---INLINE HOOK實現(xiàn)NDIS HOOK
前面講述了如何通過獲取NDIS_PROTOCOL_BLOCK來實現(xiàn)NDIS HOOK，這里講述第二種方法，那就是inline hook方法。說起inline hook，也不是什么新鮮玩意，無非是在一個函數(shù)的首部嵌入一個jmp機器指令，在該函數(shù)執(zhí)行有效代碼前就跳到我們的代理函數(shù)，在我們的代理函數(shù)里做了必要的處理以后，再跳回原來的函數(shù)，接著執(zhí)行原函數(shù)的指令。
既然tcpip.sys是標準的NDIS協(xié)議驅動，那么收包函數(shù)顯然應該是在tcpip.sys內(nèi)部實現(xiàn)的，我們直接找到這兩個收包函數(shù)，然后對其inline hook不就可以了嗎？經(jīng)過逆向分析，我找到了這兩個函數(shù)，本人安裝了兩個XP系統(tǒng)，其中一個導出了這兩個函數(shù)，另一個系統(tǒng)卻沒導出，所以我們?nèi)匀恍枰锰卣鞔a搜索這兩個函數(shù)，這兩個函數(shù)聲明如下：
NDIS_STATUS
ARPRcv (NDIS_HANDLE BindContext,
NDIS_HANDLE MacContext,
UCHAR* HeadBuffer,
ULONG HeadSize,
UCHAR* Buffer,
ULONG BufferSize,
ULONG PacketSize);
INT
ARPRcvPacket (NDIS_HANDLE BindContext,
PNDIS_PACKET Packet);
搜索這兩個函數(shù)地址的代碼如下：
//以下全局變量保存兩個函數(shù)的地址
void* ARPRcv=NULL;
void* ARPRcvPacket=NULL;
void SearchProtocolRoutine()
{
//以下分別為兩個收包函數(shù)的特征碼
UCHAR ARPRcvBytes[] ={0x8b,0xff,0x55,0x8b,0xec,0x56,0x8b,0x75,0x08,0x33};
UCHAR ARPRcvPacketBytes[]={0x8b,0xff,0x55,0x8b,0xec,0x51,0x53,0x56,0x57,0x8b};
//獲取tcpip.sys模塊的基地址，該函數(shù)在前一節(jié)已經(jīng)提供給大家
char* base=FindModule("tcpip.sys");
while(ARPRcv==NULL||ARPRcvPacket==NULL)
{
if(ARPRcv==NULL&&
RtlCompareMemory(ARPRcvBytes,base,10)==10)
{
ARPRcv=base;
}
else if(ARPRcvPacket==NULL&&
RtlCompareMemory(ARPRcvPacketBytes,base,10)==10)
{
ARPRcvPacket=base;
}
base++;
}
}
各種編譯器所編譯的函數(shù)，前幾個指令都是幾乎一樣的，用來建立堆棧幀，這些指令叫函數(shù)的序言。
在win2000上是三字節(jié)
push ebp
mov ebp, esp
到了winxp以及后續(xù)系統(tǒng)上，則變成了五字節(jié)
mov edi, edi
push ebp
mov ebp, esp
而一個近跳轉指令剛好是五字節(jié)，在xp上剛好覆蓋了函數(shù)的序言，所以在XP上掛鉤也相對容易一點，這里著重說明如何對ARPRcv進行掛鉤，我們在ARPRcv內(nèi)部插入一個jmp指令，將跳到ARPRcvProx函數(shù)，該函數(shù)是個裸函數(shù)，函數(shù)實現(xiàn)如下：
_declspec(naked) ARPRcvProx()//跳板函數(shù)
{
_asm
{
mov edi, edi
push ebp
mov ebp ,esp
//七個參數(shù)開始壓棧
push [ebp+20h]
push [ebp+1ch]
push [ebp+18h]
push [ebp+14h]
push [ebp+10h]
push [ebp+0ch]
push [ebp+8]
call NewARPRcv //調(diào)用NewARPRcv函數(shù)
cmp eax,0x10003 //判斷函數(shù)返回值是否NDIS_STATUS_NOT_ACCEPTED
jz end //如果是NDIS_STATUS_NOT_ACCEPTED，直接結束本函數(shù)
//而不跳回到ARPRcv函數(shù)
mov eax,ARPRcv //如果返回的不是NDIS_STATUS_NOT_ACCEPTED，將會
//執(zhí)行到這條指令，該指令將 ARPRcv函數(shù)的地址裝入eax
add eax,5 //將ARPRcv地址值加上5，存入eax，表示即將跳轉的//地址
jmp eax //開始跳回ARPRcv體內(nèi)
end:
pop ebp
retn 1ch
}
}
在該函數(shù)內(nèi)部，又調(diào)用了NewARPRcv函數(shù)，原型和ARPRcv保持一致，也必須由我們自己實現(xiàn)：
