[半原创]六一儿童节礼物：恢复Kernel Inline Hook（第一季）

Tesla.Angela

有不少儿童被Inline Hook弄得很不爽，又不懂得如何恢复。
于是我特地写了个DLL和SYS，用来恢复任意Inline Hook（给出地址就行）。
有重定位代码，不用担心出错。里面的DLL和SYS暂不开源，可直接IDA+F5。
======
遇到什么问题请回帖，我考完试去旅游前会统一作答。

Tesla.Angela

沙发自己占。

9908006

全被你抢去了，断人活路啊

oopww

很神奇的东西。。

乔丹二世

unhook.sys没有什么技术含量，copymemory而已。
dll.dll才是精髓，逆了一下，dll函数的原型应该是：
Declare Sub ReInlineInit Lib "dll.dll" Alias "#2" ()
Declare Sub GetByte Lib "dll.dll" Alias "#1" (ByVal 目标地址 As Long, ByRef 返回的字节 As Byte)
如果说错了，还请HD指教啊。

乔丹二世

回复 10# 本网站最菜的人


回拜

Tesla.Angela

unhook.sys没有什么技术含量，copymemory而已。
dll.dll才是精髓，逆了一下，dll函数的原型应该是：
Decl ...
乔丹二世 发表于 2010-5-28 23:32

逆向得很正确，不愧是学校研发中心的人。
顺便说一下，ReInlineInit在Form_Load中调用一次就可以了，不能多次调用，否则适得其反。

Tesla.Angela

既然都被人逆向出来了，那我就公布vb部分的源码吧：

1. 
   
2. Option Explicit
   
3. 
   
4. Private Declare Sub ReInlineInit Lib "dll.dll" Alias "#2" ()
   
5. Private Declare Sub GetByte Lib "dll.dll" Alias "#1" (ByVal TargetAddr As Long, ByRef rtb As Byte)
   
6. Private DrvController As New cls_Driver
   
7. 
   
8. Private Type stUNHOOK
   
9.     TarAddr As Long
   
10.     Length As Long
    
11.     OrigiData(260) As Byte
    
12. End Type
    
13. 
    
14. Private Sub Command1_Click() '得到内核函数机器码
    
15.     On Error Resume Next '需要ulong，但是vb没有ulong，所以会出现dll调用约定错误，不过无所谓
    
16.     'get bytes
    
17.     Dim kfb As Byte, i As Long
    
18.     Dim TarAdr As Long: TarAdr = Val("&H" & Text1.Text)
    
19.     List1.Clear
    
20.     For i = 0 To CLng(Text2.Text) - 1
    
21.         Call GetByte(TarAdr + i, kfb)
    
22.         List1.AddItem String(2 - Len(Hex(kfb)), "0") & Hex(kfb)
    
23.     Next
    
24.     'restore
    
25.     Dim xx As stUNHOOK
    
26.     xx.Length = CLng(Text2.Text)
    
27.     xx.TarAddr = Val("&H" & Text1.Text)
    
28.     For i = 0 To xx.Length - 1
    
29.         xx.OrigiData(i) = Val("&H" & List1.List(i))
    
30.     Next
    
31.     With DrvController
    
32.         .IoControl .CTL_CODE_GEN(&H801), VarPtr(xx), Len(xx), 0, 0
    
33.     End With
    
34. End Sub
    
35. 
    
36. Private Sub Form_Load() '初始化
    
37.     ReInlineInit '重定位
    
38.     With DrvController '加驱动
    
39.         .szDrvFilePath = Replace(App.Path & "\UNHOOK.sys", "\", "")
    
40.         .szDrvLinkName = "UNHOOK"
    
41.         .szDrvDisplayName = "UNHOOK"
    
42.         .szDrvSvcName = "UNHOOK"
    
43.         .InstDrv
    
44.         .StartDrv
    
45.         .OpenDrv
    
46.     End With
    
47.     If DrvController.OpenDrv = False Then MsgBox "驱动加载失败", 64, "": End
    
48. End Sub
    
49. 
    
50. Private Sub Form_QueryUnload(Cancel As Integer, UnloadMode As Integer)
    
51.     With DrvController
    
52.         .StopDrv
    
53.         .DelDrv
    
54.     End With
    
55. End Sub
    

复制代码

Tesla.Angela

dll.cpp：

1. 
   
2. #include "stdafx.h"
   
3. #include "dll.h"
   
4. #include "ntdll.h"
   
5. typedef struct _MODULES
   
6. {
   
7.    ULONG    NumberOfModules; //模块个数
   
8.    SYSTEM_MODULE  Modules[MAX_PATH];//偷懒
   
9. } MODULES, *PMODULES;
   
10. HMODULE hKernel;
    
11. ULONG KernelBase;
    
12. BOOLEAN bInit=FALSE;
    
13. 
    
