0);
//填充结构
a=(ULONG)&IoCreateDevice;
HookedFunctionDescriptor.RealCode=a;
pool=ExAllocatePool(NonPagedPool,8);
memmove(pool,a,8);
HookedFunctionDescriptor.ProxyCode=(ULONG)pool;
//现在进行覆写内存
_asm
{
//在覆写之前去掉保护
mov eax,cr0
push eax
and eax,0xfffeffff
mov cr0,eax
//插入断点(0xCC操作码)
mov ebx,a
mov al,0xcc
mov byte ptr[ebx],al
//恢复保护
pop eax
mov cr0,eax
}
return 0;
}
让我们先来解释一下上述动作,一开始,我们用非直接跳转指令,填充了两个内存块——在挂钩IDT之后将会用到。但有些东西似乎从逻辑上解释不了,当试图写入函数地址本身到IDT中时,总会产生蓝屏,然而,如果写入带有非直接跳转指令的数组地址到IDT中时,也就是说,使执行流程跳到我们的函数中,就一切正常,真是让人不解啊。接下来,把INT 1与INT 3实际处理程序的地址保存在全局变量中,再对IDT进行挂钩,此处需格外小心。
正如前面所说过的,在一部SMP电脑上,每个处理器都有其自己的IDT,但随着Intel超线程技术的出现,一个支持超线程技术的CPU,会被系统当作两个独立的CPU,因此,不得不对系统中的所有IDT进行挂钩,所以要创建运行HookIDT()的线程,直到系统中所有IDT都被挂钩了。
一开始,HookIDT()分配了内存,以便复制IDT的内容——但就个人经验来看,写入内存,再由IDTR寄存器进行指向,是不安全的,即使中断已被屏蔽。因此,我们复制IDT到分配的内存中,并使用LIDT指令,加载一个指向此内存的指针到IDTR寄存器中,这样,我们就能安全地修改原始IDT;完成之后,会用原始IDT地址来重新加载IDTR。从HookIDT()发现IDT还未被挂钩,到修改并重新加载IDT,它都运行在同一个CPU上,所以我们就可以屏蔽中断,以避免上下文切换。然而,所有的工作,都只应在为临时IDT分配内存之后进行,为什么呢?因为,在我们这个例子中,调用任何不是我们自己编写的代码,都是不明智的行为——如果这些代码重新打开中断,很可能会把我们搅得一团糟。因此,我们要避免调用任何不是我们自己编写的代码——正如大家所看到的,甚至我们在分配用于复制原始IDT内容的内存时,都用的是REP MOVS指令,而不是常用的memcpy()。
在对IDT中的INT 1与INT 3处理程序进行挂钩之后,我们把目标函数(即IoCreateDevice())的头八个字节,复制到我们从非分页池中分配的内存中,并在目标函数的起始处插入0xCC操作码。在此目标函数的可执行代码存放于只读内存中,因此,在我们可覆写函数之前,要么在页表中修改页面保护,要么清除CR0寄存器中的WP标志(此处为简单起见,我们选择清除WP标志)。以上操作完成之后,当每次有对IoCreateDevice()的调用发生时,我们挂钩于INT 3的代码就会执行了。
现在,让我们来看一下挂钩INT 1与INT 3的代码。
//此函数保证我们的挂钩工作正常
ULONG __stdcall INT1check(INTTERUPT_STACK * savedstack)
{
ULONG offset=0,stepping=savedstack->SavedFlags&0x100;
//如果INT 1是因为单步之外的其他原因被抛出,返回0。
//因为执行流程最终仍会到达真正的INT 1处理程序。
if(!stepping)return 0;
//检查单步是否与我们的挂钩有关,否则,返回0。
if(savedstack->InterruptReturnAddress<=
HookedFunctionDescriptor.ProxyCode)
return 0;
if(savedstack->InterruptReturnAddress>=
HookedFunctionDescriptor.ProxyCode+8)
return 0;
//在堆栈上修改返回地址,清除TF标志。
offset=savedstack->InterruptReturnAddress-
HookedFunctionDescriptor.ProxyCode;
savedstack->InterruptReturnAddress=
HookedFunctionDescriptor.RealCode+offset;
savedstack->SavedFlags &=0xfffffeff;
//清除DR6
_asm
{
mov eax,0
mov dr6,eax
}
return 1;
}
ULONG __stdcall BPXcheck(INTTERUPT_STACK * savedstack)
{
PDRIVER_OBJECT driver;char buff[1024]; HANDLE handle=0;
PUNICODE_STRING unistr=(PUNICODE_STRING)&buff[0];ULONG a=0;
//如果断点与我们的挂钩无关,返回0。
if(savedstack->InterruptReturnAddress!= HookedFunctionDescriptor.RealCode+1)
return 0;
//使INT 1返回到我们复制的代码,并设置TF标志。
savedstack->SavedFlags|=0x100;
savedstack->InterruptReturnAddress=
HookedFunctionDescriptor.ProxyCode;
//所有x86相关的工作都已完成,
