关于Winnt/2k IDT的一些思考(续)

韩冰

文章内容：
--------------------------------------------------------------------------------
4 g6 \5 y) N  j# s, l1 w作者：suxm < suxm@nsfocus.com >
, {$ |  B* c! q2 Y主页：http://www.nsfocus.com
6 [, |! }! Q  C日期：2001-09-10
- A" d* w6 b. V- O; S2 j: F
<<接上期>>
8 V7 L  F6 H, n
! c4 p* o$ S" h, `- Q$ Z& Y# c! Z4 BIDT是定义硬件中断映射的表，当硬件中断发生的时候，CPU会直接把控制权交到IDT的相应ISR中去运行，根本不去关心是否有Kernel Interrupt Object(CPU根本不知道Kernel Interrupt Object是什么)。
# Y  j3 Z4 e) J
8 C) L" U+ O# l[ 读者小强：啊？？？！！！想不到Interrupt Object这么不重要？？？那Interrupt Object在中断发生的过程中扮演着什么角色呢？]
呵呵，别忙，Interrupt Object还是很重要的。当你调用IoConnectInterrupt()的时候，Kernel会构造Interrupt Object. 然后Kernel把Interrupt Object的地址放到IDT的相应表项中。这就是说，当中断发生的时候，CPU会把控制权交到IDT相应表项所对应的ISR中，而这个ISR，就 是Interrupt Object中的代码。现在明白了吧？我们可以这样理解，中断发生的时候，相应的Interrupt Object被调用。
下面我们将要演练一下如何在NT下hook系统中断，以使读者对以上基础知识理解得更加深刻。
3 P  W2 Z1 l/ N1 y' U在开始激动人心的练习之前，我们有必要再强调一下上面的几个概念：Trap/Interrupt gate描述符、IDTR、Interrupt Object。
5 A2 |+ Q* s, q7 t8 |通过sidt这条汇编指令，可以获得IDTR的内容，由此，可以得到IDT的Base Address（基址）和Limit（最大的长度限制）。一旦得到IDT 的Base Address，我们就可以找到想要hook的中断号，然后@#@!$!@$@#$@#%$^$……，对不起，刚才晕倒了，太激动了。然后，我们改变 那个我们想要替换的IDT表项的Code Segment Selector和Offset，当然，别忘了备份好被替换的Code Segment Selector和Offset。并要确保新 的中断处理函数能正常调用原来的中断处理函数（这就相当于把新的中断处理函数插在了原中断处理函数之前，但是不影响原中断处理函 数的使用）。
! t4 b7 U: K. `" [4 [[ 读者小强：什么是IDT表项的Code Segment Selector和Offset呀？]
[ suxm: 去看看上一期月刊的图1 ]
8 x% x9 V4 M' y下面这些代码出自《Undocumented WindowsNT》，实现上述“搜索IDT、替换并备份IDT表项”的功能。
  L7 F+ @, R5 b1 I0 L
) F5 \/ e( d5 H/* 在Winnt和Win2k下，RTC时钟中断被映射到IDT的第0x38项 */
9 l: P% m* n/ q, s* V5 H#define HOOKINT 0x38
$ c( ?( C9 y( L0 a6 r& \NTSTATUS DriverSpecificInitialization( )
{
PIdtEntry_t IdtEntry;
' |2 r# n0 c. D/ E- l: w& Iextern PServiceDescriptorTableEntry_t KeServiceDescriptorTable;

NumberOfServices = KeServiceDescriptorTable->NumberOfServices;
ServiceCounterTableSize = (NumberOfServices+1)*sizeof(int);
ServiceCounterTable = ExAllocatePool(PagedPool, ServiceCounterTableSize);
3 w; U; v: B( Z* B
; x% F. F2 p- H& [8 S/* 有必要检查一下，有时候内存不足会导致ExAllocatePool返回NULL */
if (!ServiceCounterTable)
" H9 c) d0 X5 @. J/ ?( y: breturn STATUS_INSUFFICIENT_RESOURCES;
$ y0 a2 V# n. H4 M$ M3 o8 c
, K( n4 p3 H- Y6 Dmemset(ServiceCounterTable, 0, ServiceCounterTableSize);
# N7 j1 j. i' m1 k( k- I*ServiceCounterTable=NumberOfServices;
9 b& e) Q$ m' J
/* 获得IDTR Register 的Base Address和Limit*/
4 N/ {1 l5 P4 n* W0 T" y9 ~/ F& X_asm sidt buffer
. Y, ~2 Q: v( ~; `IdtEntry=(PIdtEntry_t)Idtr->Base;

/* HOOKINT就是我们想要hook的中断号
这条语句的作用是找到我们要hook的IDT表项，然后备份原来的内容*/
OldHandler = ((unsigned int)IdtEntry[HOOKINT].OffsetHigh<<16U)|
(IdtEntry[HOOKINT].OffsetLow);
7 {1 C5 {% b1 l7 ~1 R$ M
) N* w' L& e, K, c/ `6 V/* 在IDT表项的相应位置写入新的中断处理函数的地址
( ^* z1 w0 Q$ b4 X+ ]2 k% o( `, X1 H用新的中断处理函数替换原中断处理函数 */
_asm cli /* 这里注意，因为中断说不准会在这时候发生，所以要先diable中断 */
( T# ~  S! f: k  d# ]IdtEntry[HOOKINT].OffsetLow = (unsigned short)NewHandler;
# [" [, m6 S9 p1 O4 sIdtEntry[HOOKINT].OffsetHigh = (unsigned short)((unsigned int)NewHandler>16);
_asm sti /* Enable中断请求 */
3 p8 c6 w6 B: n$ J8 T* m- X
return STATUS_SUCCESS;
" O- M' p6 U, _}

