Суперновичек =] снятие перезвата.

Я просто дундук в этом. Помогите нуберу. Плииииииииииииз

Code (Text):

1. PVOID Hook(PVOID Addr, PVOID NewFunc)
2. {
3.     PVOID CallGate, Inst = Addr;
4.     ULONG Size = 0, CollectedSpace = 0, CallGateSize = 0;
5.    
6.     if (Addr == NULL)
7.         return 0;
8.  
9.     while (CollectedSpace < SIZEOFJUMP)
10.     {
11.         GetInstLenght(Inst, &Size);
12.         (ULONG)Inst += Size;
13.         CollectedSpace += Size;
14.     }
15.    
16.     CallGateSize = CollectedSpace + SIZEOFJUMP;
17.     CallGate = (PVOID)ExAllocatePool(NonPagedPool, CallGateSize);
18.    
19.     DbgMsg("Function addr : 0x%.8x\n", Addr);
20.     DbgMsg("Handler addr : 0x%.8x\n", NewFunc);
21.     DbgMsg("CallGate at : 0x%.8x; size : %d\n", CallGate, CallGateSize);
22.  
23.     memset(CallGate, ASMNOP, CallGateSize);
24.  
25.     memcpy(CallGate, Addr, CollectedSpace);
26.  
27.     memset(Addr, ASMNOP, CollectedSpace);
28.  
29.     GenJmp((ULONG)Addr + SIZEOFJUMP, (ULONG)CallGate + CollectedSpace);
30.     GenJmp((ULONG)NewFunc, (ULONG)Addr);
31.  
32.     return CallGate;
33. }

Как вернуть все обратно, тоесть расхукить это дело. Я ламка и вааще ничего не понимаю что тут сделали. Помогите пожалуйста

 

Подозреваю, что сделали хук через вставку jmp в начало функции. Снимается так: читаешь с диска оригинальные первые 5 байт перехваченной функции и в памяти пишешь их вместо этого самого jmp в начале функции

 

WaterGhost
Объясняю, что здесь написано.

в этом цикле получаем целое количество инструкций размером не менее SIZEOFJUMP

Нопим пространство в пуле - хз зачем - не обязательно.

Сохраняем старые инструкции в отдельном пуле

Нопим начало функции - хз зачем - тоже необязательно.

Вставляем переход в место после сохраненных инструкций. Переход на продолжение функции после вставленного далее перехода.

Сплайсим функции обработчиком по адресу NewFunc.

 

WaterGhost
А чо такое "перезват"?

 

тогда и получать целое кол-во инструкций ненадо

 

Да, спасибо за поправку. В пуле не надо нопы, а вот в начале функции надо.

 

Ух ты.. кажись что-то понял. А откуда взять оригинальные данные для обратной замены ? Или когда я ставлю хук мне нада их запонить ?

 

если это твой хук, то оригинальные байты лежат в Callgate, только тебе надо перезаписывать без последнего джампа.

 

А не могли бы набросать приблизительно как это должно выглядеть =\

 

Code (Text):

1. memcpy(Addr, CallGate, CollectedSpace);

 

а не могли бы помочь построить код функции UnHook... у меня имеется только функции с приставкой Old - это резултатьы выполнения функции Hook. Т.е. калгейты.
Помогите пожалуйста... просто представить вю эту архитектуру по коду не могу. А так вроде понятно что просто перенаправляем при вызове в мой обработчик а потом обратно.

 

Т.е. в КАЛГЕЙТЕ который определяется до строчек

Code (Text):

1. GenJmp((ULONG)Addr + SIZEOFJUMP, (ULONG)CallGate + CollectedSpace);
2.     GenJmp((ULONG)NewFunc, (ULONG)Addr);

лежит оригинальные байты которые мне нада перезаписать ? А как узнать размер калгейта? sizeof ?

 

WaterGhost
№10

 

но ведь это калгейт с джампом =\ а можно его размер узнать sizeof ? м ??

 

WaterGhost
Можно - сканишь калгейт до jmp <адрес_начала_функции+JMPSIZE>

 

сканю до jmp, отрезаю все что после jmp и сам jmp и потом заменяю так:

Code (Text):

1. memcpy(Addr, CallGate, sizeof(CallGate));

я все правильно понял ?

А как скан проводить ?

Code (Text):

1. for(i = 0; sizeof(CallGate); i++)
2.     {
3.         if(CallGate + i = ASMNOP)
4.           {
5.            
6.           }  
7.     }

я вааще не представляю это, помогите пожалуйста =\

 

Нет. sizeof не поможет, надо так

Code (Text):

1. memcpy(Addr, CallGate, CollectedSpace);

Чтобы проводить скан надо узнать какой вид перехода генерит GetJmp. И по этим инструкциям искать.

 

Code (Text):

1. void GenJmp(ULONG To, ULONG From)
2. {  
3.     InsertDword(From + 1, To - From - 5);   // dst - src - 5
4.     InsertByte(From, ASMJMP);               // jmp  ...
5. }

Вот...

Насчет размера... это что получается мне нада запоминать CollectedSpace из процедуры установки хука ? =\

 

WaterGhost
как было написано Mental_Mirror не обяхательно, но проще запомнить.

 

Подскажите как это сделать пожалуйста. Как провести скан и отрезать в калгейте информацию по ASMJMP. Плииииииз =\