关于hook ntdll 代码详解

UNHOOK ntdll

复制代码
DWORD unhook() {
	//创建该结构体用于获取该dll的信息 将所有成员变量初始化为零
	MODULEINFO mi = {};
	//获取当前内存的ntdll的句柄
	HMODULE ntdllModule = GetModuleHandleA("ntdll.dll");
	//HANDLE(-1)表示获取当前进程的句柄 该函数用于获取该进程的信息
	GetModuleInformation(HANDLE(-1), ntdllModule, &mi, sizeof(mi));
	//获取该ntdll的基地址
	LPVOID ntdllBase = (LPVOID)mi.lpBaseOfDll;
	//调用CreateFileA打开新的一个ntdll
	HANDLE ntdllFile = CreateFileA("c:\\windows\\system32\\ntdll.dll", GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, 0, NULL);
	//将该新的ntdll映射到内存中 但是还没有映射到当前进程中
	HANDLE ntdllMapping = CreateFileMapping(ntdllFile, NULL, PAGE_READONLY | SEC_IMAGE, 0, 0, NULL);
	//MapViewOfFile将文件映射的视图映射到调用进程的地址空间中 也就是当前的进程
	LPVOID ntdllMappingAddress = MapViewOfFile(ntdllMapping, FILE_MAP_READ, 0, 0, 0);

	//获取该ntdll的PE结构的DOS头 (旧的)
	PIMAGE_DOS_HEADER hookedDosHeader = (PIMAGE_DOS_HEADER)ntdllBase;
	PIMAGE_NT_HEADERS hookedNtHeader = (PIMAGE_NT_HEADERS)((DWORD_PTR)ntdllBase + hookedDosHeader->e_lfanew);

	for (WORD i = 0; i < hookedNtHeader->FileHeader.NumberOfSections; i++) {
		//每个节的头是固定大小且是连续的。一个节头挨着一个节头的比如rdata的节头完了之后就是紧挨着data节头的。IMAGE_SIZEOF_SECTION_HEADER确实是40字节
		PIMAGE_SECTION_HEADER hookedSectionHeader = (PIMAGE_SECTION_HEADER)((DWORD_PTR)IMAGE_FIRST_SECTION(hookedNtHeader) + ((DWORD_PTR)IMAGE_SIZEOF_SECTION_HEADER * i));
		//获取节的头之后判断name是不是等于text,因为要覆盖的是text的内容 hookedSectionHeader->Name获取的是字节不是char 因此要转为char strcmp要求是char *
		if (!strcmp((char*)hookedSectionHeader->Name, (char*)".text")) {
			DWORD oldProtection = 0;
			//VirtualProtect修改旧的 ntdll的保护属性为可读可写可执行(PAGE_EXECUTE_READWRITE),并且将原来的保护属性保存在oldProtection中 以下仅仅支持.text节的 
			bool isProtected = VirtualProtect((LPVOID)((DWORD_PTR)ntdllBase + (DWORD_PTR)hookedSectionHeader->VirtualAddress), hookedSectionHeader->Misc.VirtualSize, PAGE_EXECUTE_READWRITE, &oldProtection);
			//两个dll由于第一个节是空的在内存中,而text节又是第二个节,因此VirtualAddress是一样的 这样就将旧ntdll中test节的内容覆盖成了新的
			memcpy((LPVOID)((DWORD_PTR)ntdllBase + (DWORD_PTR)hookedSectionHeader->VirtualAddress), (LPVOID)((DWORD_PTR)ntdllMappingAddress + (DWORD_PTR)hookedSectionHeader->VirtualAddress), hookedSectionHeader->Misc.VirtualSize);
			//还原保护属性
			isProtected = VirtualProtect((LPVOID)((DWORD_PTR)ntdllBase + (DWORD_PTR)hookedSectionHeader->VirtualAddress), hookedSectionHeader->Misc.VirtualSize, oldProtection, &oldProtection);
		}
	}

	CloseHandle(ntdllFile);
	CloseHandle(ntdllMapping);
	FreeLibrary(ntdllModule);

	return 0;
}

关于代码中的IMAGE_SIZEOF_SECTION_HEADER

节的头是连续的 每个节的头的大小 即IMAGE_SIZEOF_SECTION_HEADER都等于40

找一个dll看看 确实节的头是连续 也确实大小是 5*8=40字节

节头存放的是节的各种信息包括 节的名称、虚拟地址、大小等但是 不是存放的具体内容

相关推荐
BenSmith3 小时前
CVE-2025-6554漏洞复现
安全
BenSmith3 小时前
CVE-2018-17463复现
安全
lsec3 小时前
内存加载带有TLS的DLL的问题分析
windows·安全
2501_916007474 小时前
iOS 接口频繁请求导致流量激增?抓包分析定位与修复全流程
websocket·网络协议·tcp/ip·http·网络安全·https·udp
2501_916013745 小时前
用Fiddler中文版抓包工具掌控微服务架构中的接口调试:联合Postman与Charles的高效实践
websocket·网络协议·tcp/ip·http·网络安全·https·udp
m0_694845576 小时前
服务器如何配置防火墙规则开放/关闭端口?
linux·服务器·安全·云计算
Leinwin7 小时前
微软发布突破性医疗AI系统
人工智能·microsoft
00后程序员张7 小时前
调试 WebView 接口时间戳签名问题:一次精细化排查和修复过程
websocket·网络协议·tcp/ip·http·网络安全·https·udp
Whoisshutiao8 小时前
Python网安-zip文件暴力破解(仅供学习)
开发语言·python·网络安全
柴郡猫^O^9 小时前
OSCP - Proving Grounds - DC - 1
安全·网络安全·安全性测试