NDIS_STATUS
NewARPRcv(
IN NDIS_HANDLE ProtocolBindingContext,
IN NDIS_HANDLE MacReceiveContext,
IN PVOID HeaderBuffer,
IN UINT HeaderBufferSize,
IN PVOID LookAheadBuffer,
IN UINT LookaheadBufferSize,
IN UINT PacketSize
)
{
/*
在這里加入你的判斷邏輯代碼，是否攔截該數(shù)據(jù)
如果要攔截，則返回 NDIS_STATUS_NOT_ACCEPTED
否則返回NDIS_STATUS_SUCCESS，把數(shù)據(jù)交給ARPRcv處理
*/
return NDIS_STATUS_SUCCESS;
}
同樣的原理，我們在ARPRcvPacket里面插入jmp指令，將跳轉到ARPRcvPacketProx裸函數(shù)，該函數(shù)實現(xiàn)如下：
_declspec(naked) ARPRcvPacketProx()
{
_asm
{
mov edi, edi
push ebp
mov ebp ,esp
//兩個參數(shù)開始壓棧
push [ebp+0ch]
push [ebp+8]
call NewARPRcvPacket//調(diào)用NewARPRcvPacket
cmp eax,0 //如果返回0則表示拒絕該數(shù)據(jù)包
jz end //直接返回本函數(shù)
mov eax ,ARPRcvPacket
add eax ,5
jmp eax //跳回ARPRcvPacket函數(shù)第六個字節(jié)
end: pop ebp
retn 8
}
}
在該函數(shù)內(nèi)部，將會調(diào)用NewARPRcvPacket,函數(shù)實現(xiàn)如下：
INT
NewARPRcvPacket(NDIS_HANDLE BindContext,
PNDIS_PACKET ndisPacket)
{
/*
在這里加入你的判斷邏輯，是否攔截該數(shù)據(jù)，如果要攔截，則返回0，
否則返回非0
*/
DbgPrint("RcvPacket");
return 1;
}
請仔細閱讀以上代碼的注釋，接下來，我們還必須提供一個函數(shù)實現(xiàn)安裝和卸載掛鉤功能
void PatchARPRcv(BOOLEAN isPatch)//isPatch為TRUE表示安裝掛鉤，為FALSE表示卸載掛鉤。
{
/*即將用以下五個字節(jié)覆蓋ARPRcv函數(shù)前五個字節(jié)
這5個字節(jié)就是jmp XXXX指令的機器碼，因為跳轉的相對地址還需要
進一步計算，所以暫時用零填充
*/
UCHAR patchBytes[5]={0xe9,0x00,0x00,0x00,0x00};
//即將用以下五個字節(jié)覆蓋ARPRcvPacket函數(shù)前五個字節(jié)
UCHAR patchBytes2[5]={0xe9,0x00,0x00,0x00,0x00};
//保存原始函數(shù)的前五個字節(jié)，方便以后恢復掛鉤
UCHAR restoreBytes[5]={0x8b,0xff,0x55,0x8b,0xec};
/*
以下兩行代碼計算跳轉的偏移量
*/
int offset=(char*)ARPRcvProx-(char*)ARPRcv-5;
int offset2=(char*)ARPRcvPacketProx-(char*)ARPRcvPacket-5;
//修正patchBytes和patchBytes2中的相對地址
memcpy(patchBytes+1,&offset,4);
memcpy(patchBytes2+1,&offset2,4);
if(isPatch)
{
DisableWriteProtect();//禁止寫保護
memcpy(ARPRcv,patchBytes,5);
memcpy(ARPRcvPacket,patchBytes2,5);
EnableWriteProtect(); //開啟寫保護
}
else
{
DisableWriteProtect();
memcpy(ARPRcv,restoreBytes,5);
memcpy(ARPRcvPacket,restoreBytes,5);
EnableWriteProtect();
}
}
因為ARPRcv和ARPRcvPacket函數(shù)處于只讀頁，所以必須先禁用寫保護才能向其中插入代碼，禁用寫保護和開啟寫保護代碼如下：
void
DisableWriteProtect()
{
_asm{
cli
mov eax, cr0
and eax, 0FFFEFFFFh
mov cr0, eax
}
}
void
EnableWriteProtect()
{
_asm{
mov eax, cr0
or eax, not 0FFFEFFFFh
mov cr0, eax
sti
}
}
注意這些代碼暫時只適用XP系統(tǒng)，在win2000和win2003上都需要少許改動。