驱动开发：内核层InlineHook挂钩函数

挂钩的原理可以总结为，通过MmGetSystemRoutineAddress得到原函数地址，然后保存该函数的前15个字节的指令，将自己的MyPsLookupProcessByProcessId代理函数地址写出到原始函数上，此时如果有API被调用则默认会转向到我们自己的函数上面执行，恢复原理则是将提前保存好的前15个原始字节写回则恢复原函数的调用。

原理很简单，基本上InlineHook类的代码都是一个样子，如下是一段完整的挂钩PsLookupProcessByProcessId的驱动程序，当程序被加载时则默认会保护lyshark.exe进程，使其无法被用户使用任务管理器结束掉。

// 署名权
// right to sign one's name on a piece of work
// PowerBy: LyShark
// Email: me@lyshark.com
#include "lyshark_lde64.h"
#include 
#include 
#include 

#pragma  intrinsic(_disable)
#pragma  intrinsic(_enable)

// --------------------------------------------------------------
// 汇编计算方法
// --------------------------------------------------------------
// 计算地址处指令有多少字节
// address = 地址
// bits 32位驱动传入0 64传入64
typedef INT(*LDE_DISASM)(PVOID address, INT bits);

LDE_DISASM lde_disasm;

// 初始化引擎
VOID lde_init()
{
    lde_disasm = ExAllocatePool(NonPagedPool, 12800);
    memcpy(lde_disasm, szShellCode, 12800);
}

// 得到完整指令长度,避免截断
ULONG GetFullPatchSize(PUCHAR Address)
{
    ULONG LenCount = 0, Len = 0;

    // 至少需要14字节
    while (LenCount  !process 0 0 lyshark.exe
        PROCESS ffff9a0a44ec4080
            SessionId: 1  Cid: 05b8    Peb: 0034d000  ParentCid: 13f0
            DirBase: 12a7d2002  ObjectTable: ffffd60bc036f080  HandleCount: 159.
            Image: lyshark.exe
    */
    protect_eprocess = 0xffff9a0a44ec4080;

    // Hook挂钩函数
    head_n_byte = KernelHook(GetProcessAddress(L"PsLookupProcessByProcessId"), (PVOID)MyPsLookupProcessByProcessId, &original_address, &patch_size);

    DbgPrint("[lyshark] 挂钩保护完成 --> 修改字节: %d | 原函数地址: 0x%p n", patch_size, original_address);

    for (size_t i = 0; i DriverUnload = UnDriver;
    return STATUS_SUCCESS;
}

运行这段驱动程序，会输出挂钩保护的具体地址信息；

使用WinDBG观察，会发现挂钩后原函数已经被替换掉了，而被替换的地址就是我们自己的MyPsLookupProcessByProcessId函数。

当你尝试使用任务管理器结束掉lyshark.exe进程时，则会提示拒绝访问。

参考文献

https://www.docin.com/p-1508418694.html