14. ULONG Reloc(ULONG lpBase, ULONG VirtualAddress )
    
15. {
    
16. PIMAGE_DOS_HEADER  pDosHeader;
    
17. PIMAGE_NT_HEADERS  pNtHeader;
    
18. PIMAGE_BASE_RELOCATION pRelocTable;
    
19. ULONG i,dwOldProtect;
    
20. pDosHeader = (PIMAGE_DOS_HEADER)lpBase;
    
21. if ( pDosHeader->e_magic != IMAGE_DOS_SIGNATURE )
    
22.   return 0;
    
23. pNtHeader =(PIMAGE_NT_HEADERS)( (ULONG)lpBase + pDosHeader->e_lfanew );//厉行检查
    
24. if (pNtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].Size)//是否存在重定位表
    
25. {
    
26.   pRelocTable=(PIMAGE_BASE_RELOCATION)((ULONG)lpBase + pNtHeader->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress);
    
27.   do
    
28.   {
    
29.    ULONG numofReloc=(pRelocTable->SizeOfBlock-sizeof(IMAGE_BASE_RELOCATION))/2;
    
30.    SHORT minioffset=0;
    
31.    PUSHORT pRelocData=(PUSHORT)((ULONG)pRelocTable+sizeof(IMAGE_BASE_RELOCATION));
    
32.    for (i=0;i<numofReloc;i++)//循环，或直接判断*pData是否为0也可以作为结束标记
    
33.    {
    
34.     PULONG RelocAddress;//需要重定位的地址
    
35.     //重定位的高4位是重定位类型，
    
36.     if (((*pRelocData)>>12)==IMAGE_REL_BASED_HIGHLOW)//判断重定位类型是否为IMAGE_REL_BASED_HIGHLOW
    
37.     {
    
38.      //计算需要进行重定位的地址
    
39.      //重定位数据的低12位再加上本重定位块头的RAV即真正需要重定位的数据的RAV
    
40.      minioffset=(*pRelocData)&0xFFF;//小偏移
    
41.      //模块基址+重定位基址+每个数据表示的小偏移量
    
42.      RelocAddress=(PULONG)(lpBase+pRelocTable->VirtualAddress+minioffset);
    
43. 
    
44.      //直接在RING3修改:原始数据+基址-IMAGE_OPTINAL_HEADER中的基址
    
45.      VirtualProtect((PVOID)RelocAddress, 4, PAGE_EXECUTE_READWRITE, &dwOldProtect);//因为是R3直接LOAD的 所以要修改一下内存权限
    
46.      *RelocAddress=*RelocAddress+VirtualAddress-pNtHeader->OptionalHeader.ImageBase;
    
47.      VirtualProtect((PVOID)RelocAddress, 4, dwOldProtect, NULL);
    
48.     }
    
49.     //下一个重定位数据
    
50.     pRelocData++;
    
51.    }
    
52.    //下一个重定位块
    
53.    pRelocTable=(PIMAGE_BASE_RELOCATION)((ULONG)pRelocTable+pRelocTable->SizeOfBlock);
    
54.   }while (pRelocTable->VirtualAddress);
    
55.   return TRUE;
    
56. }
    
57. return FALSE;
    
58. }
    
59. 
    
60. ULONG GetKernelPath(char * Kernel)
    
61. {
    
62. MODULES Drivers;
    
63. ULONG Count;
    
64. NTSTATUS status=NtQuerySystemInformation(SystemModuleInformation,&Drivers,sizeof(Drivers),&Count);
    
65. if (NT_SUCCESS(status))
    
66. {
    
67.   if (Kernel)
    
68.   {
    
69.    lstrcpyA(Kernel,Drivers.Modules[0].ImageName+Drivers.Modules[0].ModuleNameOffset );
    
70.   }
    
71.   return (ULONG)Drivers.Modules[0].Base;
    
72. }
    
73. return FALSE;
    
74. }
    
75. 
    
76. BOOL Init()
    
77. {
    
78. CHAR szKernelName[MAX_PATH];
    
79. KernelBase=GetKernelPath(szKernelName);
    
80. if (KernelBase)
    
81. {
    
82.   hKernel=LoadLibraryExA(szKernelName, 0, DONT_RESOLVE_DLL_REFERENCES);
    
83.   if (hKernel)
    
84.   {
    
85.    Reloc((ULONG)hKernel,KernelBase);//重定位
    
86.    return TRUE;
    
87.   }
    
88. }
    
89. return FALSE;
    
90. }
    
91. 
    
