MyHookMgr數(shù)據(jù)結(jié)構(gòu)
MyHookMgr是一個大小為0x5DDC的巨大結(jié)構(gòu),是360掛鉤中的一個重要數(shù)據(jù)����,它記錄了掛鉤函數(shù)的原地址、代理函數(shù)地址及相應(yīng)函數(shù)是否掛鉤的標志位��。
它的數(shù)據(jù)結(jié)構(gòu)是這樣的:
struct
MyHookMgr{
DWORD ssdtSize;
//ssdt大小
DWORD ssdtOriginFunc[1001];
//ssdt對應(yīng)的原函數(shù)地址
DWORD ssdtFakeFunc[1001]; //ssdt對應(yīng)的代理函數(shù)地址
DWORD shadowSsdtOriginFunc[1001]; //ssdtShadow原函數(shù)地址
DWORD shadowSsdtFakeFunc[1001]; //ssdtShadow代理函數(shù)地址
DWORD ssdtSwitch[1001]; //ssdt代理函數(shù)開關(guān)
DWORD shadowSsdtSwitch [1001]; //ssdtShadow代理函數(shù)開關(guān)
};
|
ssdtSize是ssdt的大小����,這個域被用的并不多,這里不做過多解釋�。
SsdtOriginFunc和shadowSsdtOriginFunc數(shù)組分別包含了兩個表中所有的原函數(shù)地址。但這個域在初始化時并沒有被填寫�����,在
過濾函數(shù)真正開始工作時才逐漸被代理函數(shù)填寫完畢��。
ssdtFakeFunc和shadowSsdtFakeFunc是對應(yīng)的代理函數(shù)表�����,初始化時被填寫���。
ssdtSwitch和shadowSsdtSwitch是代理函數(shù)開關(guān)����,為1時代表函數(shù)被掛載,為0時直接執(zhí)行原始函數(shù)�,不進行過濾,初始化時所有開關(guān)
均置0�。
結(jié)構(gòu)中的6個數(shù)組都是以ssdt編號作為索引的,由于win7的ssdtShadow表函數(shù)最多——827個�����,所以這里使用了足夠大的數(shù)組保證穩(wěn)定����,當然
這里浪費了一些內(nèi)存。
關(guān)于SSDT編號的獲取有兩種方法���,對于導(dǎo)出函數(shù),因為其形式都如:
ntdll!ZwSetEvent:
7c92e570 b8db000000 mov eax,0DBh ;0DBh就是ssdt編號
7c92e575 ba0003fe7f
mov edx,offset
SharedUserData!SystemCallStub (7ffe0300)
7c92e57a ff12
call dword ptr [edx]
7c92e57c c20800
ret 8
7c92e57f 90 nop
從第一條指令中就可以讀取ssdt索引了����。
對于未導(dǎo)出函數(shù)360使用了根據(jù)操作系統(tǒng)進行硬編碼的方式。(詳情見IDB文件)
