MyHookMgr數(shù)據(jù)結(jié)構(gòu)
MyHookMgr是一個(gè)大小為0x5DDC的巨大結(jié)構(gòu)�����,是360掛鉤中的一個(gè)重要數(shù)據(jù),它記錄了掛鉤函數(shù)的原地址�、代理函數(shù)地址及相應(yīng)函數(shù)是否掛鉤的標(biāo)志位。
它的數(shù)據(jù)結(jié)構(gòu)是這樣的:
struct
MyHookMgr{
DWORD ssdtSize;
//ssdt大小
DWORD ssdtOriginFunc[1001];
//ssdt對應(yīng)的原函數(shù)地址
DWORD ssdtFakeFunc[1001]; //ssdt對應(yīng)的代理函數(shù)地址
DWORD shadowSsdtOriginFunc[1001]; //ssdtShadow原函數(shù)地址
DWORD shadowSsdtFakeFunc[1001]; //ssdtShadow代理函數(shù)地址
DWORD ssdtSwitch[1001]; //ssdt代理函數(shù)開關(guān)
DWORD shadowSsdtSwitch [1001]; //ssdtShadow代理函數(shù)開關(guān)
};
|
ssdtSize是ssdt的大小����,這個(gè)域被用的并不多,這里不做過多解釋���。
SsdtOriginFunc和shadowSsdtOriginFunc數(shù)組分別包含了兩個(gè)表中所有的原函數(shù)地址�。但這個(gè)域在初始化時(shí)并沒有被填寫��,在
過濾函數(shù)真正開始工作時(shí)才逐漸被代理函數(shù)填寫完畢�。
ssdtFakeFunc和shadowSsdtFakeFunc是對應(yīng)的代理函數(shù)表,初始化時(shí)被填寫�。
ssdtSwitch和shadowSsdtSwitch是代理函數(shù)開關(guān),為1時(shí)代表函數(shù)被掛載�,為0時(shí)直接執(zhí)行原始函數(shù),不進(jìn)行過濾�,初始化時(shí)所有開關(guān)
均置0。
結(jié)構(gòu)中的6個(gè)數(shù)組都是以ssdt編號(hào)作為索引的�����,由于win7的ssdtShadow表函數(shù)最多——827個(gè),所以這里使用了足夠大的數(shù)組保證穩(wěn)定����,當(dāng)然
這里浪費(fèi)了一些內(nèi)存。
關(guān)于SSDT編號(hào)的獲取有兩種方法���,對于導(dǎo)出函數(shù)�,因?yàn)槠湫问蕉既纾?/font>
ntdll!ZwSetEvent:
7c92e570 b8db000000 mov eax,0DBh ;0DBh就是ssdt編號(hào)
7c92e575 ba0003fe7f
mov edx,offset
SharedUserData!SystemCallStub (7ffe0300)
7c92e57a ff12
call dword ptr [edx]
7c92e57c c20800
ret 8
7c92e57f 90 nop
從第一條指令中就可以讀取ssdt索引了����。
對于未導(dǎo)出函數(shù)360使用了根據(jù)操作系統(tǒng)進(jìn)行硬編碼的方式。(詳情見IDB文件)
