MyHookMgr數(shù)據(jù)結(jié)構(gòu)
MyHookMgr是一個(gè)大小為0x5DDC的巨大結(jié)構(gòu)�����,是360掛鉤中的一個(gè)重要數(shù)據(jù)����,它記錄了掛鉤函數(shù)的原地址��、代理函數(shù)地址及相應(yīng)函數(shù)是否掛鉤的標(biāo)志位�����。
它的數(shù)據(jù)結(jié)構(gòu)是這樣的:
struct
MyHookMgr{
DWORD ssdtSize;
//ssdt大小
DWORD ssdtOriginFunc[1001];
//ssdt對(duì)應(yīng)的原函數(shù)地址
DWORD ssdtFakeFunc[1001]; //ssdt對(duì)應(yīng)的代理函數(shù)地址
DWORD shadowSsdtOriginFunc[1001]; //ssdtShadow原函數(shù)地址
DWORD shadowSsdtFakeFunc[1001]; //ssdtShadow代理函數(shù)地址
DWORD ssdtSwitch[1001]; //ssdt代理函數(shù)開(kāi)關(guān)
DWORD shadowSsdtSwitch [1001]; //ssdtShadow代理函數(shù)開(kāi)關(guān)
};
|
ssdtSize是ssdt的大小,這個(gè)域被用的并不多��,這里不做過(guò)多解釋�。
SsdtOriginFunc和shadowSsdtOriginFunc數(shù)組分別包含了兩個(gè)表中所有的原函數(shù)地址。但這個(gè)域在初始化時(shí)并沒(méi)有被填寫(xiě)�����,在
過(guò)濾函數(shù)真正開(kāi)始工作時(shí)才逐漸被代理函數(shù)填寫(xiě)完畢�。
ssdtFakeFunc和shadowSsdtFakeFunc是對(duì)應(yīng)的代理函數(shù)表,初始化時(shí)被填寫(xiě)�����。
ssdtSwitch和shadowSsdtSwitch是代理函數(shù)開(kāi)關(guān)����,為1時(shí)代表函數(shù)被掛載��,為0時(shí)直接執(zhí)行原始函數(shù)��,不進(jìn)行過(guò)濾����,初始化時(shí)所有開(kāi)關(guān)
均置0��。
結(jié)構(gòu)中的6個(gè)數(shù)組都是以ssdt編號(hào)作為索引的�����,由于win7的ssdtShadow表函數(shù)最多——827個(gè)���,所以這里使用了足夠大的數(shù)組保證穩(wěn)定�����,當(dāng)然
這里浪費(fèi)了一些內(nèi)存�。
關(guān)于SSDT編號(hào)的獲取有兩種方法����,對(duì)于導(dǎo)出函數(shù),因?yàn)槠湫问蕉既纾?/font>
ntdll!ZwSetEvent:
7c92e570 b8db000000 mov eax,0DBh ;0DBh就是ssdt編號(hào)
7c92e575 ba0003fe7f
mov edx,offset
SharedUserData!SystemCallStub (7ffe0300)
7c92e57a ff12
call dword ptr [edx]
7c92e57c c20800
ret 8
7c92e57f 90 nop
從第一條指令中就可以讀取ssdt索引了。
對(duì)于未導(dǎo)出函數(shù)360使用了根據(jù)操作系統(tǒng)進(jìn)行硬編碼的方式��。(詳情見(jiàn)IDB文件)
