Windows内核InlineHook挂钩技术深度解析

在《Windows内核InlineHook挂钩技术详解》一文中，LyShark详细介绍了如何通过LDE64引擎计算汇编指令长度，并在此基础上实现内核中的InlineHook函数挂钩。文章指出，内核挂钩与应用层挂钩的原理相似，都是通过劫持执行流并跳转到自定义函数进行处理，但内核挂钩专用于内核API函数，因其位于系统最底层，对整个应用层的影响更为显著。具体步骤包括获取目标函数地址、保存原始指令、写入代理函数地址等，确保在API调用时能跳转到自定义函数执行。此外，文章还提供了恢复挂钩的详细方法，强调了内核挂钩在安全领域的重要性。

在上一章《内核LDE64引擎计算汇编长度》中，LyShark教大家如何通过LDE64引擎实现计算反汇编指令长度，本章将在此基础之上实现内联函数挂钩，内核中的InlineHook函数挂钩其实与应用层一致，都是使用劫持执行流并跳转到我们自己的函数上来做处理，唯一的不同的是内核Hook只针对内核API函数，但由于其身处在最底层所以一旦被挂钩其整个应用层都将会受到影响，这就直接决定了在内核层挂钩的效果是应用层无法比拟的，对于安全从业者来说学会使用内核挂钩也是很重要。

内核挂钩的原理是一种劫持系统函数调用的技术，用于在运行时对系统函数进行修改或者监控。其基本思想是先获取要被劫持的函数的地址，然后将该函数的前15个字节的指令保存下来，接着将自己的代理函数地址写入到原始函数上，这样当API被调用时，就会默认转向到自己的代理函数上执行，从而实现函数的劫持。

挂钩的具体步骤如下：

挂钩的原理可以总结为，通过MmGetSystemRoutineAddress得到原函数地址，然后保存该函数的前15个字节的指令，将自己的MyPsLookupProcessByProcessId代理函数地址写出到原始函数上，此时如果有API被调用则默认会转向到我们自己的函数上面执行，恢复原理则是将提前保存好的前15个原始字节写回则恢复原函数的调用。

而如果需要恢复挂钩状态，则只需要还原提前保存的机器码即可，恢复内核挂钩的原理是将先前保存的原始函数前15个字节的指令写回到原始函数地址上，从而还原原始函数的调用。具体步骤如下：

原理很简单，基本上InlineHook类的代码都是一个样子，如下是一段完整的挂钩PsLookupProcessByProcessId的驱动程序，当程序被加载时则默认会保护lyshark.exe进程，使其无法被用户使用任务管理器结束掉。

当你尝试使用任务管理器结束掉lyshark.exe进程时，则会提示拒绝访问。
以上就是《Windows内核InlineHook挂钩技术深度解析》的详细内容，更多关于内核API,InlineHook,劫持执行流,汇编指令长度,恢复挂钩的资料请关注golang学习网公众号！