上面是对IDT表项进行hook，我们只是修改了相应表项的Code Segment Offset。经过替换后，新的中断处理函数与原中断处理函数的“性 质相似”，即表项中其余的字段相同。如果读者对这句话不理解，那就请看IDT表项的数据结构。
typedef struct InterruptGate
{
unsigned short OffsetLow;
! K7 P1 H7 i% V" v! [9 h8 ?! q- Tunsigned short Selector;
9 i# r* u, w7 ]6 i' a9 r: Lunsigned char Reserved;
7 M  W8 q0 v8 H/ G+ f# G3 Runsigned char SegmentType;
unsigned char SystemSegmentFlag;
unsigned char Dpl;
unsigned char Present;
; e" C6 P8 c# g5 k; `  aunsigned short OffsetHigh;
. P5 `2 E+ e" V  O} InterruptGate_t;

- F8 s- j; k' C# `& R在上面的例子中，OffsetLow和OffsetHigh被改写了，从而hook了中断。让我们思考这样一个问题：如果IDT的相应表项没有内容呢，也就 是说，如果我们想让IDT的空表项指向我们的中断处理函数，又该怎么办呢？
' C9 S" e' H# i9 @% ^9 H
[ 读者小强：Winnt和2K的IDT中有空表项吗？]
+ k, }/ Z$ h: h6 O4 u( n" a是的，比如说，在Winnt下，IDT表项的第22h---29h就是空表项。 这就是说我们可以给Winnt加入新的中断。但是，这里有了新的难度， 我们必须认真理解和填写上面数据结构InterruptGate中的所有字段。
; n3 h5 W" X9 P! L下面这些代码出自《Undocumented WindowsNT》，实现上述“搜索IDT、填写IDT表项所有字段”的功能。
NTSTATUS AddInterrupt()
) t. \  F+ W7 M{
PIdtEntry_t IdtEntry;
1 p, u2 V* U4 r* m' f( I' }: @
/* 获得IDTR Register 的Base Address和Limit*/
+ k4 m4 U+ j. [% K/ Z_asm sidt buffer
4 ^" G" S: v3 i) ~IdtEntry=(PIdtEntry_t)Idtr->Base;
if((IdtEntry[ADDINT].OffsetLow!=0)||(IdtEntry[ADDINT].OffsetHigh!=0))
return STATUS_UNSUCCESSFUL;
1 L9 }; p0 ~; E; Z1 n
_asm cli
1 u/ Q  `. k- ^/ e, E% }, n3 K5 N, G
/* 填写IDT表项的所有字段，使新的IDT表项指向我们的中断处理函数 */
IdtEntry[ADDINT].OffsetLow=(unsigned short)InterruptHandler;
: H; X) Q. O) m( u4 f9 {6 RIdtEntry[ADDINT].Selector=8;
IdtEntry[ADDINT].Reserved=0;
IdtEntry[ADDINT].Type=0xE;
5 x' c: r5 D9 X2 [0 E0 nIdtEntry[ADDINT].Always0=0;
IdtEntry[ADDINT].Dpl=3;
. p( H6 J7 Q5 L2 @- P7 \IdtEntry[ADDINT].Present=1;
: X5 ^0 x5 Y, v: X8 P1 Q) FIdtEntry[ADDINT].OffsetHigh=
; Z+ N! y4 H* [/ j! j) _(unsigned short)((unsigned int) InterruptHandler>16);
5 t9 R1 K6 W( @9 b' x" i6 I; u6 g# I' T5 P_asm sti
1 i! D1 c( [1 H1 k; A* R
return STATUS_SUCCESS;
}
' r, N) T0 \4 H3 b- \" B3 h* y
让我们就上面的代码提一些问题。
8 w4 l: R5 O- C$ \, ?" b6 S. o2 H# iQ: 上面的代码IdtEntry[ADDINT].Selector=8; 这是怎么回事？
& X2 V7 Q. X8 T- ^; n1 YA：按Ctrl+D进到Softice里，你会发现，所以的system代码，都存在于一个段中。这
个段的名称就是8（CS=8）。

Q: 上面的代码IdtEntry[ADDINT].Dpl=3; 这是怎么回事？
A：问得好，小强。这说明，这个中断可以在应用程序中，通过int xxx的形式触发。因为
5 P+ i2 d1 L8 A1 s0 B! b应用程序的DPL=3，所以，可以直接触发这个中断。

/ X" S6 b% d* J! DQ: 上面的代码IdtEntry[ADDINT].Type=0xE; 这是怎么回事？
A：按Ctrl+D进到Softice里，然后敲入指令idt。输出如下
. c7 e- J7 k% H/ G& G$ Z:idt
Int Type Sel:Offset Attributes Symbol/Owner
9 `" m6 r* R: `- v) }' ZIDTbase=80036400 Limit=07FF
0000 IntG32 0008:80465946 DPL=0 P ntoskrnl!Kei386EoiHelper+0590
0001 IntG32 0008:80465A96 DPL=3 P ntoskrnl!Kei386EoiHelper+06E0
' f- M: A; x, C4 X……
可见，0xE表示IntG32。
% M* n9 I, ^! n  K
( b$ G- Z( S0 R7 y. `3 j终于快到下课的时间了，让我再多说几句好吗？
通过对Winnt/2k IDT的分析，我们对IDT有了一些基本认识。上面介绍的通过修改IDT来hook中断的方法，是很危险的。笔者强烈建议读 者尽量通过Winnt/2k DDK官方资料提供的API来实现hook中断的功能。