IDT(中断描述符表)分为IRQ(真正的硬件中断)和软件中断(又叫异常)。
HOOK的思路为,替换键盘中断处理的函数地址为自己的函数地址。这样在键盘驱动和过滤驱动之前就可以截获键盘输入。
思路确定之后,可以写代码了
首先获取到IDT,这个需要使用汇编指令sidt来获取,这个指令读取了IDTR寄存器的内容,返回结构的格式为:
typedef struct P2C_IDTR_ {
P2C_U16 limit; // 范围
P2C_U32 base; // 基地址(就是开始地址)
} P2C_IDTR, *PP2C_IDTR;
获取的方法为:
void *p2cGetIdt()
{
P2C_IDTR idtr;
// 一句汇编读取到IDT的位置。
_asm sidt idtr
return (void *)idtr.base;
}
注:IDT中断描述符表中最多有256个中断或异常向量
在保护模式下,中断描述符表的表项由8个字节组成,结构如下
typedef struct P2C_IDT_ENTRY_ {
P2C_U16 offset_low;
P2C_U16 selector;
P2C_U8 reserved;
P2C_U8 type:4;
P2C_U8 always0:1;
P2C_U8 dpl:2;
P2C_U8 present:1;
P2C_U16 offset_high;
} P2C_IDTENTRY, *PP2C_IDTENTRY;
上述结构中offset_low和offset_high构成一个32位的虚拟地址,代表中断处理跳转地址,windows下PS/2键盘的中断号一般是0x93,而中断号代表了某项在中断表中的索引,我们的目标是将该处地址替换成我们的函数地址,达到HOOK的目的。操作如下
PP2C_IDTENTRY idt_item=(PP2C_IDTENTRY)p2cGetIdt();
//将指针指向PS/2中断项
idt_item += nIndex;
定义一个裸函数
__declspec(naked) p2cInterruptProc()
{
__asm
{
pushad // 保存所有的通用寄存器
pushfd // 保存标志寄存器
call p2cUserFilter // 调一个我们自己的函数。 这个函数将实现
// 一些我们自己的功能
popfd // 恢复标志寄存器
popad // 恢复通用寄存器
jmp g_old_addr // 跳到原来的中断服务程序
}
}
该函数的作用只是跳到自定义的函数,执行完之后,跳回之前的地址继续执行。
准备工作完成之后,就可以进行HOOK了
VOID HOOK_IDT(ULONG nIndex,BOOLEAN b)
{
PP2C_IDTENTRY idt_item=(PP2C_IDTENTRY)p2cGetIdt();
//将指针指向PS/2中断项
idt_item += nIndex;
if(b)
{
//保存原来的地址
g_old_addr = (void *)P2C_MAKELONG(idt_item->offset_low,idt_item->offset_high);
//替换成自己的函数
idt_item->offset_low = P2C_LOW16_OF_32(p2cInterruptProc);
idt_item->offset_high = P2C_HIGH16_OF_32(p2cInterruptProc);
DbgPrint("源地址为%x 替换后的地址%x\n",g_old_addr,p2cInterruptProc);
}
else
{
idt_item->offset_low = P2C_LOW16_OF_32(g_old_addr);
idt_item->offset_high = P2C_HIGH16_OF_32(g_old_addr);
DbgPrint("替换为原来的地址");
}
}
nIndex=0x93完整代码如下:
1 #include <ntddk.h>
2
3 // 这一句存在,则本程序编译为替换INT0x93的做法。如果
4 // 不存在,则为IOAPIC重定位做法。
5 // #define BUILD_FOR_IDT_HOOK
6
7 // 由于这里我们必须明确一个域是多少位,所以我们预先定义几个明
8 // 确知道多少位长度的变量,以避免不同环境下编译的麻烦.