92. ULONG   htoi(char   *str)   
    
93. {   
    
94. ULONG   i=0,   j,   dec=0,   t;   
    
95. j=strlen(str);   
    
96. if(*str=='0')   i=2;   
    
97. while(i<j)   
    
98. {   
    
99.   dec<<=4;   
    
100.   t=*(str+i++);   
     
101.   if(t<58)   t-=48;   
     
102.   if(t>64&&t<71)   t-=55;   
     
103.   if(t>96&&t<103)   t-=87;   
     
104.   dec|=t;   
     
105. }   
     
106. return   dec;   
     
107. }   
     
108. 
     
109. DLL_API VOID ReInlineInit()
     
110. {
     
111. if(bInit==FALSE)
     
112. {
     
113.   Init();
     
114.   bInit=TRUE;
     
115. }
     
116. }
     
117. 
     
118. DLL_API VOID GetByte(ULONG TarAddr, PBYTE rtb)
     
119. {
     
120. ULONG tmpaddr=TarAddr-KernelBase+(ULONG)hKernel;
     
121. *rtb=*(PBYTE)tmpaddr;
     
122. }
     

复制代码

Tesla.Angela

dll.h：

1. 
   
2. #ifdef DLL_EXPORTS
   
3. #define DLL_API __declspec(dllexport)
   
4. #else
   
5. #define DLL_API __declspec(dllimport)
   
6. #endif
   
7. DLL_API VOID ReInlineInit();
   
8. DLL_API VOID GetByte(ULONG TarAddr, PBYTE rtb);
   

复制代码

Tesla.Angela

回复  Tesla.Angela

学习 + 膜拜
PS1:重定位的代码........
PS2:对某种WS的HOOK无效
本网站最菜的人 发表于 2010-6-5 19:13

PS1:这个是拼凑的，算是半原创吧。
PS2:SSDT HOOK ZwCreateFile。

Tesla.Angela

回复 18# 本网站最菜的人

Inline Hook IoCreateFile。

Tesla.Angela

回复  Tesla.Angela
我是指对某种INLINE HOOK 方式无效
本网站最菜的人 发表于 2010-6-5 20:22

刚才没看到“方式”二字。
以前好像听谁说过，某种Inline Hook，一恢复就会把函数完全搞乱。

马大哈

膜拜一下......完全看不懂@_@

Tesla.Angela

还有驱动的源码：

1. 
   
2. #include <NTDDK.H>
   
3. #include <windef.h>
   
4. 
   
5. #define NT_DEVICE_NAME              L"\\Device\\UnHook"
   
6. #define DOS_DEVICE_NAME             L"\\DosDevices\\UnHook"
   
7. #define IOCTL_UnHook                                CTL_CODE(FILE_DEVICE_UNKNOWN, 0x801, METHOD_BUFFERED, FILE_ANY_ACCESS)
   
8. 
   
9. typedef struct _Unhook {
   
10.    ULONG        TarAddr; //目标地址
    
11.    ULONG        Length;        //需要覆盖的长度
    
12.    BYTE                OrigiData[MAX_PATH];//原始数据
    
13. } UNHOOK, *PUNHOOK;
    
14. 
    
15. NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath);
    
16. NTSTATUS DispatchCreateClose(IN PDEVICE_OBJECT pDevObj,IN PIRP pIrp);
    
17. NTSTATUS DispatchIoctl(IN PDEVICE_OBJECT pDevObj,IN PIRP pIrp);
    
18. VOID UnloadDriver(IN PDRIVER_OBJECT DriverObject );
    
19. 
    
20. 
    
21. void MemOpen()
    
22. {
    
23.         __asm {   
    
24.                 cli
    
25.                         mov  eax,cr0
    
26.                         and  eax,not 10000h
    
27.                         mov  cr0,eax
    
28.         }
    
29. }
    
30. 
    
31. 
    
32. void MemClose()
    
33. {
    
34.         __asm {   
    
35.                 mov  eax,cr0
    
36.                         or   eax,10000h
    
37.                         mov  cr0,eax
    
38.                         sti
    
39.         }
    
40. }
    
41. 
    
42. 
    
43. NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,IN PUNICODE_STRING RegistryPath)
    
44. {
    
45. 
    
46.         UNICODE_STRING   uniDeviceName;
    
47.         UNICODE_STRING   uniSymLink;
    
48.         NTSTATUS         ntStatus;
    
49.         PDEVICE_OBJECT   deviceObject = NULL;
    
50. 
    
51.         RtlInitUnicodeString(&uniDeviceName, NT_DEVICE_NAME);
    
52.         RtlInitUnicodeString(&uniSymLink, DOS_DEVICE_NAME);
    
53. 
    
54.         DriverObject->MajorFunction[IRP_MJ_CREATE] =
    
55.                 DriverObject->MajorFunction[IRP_MJ_CLOSE] = DispatchCreateClose;
    
56.         DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = DispatchIoctl;
    
57.         DriverObject->DriverUnload = UnloadDriver;
    
58. 
    