//现在来进行实际的工作。
driver=(PDRIVER_OBJECT)savedstack->Arg;
if(ObOpenObjectByPointer(driver,0, NULL, 0,
0,KernelMode,&handle))return 1;
ZwQueryObject(handle,1,buff,256,&a);
if(!unistr->Buffer){ZwClose(handle);return 1;}
if(_wcsicmp(unistr->Buffer,L"\\Driver\\USBSTOR"))
{ZwClose(handle);return 1;}
ZwClose(handle);
a=(ULONG)driver->MajorFunction[IRP_MJ_DEVICE_CONTROL];
if(a==(ULONG)Dispatch)return 1;
realdispatcher=(ProxyDispatch)a;
driver->MajorFunction[IRP_MJ_DEVICE_CONTROL]=Dispatch;
return 1;
}
_declspec(naked) INT1Proxy()
{
_asm
{
pushfd
pushad
mov ebx,esp
add ebx,36
push ebx
call INT1check
cmp eax,0
je fin
popad
popfd
iretd
fin: popad
popfd
jmp Int1RealHandler
}
}
_declspec(naked) BPXProxy()
{
_asm
{
pushfd
pushad
mov ebx,esp
add ebx,36
push ebx
call BPXcheck
cmp eax,0
je fin
popad
popfd
iretd
fin: popad
popfd
jmp BPXRealHandler
}
}
当有一个对IoCreateDevice()的调用发生时,会触发BPXProxy()函数。函数BPXProxy()保存了寄存器与标志值,并在开始执行时把ESP值压入栈,接着调用BpxCheck(),因此,BpxCheck()收到一个指向我们前面所提过的INTTERUPT_STACK结构的指针作为参数。首先,通过把结构的InterruptReturnAddress与目标函数的地址进行对比,BpxCheck()将会检查INT 3的调用,是否与我们的挂钩有关;如果不是,它返回0;否则,它把InterruptReturnAddress修改为我们复制过去的带有指令的数组,并设置SavedFlags字段中的TF标志。至此,我们就可以做与挂钩相关的工作了,在我们的例子中,将检查传递给IoCreateDevice()的PDEVICE_OBJECT是否为\\Driver\\USBSTOR(其意味着USBSTOR.SYS已经加载)的其中一个,并把IRP_MJ_DEVICE_CONTROL处理程序替换为我们函数的地址——当然,是在它还未被替换时。现在,我们已可以监视由系统发送给USBSTOR的所有IRP_MJ_DEVICE_CONTROL请求了,也即完成了我们的最初目标。在BpxCheck()返回之后,中断的处理方式依赖于它的返回值,如果它回返0,我们把控制传给INT 3真正的处理程序,否则,我们仅仅带着IRETD指令返回,因此,执行流程将会从带有指令数组的开始处恢复执行。一旦我们修改了TF标志,它将会以单步模式恢复执行,也就是说,INT1Proxy()得到了调用。
有关INT1Proxy()的实现,几乎与BPXProxy()一样,唯一的不同之处,是它调用了INT1Check(),而不是BpxCheck()。首先,INT1Check()检查保存在堆栈上的EFLAGS寄存器中的TF标志,如果它发现INT 1是因为单步之外的其他原因被抛出的,它将返回0(因为前面也提到,INT 1可由多种原因抛出);否则,它将检查返回地址是否位于我们复制的指令数组中某处,如果也不是,还是返回0——毕竟,其他程序在调试时,也会打开TF标志;如果是,从堆栈上的返回地址中减去数组中地址,就得到了目标函数的第一条指令大小(也就是刚执行过的那条指令),紧接着修改堆栈上的返回地址为目标函数起始地址(+)它的第一条指令大小,清除保存在堆栈上的DR6寄存器和EFLAGS中的TF标志,并返回1。这样一来,如果INT 1是因为其他原因抛出的,那么与我们的挂钩无关,INT1Proxy()会将控制传到INT 1真正的处理程序中,否则,它带着IRETD指令返回,所以,目标函数(IoCreateDevice())将会继续执行,好像什么事也没发生过一样。
要运行示例的代码,你必须创建一个按需启动的服务,并在命令行中手工启动它。当你在这个服务运行期间插入一个USB存储设备时,你将看到一个基本磁盘标志,而不是一个可移动磁盘,因此,如果打开控制面板中的磁盘管理,将可以在其上创建多个分区了。
注意:此示例程序使用了Windows 2000 DDK来构建,因此,它会把KeNumberProcessors导出符号当作一个指针;如果你在使用XP DDK,KeNumberProcessors会被当作一个变量,这样,示例程序就通不过编译了。然而,这些问题只存在于编译期间,示例程序在Windows 2000与Windows XP上都工作正常,而不管你用的是什么DDK版本。
结论
尽管在我们的例子中,只挂钩了一个函数,但可扩展这种方法以用于处理多个函数,此外,我们也作了一个大胆的假设——目标函数的首指令不为JMP。但在实际应用中,还是觉得有必要检查一下——如果目标函数首指令刚好为JMP呢,以对代码作出调整(所做的只是计算出将要跳转到的指令位置,并在此进行挂钩),换句话来说,你可以按自己的想法对示例代码进行调整,以满足现实工作中工程的特定需要。
