MDL 内存映射实现HOOK

本文主要是介绍MDL 内存映射实现HOOK，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

这种hook方式和ssdt HOOK有本质区别，不要搞混。

typedef NTSTATUS (*REALZWQUERYDIRECTORYFILE)(IN HANDLE hFile,
IN HANDLE hEvent OPTIONAL,
IN PIO_APC_ROUTINE IoApcRoutine OPTIONAL,
IN PVOID IoApcContext OPTIONAL,
OUT PIO_STATUS_BLOCK pIoStatusBlock,
OUT PVOID FileInformationBuffer,
IN ULONG FileInformationBufferLength,
IN FILE_INFORMATION_CLASS FileInfoClass,
IN BOOLEAN bReturnOnlyOneEntry,
IN PUNICODE_STRING PathMask OPTIONAL,
IN BOOLEAN bRestartQuery);//定义一个原函数指针
REALZWQUERYSYSTEMINFORMATION RealZwQuerySystemInformation;
void DriverUnload(PDRIVER_OBJECT pDriveObj)
{DbgPrint("driver unloaded ...\n");
}
NTSTATUS DriverEntry(PDRIVER_OBJECT driver,PUNICODE_STRING reg)
{UNREFERENCED_PARAMETER(reg); //不用将编译警告等级设为3，不使用 就Unreferenced即可PMDL mdl;PVOID addrMm;ULONG addrKdEnterDebugger;ULONG addrKdEnteredDebugger;UNICODE_STRING func;ULONG addr = 0;RtlInitUnicodeString(&func, L"ZwQueryDirectoryFile");RealZwQueryDirectoryFile = (REALZWQUERYDIRECTORYFILE)MmGetSystemRoutineAddress(&func);DbgPrint("RealZwQueryDirectoryFile的地址：%x\n", (ULONG)RealZwQueryDirectoryFile);driver->DriverUnload = DriverUnload;/*IoAllocateMdl的作用是分配一个MDL结构，也就是将系统的一段内存空间映射到另外一个地方，然后修改这部分内存的保护属性，并修改其内容，以达到修改受保护内存的目的。第一参数为MDL内存的起始地址，第二个参数为MDL的长度。由于IoAllocateMdl创建的MDL都是指向非分页的虚拟内存的buffer中的，所以需要MmBuildMdlForNonPagedPool函数来在物理内存上更新这个MDL。*///1、IoAllocateMdl创建一个mdlmdl=IoAllocateMdl((PVOID)RealZwQueryDirectoryFile, 5, FALSE, FALSE, NULL);//2、调用MmBuildMdlForNonPagedPool更新创建在非分页内存上的MDL//通过MmBuildMdlForNonPagedPool后，也可以使用 MmGetSystemAddressForMdl 宏获得系统空间地址。MmBuildMdlForNonPagedPool(mdl);DbgPrint("mdl->StartVa：%x,mdl->ByteCount：%d,mdl->MappedSystemVa:%x,mdl->ByteOffset:%d\n", mdl->StartVa, mdl->ByteCount,mdl->MappedSystemVa,mdl->ByteOffset);//3、调用MmProbeAndLockPages将内存页锁定，防止内容被修改,要在try，exception结构里面执行__try{MmProbeAndLockPages(mdl, KernelMode, IoWriteAccess);//锁定内存}//IoWriteAccess指定为写权限__except (EXCEPTION_EXECUTE_HANDLER){DbgPrint("MmProbeAndLockPages exception\n");}//4、调用MmMapLockedPagesSpecifyCache函数生成用户模式下对应的虚拟地址，然后就能修改这个地址的内容来达到修改内核内容的目的addrMm = MmMapLockedPagesSpecifyCache(mdl, KernelMode, MmCached, 0, FALSE, NormalPagePriority);//创建一个内核模式下的虚拟内存对应ZwQueryDirectoryFile函数DbgPrint("addrMm=%x\n", addrMm);addrMm = MmMapLockedPagesSpecifyCache(mdl, UserMode, MmCached, 0, FALSE, NormalPagePriority);//创建一个用户模式下的虚拟内存对应ZwQueryDirectoryFile函数DbgPrint("addrMm=%x\n", addrMm);*((ULONG *)addrMm) = 0x90;//修改用户模式下的虚拟地址的值到修改内核模式下的//ZwQueryDirectoryFile函数前5个字节的目的*((ULONG *)((ULONG)addrMm + 1)) = 0x90909090;DbgPrint("RealZwQueryDirectoryFile=%x\n", *((ULONG *)RealZwQueryDirectoryFile));//打印修改以//后的内核ZwQueryDirectoryFile函数的前5个字节的内容// 5、调用MmUnmapLockedPages解除映射MmUnmapLockedPages(addrMm, mdl);// 6、MmFreePagesFromMdl释放MDL锁定的物理页MmFreePagesFromMdl(mdl);//7、调用IoFreeMdl 释放MDLIoFreeMdl(mdl);
}

这篇关于MDL 内存映射实现HOOK的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

---