关于Winnt/2k IDT的一些思考(续)

韩冰

文章内容：
" n( n1 L* e5 t( X. h& O--------------------------------------------------------------------------------
7 d: F: o% T0 ^% A) L: ^4 z作者：suxm < suxm@nsfocus.com >
主页：http://www.nsfocus.com
7 ^$ B( e5 U% x6 F8 C日期：2001-09-10

( Z) B" j. y$ z7 q<<接上期>>
. n' y5 Q- o9 |( E
4 g! z8 M5 f& l( Z6 VIDT是定义硬件中断映射的表，当硬件中断发生的时候，CPU会直接把控制权交到IDT的相应ISR中去运行，根本不去关心是否有Kernel Interrupt Object(CPU根本不知道Kernel Interrupt Object是什么)。

4 p+ a! I, `% W5 N) v2 F. ]; @% n; u[ 读者小强：啊？？？！！！想不到Interrupt Object这么不重要？？？那Interrupt Object在中断发生的过程中扮演着什么角色呢？]
呵呵，别忙，Interrupt Object还是很重要的。当你调用IoConnectInterrupt()的时候，Kernel会构造Interrupt Object. 然后Kernel把Interrupt Object的地址放到IDT的相应表项中。这就是说，当中断发生的时候，CPU会把控制权交到IDT相应表项所对应的ISR中，而这个ISR，就 是Interrupt Object中的代码。现在明白了吧？我们可以这样理解，中断发生的时候，相应的Interrupt Object被调用。
! p  ?: t+ P0 u+ n+ B( z下面我们将要演练一下如何在NT下hook系统中断，以使读者对以上基础知识理解得更加深刻。
( U' Z2 `5 J' v$ c1 s/ Z. E5 x在开始激动人心的练习之前，我们有必要再强调一下上面的几个概念：Trap/Interrupt gate描述符、IDTR、Interrupt Object。
通过sidt这条汇编指令，可以获得IDTR的内容，由此，可以得到IDT的Base Address（基址）和Limit（最大的长度限制）。一旦得到IDT 的Base Address，我们就可以找到想要hook的中断号，然后@#@!$!@$@#$@#%$^$……，对不起，刚才晕倒了，太激动了。然后，我们改变 那个我们想要替换的IDT表项的Code Segment Selector和Offset，当然，别忘了备份好被替换的Code Segment Selector和Offset。并要确保新 的中断处理函数能正常调用原来的中断处理函数（这就相当于把新的中断处理函数插在了原中断处理函数之前，但是不影响原中断处理函 数的使用）。
6 n3 ^, m. V* T[ 读者小强：什么是IDT表项的Code Segment Selector和Offset呀？]
1 t" e; E/ n( I: y1 l' r: V[ suxm: 去看看上一期月刊的图1 ]
& Z" _- S9 }& v下面这些代码出自《Undocumented WindowsNT》，实现上述“搜索IDT、替换并备份IDT表项”的功能。
! x. P* G% s* L3 f$ ]' ^6 _2 ?
- o4 ]8 M( E  I, R! u/* 在Winnt和Win2k下，RTC时钟中断被映射到IDT的第0x38项 */
- y" q; i5 o! G7 i1 @7 {# V#define HOOKINT 0x38
* X2 M% L" c7 G8 K8 q7 I) INTSTATUS DriverSpecificInitialization( )
{
+ B! {1 ?7 \8 i& b; v9 @; G6 WPIdtEntry_t IdtEntry;
extern PServiceDescriptorTableEntry_t KeServiceDescriptorTable;

NumberOfServices = KeServiceDescriptorTable->NumberOfServices;
; ]! v1 j$ k5 P4 B( K% U! `- IServiceCounterTableSize = (NumberOfServices+1)*sizeof(int);
ServiceCounterTable = ExAllocatePool(PagedPool, ServiceCounterTableSize);

% L8 a' s4 \/ J, a6 i3 W% P/* 有必要检查一下，有时候内存不足会导致ExAllocatePool返回NULL */
- p2 ~2 B2 R9 aif (!ServiceCounterTable)
* A5 @8 o8 ?! S+ y7 Y1 S; ~return STATUS_INSUFFICIENT_RESOURCES;
7 ]! M' n/ `' A. C. q3 d, Y# d& @
# y3 J3 x3 r2 X: l$ W6 {4 t' r7 Mmemset(ServiceCounterTable, 0, ServiceCounterTableSize);
# T. y3 [. Q! W! `*ServiceCounterTable=NumberOfServices;

6 ], O( R6 r; R: ^. C: h/* 获得IDTR Register 的Base Address和Limit*/
_asm sidt buffer
IdtEntry=(PIdtEntry_t)Idtr->Base;

/* HOOKINT就是我们想要hook的中断号
; H1 M6 O$ w5 U9 ?7 @这条语句的作用是找到我们要hook的IDT表项，然后备份原来的内容*/
OldHandler = ((unsigned int)IdtEntry[HOOKINT].OffsetHigh<<16U)|
(IdtEntry[HOOKINT].OffsetLow);

/* 在IDT表项的相应位置写入新的中断处理函数的地址
4 {" T# @+ v5 Q/ G/ Z. q% v3 p用新的中断处理函数替换原中断处理函数 */
_asm cli /* 这里注意，因为中断说不准会在这时候发生，所以要先diable中断 */
6 o* M1 p1 h" z3 K' |6 nIdtEntry[HOOKINT].OffsetLow = (unsigned short)NewHandler;
& R* c- {9 o- G" vIdtEntry[HOOKINT].OffsetHigh = (unsigned short)((unsigned int)NewHandler>16);
_asm sti /* Enable中断请求 */
$ s2 F( c/ {+ n" ]4 o) e
/ e, p0 x- m) }' s/ i' jreturn STATUS_SUCCESS;
}