9 typedef unsigned char P2C_U8;
10 typedef unsigned short P2C_U16;
11 typedef unsigned long P2C_U32;
12
13 #define P2C_MAKELONG(low, high) 14 ((P2C_U32)(((P2C_U16)((P2C_U32)(low) & 0xffff)) | ((P2C_U32)((P2C_U16)((P2C_U32)(high) & 0xffff))) << 16))
15
16 #define P2C_LOW16_OF_32(data) 17 ((P2C_U16)(((P2C_U32)data) & 0xffff))
18
19 #define P2C_HIGH16_OF_32(data) 20 ((P2C_U16)(((P2C_U32)data) >> 16))
21
22 // 从sidt指令获得一个如下的结构。从这里可以得到IDT的开始地址
23 #pragma pack(push,1)
24 typedef struct P2C_IDTR_ {
25 P2C_U16 limit; // 范围
26 P2C_U32 base; // 基地址(就是开始地址)
27 } P2C_IDTR, *PP2C_IDTR;
28 #pragma pack(pop)
29
30 // 下面这个函数用sidt指令读出一个P2C_IDTR结构,并返回IDT的地址。
31 void *p2cGetIdt()
32 {
33 P2C_IDTR idtr;
34 // 一句汇编读取到IDT的位置。
35 _asm sidt idtr
36 return (void *)idtr.base;
37 }
38
39 #pragma pack(push,1)
40 typedef struct P2C_IDT_ENTRY_ {
41 P2C_U16 offset_low;
42 P2C_U16 selector;
43 P2C_U8 reserved;
44 P2C_U8 type:4;
45 P2C_U8 always0:1;
46 P2C_U8 dpl:2;
47 P2C_U8 present:1;
48 P2C_U16 offset_high;
49 } P2C_IDTENTRY, *PP2C_IDTENTRY;
50 #pragma pack(pop)
51
52
53 VOID *g_old_addr=NULL;
54 // 首先读端口获得按键扫描码打印出来。然后将这个扫
55 // 描码写回端口,以便别的应用程序能正确接收到按键。
56 // 如果不想让别的程序截获按键,可以写回一个任意的
57 // 数据。
58 #define OBUFFER_FULL 0x02
59 #define IBUFFER_FULL 0x01
60
61 ULONG p2cWaitForKbRead()
62 {
63 int i = 100;
64 P2C_U8 mychar;
65 do
66 {
67 _asm in al,0x64
68 _asm mov mychar,al
69 KeStallExecutionProcessor(50);
70 if(!(mychar & OBUFFER_FULL)) break;
71 } while (i--);
72 if(i) return TRUE;
73 return FALSE;
74 }
75
76 ULONG p2cWaitForKbWrite()
77 {
78 int i = 100;
79 P2C_U8 mychar;
80 do
81 {
82 _asm in al,0x64
83 _asm mov mychar,al
84 KeStallExecutionProcessor(50);
85 if(!(mychar & IBUFFER_FULL)) break;
86 } while (i--);
87 if(i) return TRUE;
88 return FALSE;
89 }
90
91 void p2cUserFilter()
92 {
93
94 static P2C_U8 sch_pre = 0;
95 P2C_U8 sch;
96 DbgPrint("p2cUserFilter\n");
97 p2cWaitForKbRead();
98 _asm in al,0x60
99 _asm mov sch,al
100 KdPrint(("p2c: scan code = %2x\r\n",sch));
101 // 把数据写回端口,以便让别的程序可以正确读取。
102 if(sch_pre != sch)
103 {
104 sch_pre = sch;
105 _asm mov al,0xd2
106 _asm out 0x64,al
107 p2cWaitForKbWrite();
108 _asm mov al,sch
109 _asm out 0x60,al
110 }
111 }
112
113 __declspec(naked) p2cInterruptProc()
114 {
115 __asm
116 {
117 pushad // 保存所有的通用寄存器
118 pushfd // 保存标志寄存器
119 call p2cUserFilter // 调一个我们自己的函数。 这个函数将实现
120 // 一些我们自己的功能
121 popfd // 恢复标志寄存器
122 popad // 恢复通用寄存器
123 jmp g_old_addr // 跳到原来的中断服务程序
124 }
125 }
126
127 VOID HOOK_IDT(ULONG nIndex,BOOLEAN b)
128 {
129 PP2C_IDTENTRY idt_item=(PP2C_IDTENTRY)p2cGetIdt();
130 //将指针指向PS/2中断项
131
132 idt_item += nIndex;
133
134 if(b)
135 {
136 //保存原来的地址
137 g_old_addr = (void *)P2C_MAKELONG(idt_item->offset_low,idt_item->offset_high);
138 //替换成自己的函数
139 idt_item->offset_low = P2C_LOW16_OF_32(p2cInterruptProc);
140 idt_item->offset_high = P2C_HIGH16_OF_32(p2cInterruptProc);
141 DbgPrint("源地址为%x 替换后的地址%x\n",g_old_addr,p2cInterruptProc);
142
143 }
144 else
145 {
146 idt_item->offset_low = P2C_LOW16_OF_32(g_old_addr);
147 idt_item->offset_high = P2C_HIGH16_OF_32(g_old_addr);
148 DbgPrint("替换为原来的地址");
149 }
150 }
151 #define DELAY_ONE_MICROSECOND (-10)
152 #define DELAY_ONE_MILLISECOND (DELAY_ONE_MICROSECOND*1000)
153 #define DELAY_ONE_SECOND (DELAY_ONE_MILLISECOND*1000)
154 //驱动卸载函数
155 VOID IDT_Unload(IN PDRIVER_OBJECT DriverObject)
156 {
157 LARGE_INTEGER interval;
158 HOOK_IDT(0x93,FALSE);
159 KdPrint (("p2c: unloading\n"));
160 // 睡眠5秒。等待所有irp处理结束
161 interval.QuadPart = (5*1000 * DELAY_ONE_MILLISECOND);
162 KeDelayExecutionThread(KernelMode,FALSE,&interval);
163 }
164 //驱动程序入口
165 NTSTATUS DriverEntry(
166 IN PDRIVER_OBJECT DriverObject,
167 IN PUNICODE_STRING RegistryPath
168 )
169 {
170
171
172 // 卸载函数。
173
174
175 HOOK_IDT(0x93,TRUE);
176 DriverObject->DriverUnload = IDT_Unload;
177 return STATUS_SUCCESS;
178 }
时间: 2024-10-13 23:40:02