本文详细介绍了sandoxie如何获取系统服务调用地址,包括通过Driver_FindMissingService获取如ZwCreateToken服务的过程。首先获取系统调用号,接着在系统调用中获取NT服务地址,最后得到Zw服务地址。主要涉及三个关键函数:Hook_GetServiceIndex、Hook_GetNtServiceInternal和Hook_GetZwServiceInternal。
获取系统服务调用地址
sandoxie通过Driver_FindMissingService获取系统服务调用地址,例如获取ZwCreateToken 服务调用。
ZwCreateToken = (P_NtCreateToken) Driver_FindMissingService("ZwCreateToken", 13);
Driver_FindMissingService首先获取系统调用号
svc_num = Hook_GetServiceIndex(DllProc, SkipIndexes);
然后在系统调用中获取nt函数地址
svc_addr = Hook_GetNtServiceInternal(svc_num, ParamCount);
虽然不使用nt函数地址,但是需要根据nt函数地址是否正确来决定是否获取ZwSerivce的地址
svc_addr = Hook_GetZwServiceInternal(svc_num);
以下分开讲解以上三个函数。
第一、得到系统调用号或索引
_FX LONG Hook_GetServiceIndex(void *DllProc, LONG *SkipIndexes)
该函数再调用Hook_FindSyscall2得到系统调用号或索引.
_FX LONG Hook_FindSyscall2(
void *addr, int depth, ULONG_PTR *targets, BOOLEAN check_target,
LONG eax, LONG *skip);
if (check_target) { // 这个check_target的目的是记录每一次jmp,call的地址是否已经分析过,如果已经分析过则表明该函数已经分析且没有得到数据,而这次又进入该函数进行分析,则直接返回失败。
for (i = 0; i < (ULONG)targets[0]; ++i)
if (targets[i] == (ULONG_PTR)addr)
return -1;
++i;
if (i > (PAGE_SIZE * NUM_TARGET_PAGES / sizeof(ULONG_PTR) - 8))
return -1;
targets[i] = (ULONG_PTR)addr;
targets[0] = (ULONG)i;
}
//从函数开头开始分析,直到找到INST_SYSCALL指令,或者找到jmp,call等则递归调用Hook_FindSyscall2
for (count = 0; count < 1024; ++count) {
BOOLEAN ok = Hook_Analyze(addr, TRUE, is64, &inst);
// DbgPrint("%04d At Address %p Ok=%d inst=%02X%02X inst.kind=%d parm=%p\n", depth, addr, ok, inst.op1, inst.op2, inst.kind, (void *)inst.parm);
最低0.47元/天 解锁文章
扫一扫
168万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