59.         ntStatus = IoCreateDevice(DriverObject, 0,&uniDeviceName,FILE_DEVICE_UNKNOWN,
    
60.                                                                 FILE_DEVICE_SECURE_OPEN, FALSE,&deviceObject);
    
61. 
    
62.         if (!NT_SUCCESS(ntStatus)) return ntStatus;
    
63. 
    
64.     ntStatus = IoCreateSymbolicLink(&uniSymLink, &uniDeviceName);
    
65. 
    
66.         if (!NT_SUCCESS(ntStatus))
    
67.         {
    
68.                 IoDeleteDevice(deviceObject);
    
69.                 return ntStatus;
    
70.         }
    
71. 
    
72.         //DbgPrint("driver loaded!\n");
    
73.     return STATUS_SUCCESS;
    
74. }
    
75. 
    
76. 
    
77. NTSTATUS DispatchCreateClose(IN PDEVICE_OBJECT pDevObj, IN PIRP pIrp)
    
78. {
    
79.         pIrp->IoStatus.Information = 0;
    
80.         pIrp->IoStatus.Status = STATUS_SUCCESS;
    
81.         IoCompleteRequest(pIrp, IO_NO_INCREMENT);
    
82.         return STATUS_SUCCESS;
    
83. }
    
84. 
    
85. 
    
86. NTSTATUS DispatchIoctl(IN PDEVICE_OBJECT pDevObj,IN  PIRP pIrp)
    
87. {
    
88.         
    
89.         NTSTATUS ntStatus = STATUS_INVALID_DEVICE_REQUEST;//STATUS_UNSUCCESSFUL;//
    
90.         PIO_STACK_LOCATION pIrpStack = IoGetCurrentIrpStackLocation(pIrp);
    
91.         ULONG uIoControlCode = pIrpStack->Parameters.DeviceIoControl.IoControlCode;
    
92.         ULONG inBufLength = pIrpStack->Parameters.DeviceIoControl.InputBufferLength;
    
93.         ULONG outBufLength =pIrpStack->Parameters.DeviceIoControl.OutputBufferLength;
    
94.                
    
95.         PVOID OutputBuffer = pIrp->UserBuffer;
    
96.         PVOID InputBuffer  = pIrp->AssociatedIrp.SystemBuffer;
    
97. 
    
98.         switch(uIoControlCode)
    
99.         {
    
100.                 case IOCTL_UnHook:
     
101.                         {
     
102.                                 UNHOOK UnHook={0};
     
103. 
     
104.                                 memcpy(&UnHook,InputBuffer,sizeof(UNHOOK));
     
105. 
     
106.                                 MemOpen();
     
107.                                 memcpy((PVOID)UnHook.TarAddr,UnHook.OrigiData,UnHook.Length);
     
108.                                 MemClose();
     
109.                                 ntStatus = STATUS_SUCCESS;
     
110.                                 break;
     
111.                         }
     
112.         }
     
113. 
     
114.         pIrp->IoStatus.Status = ntStatus;
     
115.         //pIrp->IoStatus.Information = outBufLength;
     
116.         IoCompleteRequest(pIrp, IO_NO_INCREMENT);
     
117.         return ntStatus;
     
118. }
     
119. 
     
120. 
     
121. VOID UnloadDriver( IN PDRIVER_OBJECT DriverObject )
     
122. {
     
123.         PDEVICE_OBJECT    deviceObject = DriverObject->DeviceObject;
     
124.         UNICODE_STRING    uniSymLink;
     
125. 
     
126.         RtlInitUnicodeString(&uniSymLink, DOS_DEVICE_NAME);
     
127.         
     
128.         //DbgPrint("driver unloaded.\n");
     
129.         IoDeleteSymbolicLink(&uniSymLink);
     
130.         IoDeleteDevice(deviceObject);
     
131. }
     

复制代码

需要说的是，这样子修改内核数据蓝屏的可能性很大，建议大家参考MySystemDebugControl修改内核数据的方法。

vip235689

感謝大牛分享@@

9908006

木有那么多钱

oopww

楼上没钱！？！

ok100fen

回来看看
HD还是这么猛

HoviDelphic

OK大哥，很久不见了！
听说你最近学汇编去了？

bigwahaha

下载回来看看，谢谢分享。。。

Tesla.Angela

回复 29# bigwahaha


读取内核文件原始数据的方式不底层，很容易被bypass。

pe1011

多重跳hook也行？

eaaca123

Inline有几个我都不知道。‘ms太可恶了，有一大打不开源

8013

膜拜下！~·······

a2010xxb

没钱，下不了。。我表示很无奈..!