上面是对IDT表项进行hook，我们只是修改了相应表项的Code Segment Offset。经过替换后，新的中断处理函数与原中断处理函数的“性 质相似”，即表项中其余的字段相同。如果读者对这句话不理解，那就请看IDT表项的数据结构。
% S. a( W/ X, r, P$ N" ~/ [% Itypedef struct InterruptGate
{
/ s) Q. g6 }3 [3 t8 `unsigned short OffsetLow;
1 g3 d9 G' W) ^1 O( ^unsigned short Selector;
. K8 M! W. C1 B7 ~3 |6 [unsigned char Reserved;
, w7 v8 b1 n, \! K  q7 W3 Q/ Kunsigned char SegmentType;
unsigned char SystemSegmentFlag;
% ]+ v5 ~5 R1 `9 Nunsigned char Dpl;
unsigned char Present;
2 J% M! j4 _8 U! ~unsigned short OffsetHigh;
} InterruptGate_t;
# V; U, _5 H" q$ @' J4 o3 J
在上面的例子中，OffsetLow和OffsetHigh被改写了，从而hook了中断。让我们思考这样一个问题：如果IDT的相应表项没有内容呢，也就 是说，如果我们想让IDT的空表项指向我们的中断处理函数，又该怎么办呢？

- I: u5 M' n, k5 y7 T[ 读者小强：Winnt和2K的IDT中有空表项吗？]
是的，比如说，在Winnt下，IDT表项的第22h---29h就是空表项。 这就是说我们可以给Winnt加入新的中断。但是，这里有了新的难度， 我们必须认真理解和填写上面数据结构InterruptGate中的所有字段。
! t, B3 p# ^5 \* N6 @下面这些代码出自《Undocumented WindowsNT》，实现上述“搜索IDT、填写IDT表项所有字段”的功能。
: r3 h" ~3 c# J! _6 CNTSTATUS AddInterrupt()
{
PIdtEntry_t IdtEntry;

2 m9 E( q. }7 |+ B0 [, Q/* 获得IDTR Register 的Base Address和Limit*/
_asm sidt buffer
# J6 ?5 j0 i! |( jIdtEntry=(PIdtEntry_t)Idtr->Base;
; z4 j2 e3 E* o$ N- H9 ?if((IdtEntry[ADDINT].OffsetLow!=0)||(IdtEntry[ADDINT].OffsetHigh!=0))
/ q8 S0 C0 S% F( j+ treturn STATUS_UNSUCCESSFUL;
/ s8 h5 J% j$ P: m% k. [
6 L; k8 X6 Z- l+ j& I4 A_asm cli

. T/ y4 ~" a/ W( h/* 填写IDT表项的所有字段，使新的IDT表项指向我们的中断处理函数 */
5 }1 q) A. J+ a( q, VIdtEntry[ADDINT].OffsetLow=(unsigned short)InterruptHandler;
IdtEntry[ADDINT].Selector=8;
IdtEntry[ADDINT].Reserved=0;
IdtEntry[ADDINT].Type=0xE;
IdtEntry[ADDINT].Always0=0;
IdtEntry[ADDINT].Dpl=3;
; n2 l, `7 A/ s: S: pIdtEntry[ADDINT].Present=1;
8 W- j+ ]; i* d  i1 v3 [* }- }2 uIdtEntry[ADDINT].OffsetHigh=
1 Z1 z- j! g- O- M' B; B. R(unsigned short)((unsigned int) InterruptHandler>16);
_asm sti

7 B- q" z: e1 @5 K* a. T3 Hreturn STATUS_SUCCESS;
}
! S4 C: \. W; i9 i- ?- |
让我们就上面的代码提一些问题。
5 f+ h; N2 y$ u2 y' {0 f9 iQ: 上面的代码IdtEntry[ADDINT].Selector=8; 这是怎么回事？
/ @( D* ~( k8 O& J; c6 `8 `  u( NA：按Ctrl+D进到Softice里，你会发现，所以的system代码，都存在于一个段中。这
个段的名称就是8（CS=8）。
8 h$ U& r% t$ T5 R! V
& Y4 }: O/ h4 ~Q: 上面的代码IdtEntry[ADDINT].Dpl=3; 这是怎么回事？
$ Y2 O+ p' }: X+ O7 mA：问得好，小强。这说明，这个中断可以在应用程序中，通过int xxx的形式触发。因为
9 D! `+ J0 q, u1 U6 l应用程序的DPL=3，所以，可以直接触发这个中断。

* N) R6 h! S! ^9 i2 G# }Q: 上面的代码IdtEntry[ADDINT].Type=0xE; 这是怎么回事？
0 A. b+ Z6 Q( J$ l5 UA：按Ctrl+D进到Softice里，然后敲入指令idt。输出如下
:idt
; V1 U( j- T' c5 {. T( QInt Type Sel:Offset Attributes Symbol/Owner
; W: }' t3 L- Y3 L3 }IDTbase=80036400 Limit=07FF
; d! E9 l) b5 A3 ]- X0000 IntG32 0008:80465946 DPL=0 P ntoskrnl!Kei386EoiHelper+0590
0001 IntG32 0008:80465A96 DPL=3 P ntoskrnl!Kei386EoiHelper+06E0
' U4 J' s9 z0 o6 T- B% i……
; Z; l; v9 P6 M! ^# ?可见，0xE表示IntG32。

( r: W7 Y( w4 `: Y) p终于快到下课的时间了，让我再多说几句好吗？
通过对Winnt/2k IDT的分析，我们对IDT有了一些基本认识。上面介绍的通过修改IDT来hook中断的方法，是很危险的。笔者强烈建议读 者尽量通过Winnt/2k DDK官方资料提供的API来实现hook中断的功能。