X64 HOOK IDT源码

manarex

X64 HOOK IDT源码

1. kd> dt nt!_KIDTENTRY64 @idtr + @@(sizeof(nt!_KIDTENTRY64))
   
2.    +0x000 OffsetLow        : 0x44c0
   
3.    +0x002 Selector         : 0x10
   
4.    +0x004 IstIndex         : 0y000
   
5.    +0x004 Reserved0        : 0y00000 (0)
   
6.    +0x004 Type             : 0y01110 (0xe)
   
7.    +0x004 Dpl              : 0y00
   
8.    +0x004 Present          : 0y1
   
9.    +0x006 OffsetMiddle     : 0x40e
   
10.    +0x008 OffsetHigh       : 0xfffff800
    
11.    +0x00c Reserved1        : 0
    
12.    +0x000 Alignment        : 0x40e8e00`001044c0
    
13. kd> !idt 1
    
14. 
    
15. Dumping IDT:
    
16. 01:        fffff800040e44c0 nt!KiDebugTrapOrFault
    
17. 
    
18. 
    
19. #pragma pack(1)
    
20. typedef struct{
    
21.         USHORT limit;
    
22.         ULONG64 BASE;
    
23. }IDT_INFO,*PIDT_INFO;
    
24. 
    
25. 
    
26. typedef union _KIDTENTRY64
    
27. {
    
28.         struct
    
29.          {
    
30.                 USHORT OffsetLow;
    
31.                 USHORT Selector;
    
32.                 USHORT IstIndex : 3;
    
33.                 USHORT Reserved0 : 5;
    
34.                 USHORT Type : 5;
    
35.                 USHORT Dpl : 2;
    
36.                 USHORT Present : 1;
    
37.                 USHORT OffsetMiddle;
    
38.                 ULONG OffsetHigh;
    
39.                 ULONG Reserved1;
    
40.                 };
    
41.         UINT64 Alignment;
    
42.         } KIDTENTRY64, *PKIDTENTRY64;
    
43. 
    
44. #pragma pack()
    
45. typedef NTSTATUS(NTAPI *_KeSetAffinityThread)(
    
46.         IN PKTHREAD Thread,
    
47.         IN KAFFINITY Affinity
    
48.         );
    
49. 
    
50. 
    
51. NTSTATUS HOOKIDT(ULONG IDTID, PVOID NewfcuncAddress,__out  PVOID * oldTRAP1)
    
52. {
    
53. KIRQL oldIrql;
    
54. ULONG lowpart;
    
55. KAFFINITY processOrs;
    
56. PKTHREAD thread;
    
57. LONG i;
    
58. IDT_INFO idtinfo;
    
59. ULONG_PTR oldTrap = 0;
    
60. ULONG_PTR newTrap;
    
61. KIDTENTRY64*idt_entry;
    
62. UNICODE_STRING ustrKeSetAffinityThread;
    
63. _KeSetAffinityThread KeSetAffinityThread;
    
64. RtlInitUnicodeString(&ustrKeSetAffinityThread, L"KeSetAffinityThread");
    
65. KeSetAffinityThread = (_KeSetAffinityThread)MmGetSystemRoutineAddress(&ustrKeSetAffinityThread);
    
66. processOrs = KeQueryActiveProcessors();
    
67. thread = KeGetCurrentThread();
    
68. newTrap = (ULONG_PTR)NewfcuncAddress;
    
69. if (!MmIsAddressValid(oldTRAP1))
    
70. { return 1; }
    
71. 
    
72. for (i = 0; i < 32; i++){
    
73. KAFFINITY curProc = processOrs &(1 << i);
    
74. if (curProc != 0){
    
75. 
    
76. KeSetAffinityThread(thread, curProc);
    
77. __sidt(&idtinfo);
    
78. idt_entry = idtinfo.BASE;
    
79. 
    
80. oldTrap = (ULONG_PTR)((((ULONGLONG)idt_entry[IDTID].OffsetHigh) << 32) | (ULONGLONG)(((idt_entry[IDTID].OffsetMiddle << 16) | idt_entry[IDTID].OffsetLow) & 0x00000000ffffffff));
    
81. if ( *oldTRAP1 == NULL)
    
82. {
    
83. *oldTRAP1 = (PVOID)oldTrap;
    
84. }
    
85. 
    
86. KeRaiseIrql(HIGH_LEVEL, &oldIrql);
    
87. lowpart = (ULONG)((ULONGLONG)(newTrap));
    
88. idt_entry[IDTID].OffsetLow = (USHORT)lowpart;
    
89. idt_entry[IDTID].OffsetMiddle = (USHORT)(lowpart >> 16);
    
90. idt_entry[IDTID].OffsetHigh = (ULONG)((ULONGLONG)newTrap >> 32);
    
91. KeLowerIrql(oldIrql);
    
92. }
    
93. }
    
94. KeSetAffinityThread(thread, processOrs);
    
95. return STATUS_SUCCESS;
    
96. }

复制代码