首页 > 文章 > 软件教程

Windows内核InlineHook挂钩技术深度解析

时间：2025-05-20 15:36:32 372浏览收藏

在《Windows内核InlineHook挂钩技术详解》一文中，LyShark详细介绍了如何通过LDE64引擎计算汇编指令长度，并在此基础上实现内核中的InlineHook函数挂钩。文章指出，内核挂钩与应用层挂钩的原理相似，都是通过劫持执行流并跳转到自定义函数进行处理，但内核挂钩专用于内核API函数，因其位于系统最底层，对整个应用层的影响更为显著。具体步骤包括获取目标函数地址、保存原始指令、写入代理函数地址等，确保在API调用时能跳转到自定义函数执行。此外，文章还提供了恢复挂钩的详细方法，强调了内核挂钩在安全领域的重要性。

在上一章《内核LDE64引擎计算汇编长度》中，LyShark教大家如何通过LDE64引擎实现计算反汇编指令长度，本章将在此基础之上实现内联函数挂钩，内核中的InlineHook函数挂钩其实与应用层一致，都是使用劫持执行流并跳转到我们自己的函数上来做处理，唯一的不同的是内核Hook只针对内核API函数，但由于其身处在最底层所以一旦被挂钩其整个应用层都将会受到影响，这就直接决定了在内核层挂钩的效果是应用层无法比拟的，对于安全从业者来说学会使用内核挂钩也是很重要。

内核挂钩的原理是一种劫持系统函数调用的技术，用于在运行时对系统函数进行修改或者监控。其基本思想是先获取要被劫持的函数的地址，然后将该函数的前15个字节的指令保存下来，接着将自己的代理函数地址写入到原始函数上，这样当API被调用时，就会默认转向到自己的代理函数上执行，从而实现函数的劫持。

挂钩的具体步骤如下：

1.使用MmGetSystemRoutineAddress函数获取要被劫持的函数地址。2.使用自己的代理函数取代原始函数，代理函数和原始函数具有相同的参数和返回值类型，并且在代理函数中调用原始函数。3.保存原始函数的前15个字节的指令，因为这些指令通常被认为是函数的前导码或是修饰码。4.在原始函数的前15个字节位置写入jmp MyPsLookupProcessByProcessId的指令，使得API调用会跳转到我们的代理函数。5.当代理函数被调用时，执行我们自己的逻辑，然后在适当的时候再调用原始函数，最后将其返回值返回给调用者。6.如果需要恢复原始函数的调用，将保存的前15个字节的指令写回原始函数即可。

挂钩的原理可以总结为，通过MmGetSystemRoutineAddress得到原函数地址，然后保存该函数的前15个字节的指令，将自己的MyPsLookupProcessByProcessId代理函数地址写出到原始函数上，此时如果有API被调用则默认会转向到我们自己的函数上面执行，恢复原理则是将提前保存好的前15个原始字节写回则恢复原函数的调用。

而如果需要恢复挂钩状态，则只需要还原提前保存的机器码即可，恢复内核挂钩的原理是将先前保存的原始函数前15个字节的指令写回到原始函数地址上，从而还原原始函数的调用。具体步骤如下：

1.获取原函数地址，可以通过MmGetSystemRoutineAddress函数获取。2.将保存的原始函数前15个字节的指令写回到原始函数地址上，可以使用memcpy等函数实现。3.将代理函数的地址清除，可以将地址设置为NULL。

原理很简单，基本上InlineHook类的代码都是一个样子，如下是一段完整的挂钩PsLookupProcessByProcessId的驱动程序，当程序被加载时则默认会保护lyshark.exe进程，使其无法被用户使用任务管理器结束掉。

代码语言：javascript代码运行次数：0运行复制

#include "lyshark_lde64.h"#include #include #include #pragma  intrinsic(_disable)#pragma  intrinsic(_enable)// --------------------------------------------------------------// 汇编计算方法// --------------------------------------------------------------// 计算地址处指令有多少字节// address = 地址// bits 32位驱动传入0 64传入64typedef INT(*LDE_DISASM)(PVOID address, INT bits);LDE_DISASM lde_disasm;// 初始化引擎VOID lde_init(){    lde_disasm = ExAllocatePool(NonPagedPool, 12800);    memcpy(lde_disasm, szShellCode, 12800);}// 得到完整指令长度,避免截断ULONG GetFullPatchSize(PUCHAR Address){    ULONG LenCount = 0, Len = 0;    // 至少需要14字节    while (LenCount  !process 0 0 lyshark.exe        PROCESS ffff9a0a44ec4080            SessionId: 1  Cid: 05b8    Peb: 0034d000  ParentCid: 13f0            DirBase: 12a7d2002  ObjectTable: ffffd60bc036f080  HandleCount: 159.            Image: lyshark.exe    */    protect_eprocess = 0xffff9a0a44ec4080;    // Hook挂钩函数    head_n_byte = KernelHook(GetProcessAddress(L"PsLookupProcessByProcessId"), (PVOID)MyPsLookupProcessByProcessId, &original_address, &patch_size);    DbgPrint("[lyshark] 挂钩保护完成 --> 修改字节: %d | 原函数地址: 0x%p \n", patch_size, original_address);    for (size_t i = 0; i DriverUnload = UnDriver;    return STATUS_SUCCESS;}

运行这段驱动程序，会输出挂钩保护的具体地址信息；

使用WinDBG观察，会发现挂钩后原函数已经被替换掉了，而被替换的地址就是我们自己的MyPsLookupProcessByProcessId函数。

当你尝试使用任务管理器结束掉lyshark.exe进程时，则会提示拒绝访问。

以上就是《Windows内核InlineHook挂钩技术深度解析》的详细内容，更多关于内核API,InlineHook,劫持执行流,汇编指令长度,恢复挂钩的资料请关注golang学习网公众号！

内核API InlineHook 劫持执行流汇编指令长度恢复挂钩