用开源反汇编引擎检测inline hook.pdfVIP

PR口 BRAM M lN B AN ＼ 栏目编辑 socketsocket@ha 最近两天在研究FUTO Rootk it的源代码，发 c 3 ， 共占用6个字节的地址空间。 现其自身带了一个反汇编引擎．通过该引擎可 平常的inI ine hook，多是对函数头部分进 以反汇编3 2位或者1 6位的代码，于是就想到用 行．当然，如果是对函数的理解较深的话，也 反汇编引擎来检测l nline hook．于是尝试写了本 有对函数的深层次进行inI ine hook的，这样的检 文要说明的程序。 测起来会比较困难。 - 在开始之前，我们先对常用的l nline hook方法 在此，我们通过对传入的函数头地址的前 来做个总结。常用的In1 ine hook手段有如下三种 2 5个字节进行反汇编，之后判断是否有上面提 1)在要 ine hook的函数中用 JMP XXX 到的几个指令来判断函数是否被l nl ine hook。而 XXXXX 覆盖原函数的指令，后面的XXXXXXX 本文则是编写一个检~SSDT表中的服务函数是 X是相对跳转指令的偏移量，该指令的机器码是 否被l nline hook的程序，其中判断l nline hook的 EgXXXXXXXX， 占用5个字节的地址空间。 函数代码如下。 2)在要l nline hook的函数中用“JMP FAR ／／St口rtAddress是要检涮的函数共地址，popcode是 X X X X X X X X”覆盖原函数的指令，后面的 要返回的检测信息，其结构如下 XXXXXXXX是跳转的绝对地址，该指令的机器 ／／．1：ype~f s{ruc{OpCode 码是EAXXXX0800，而0800是段选择，该指令 ／／{ ／／enum lnstructType Type；／／跣转类型 占用7个字节的地址空间。 ／／DWORD JmpAddress；／／跣转列的地址 3)在要i n¨n e h o o k的函数中先 PUSH ／／DWORD HookedAddress；／／被inl~hook的地址 XXXXXXXX”， 之后直接用RETN返回．这样就间 ／／}OPCODE，*POPCODE； ／／ 接实现了跳转，其中XXXXXXXX是要跳转到的绝 BOOLEAN Find~nlineHook(IN UL0NG 对地址。这两条指令的机器码是68XXXXXXXX和 一 一 一 一 一 一 _ _ _ - _ _ _ _ _ _ _ _ _ _ _ _ _ _ 1 _ _ _ _ _ _ _ _ _ _ _ _ _ _ i _ _ _ _ _ _ _ _ _ _ _ _ _ _ 一 _ _ _ _ 结束，当然有些也阻挡不了．比如I C e S W 0 r d。 得到进程的访问权限才可以，也就是说，还是 最后，我再介绍一下应用前景。黑防曾经 要调用NtOpenProcess