关于Winnt/2k IDT的一些思考(续)

韩冰

文章内容：
  k1 \8 ]1 ^# W' p--------------------------------------------------------------------------------
作者：suxm < suxm@nsfocus.com >
主页：http://www.nsfocus.com
日期：2001-09-10

<<接上期>>

" d: X4 T; c4 E! Z1 A9 RIDT是定义硬件中断映射的表，当硬件中断发生的时候，CPU会直接把控制权交到IDT的相应ISR中去运行，根本不去关心是否有Kernel Interrupt Object(CPU根本不知道Kernel Interrupt Object是什么)。

+ T1 y% G6 s* ^: r* r& a$ U* `[ 读者小强：啊？？？！！！想不到Interrupt Object这么不重要？？？那Interrupt Object在中断发生的过程中扮演着什么角色呢？]
, P) O6 |3 z$ B; N呵呵，别忙，Interrupt Object还是很重要的。当你调用IoConnectInterrupt()的时候，Kernel会构造Interrupt Object. 然后Kernel把Interrupt Object的地址放到IDT的相应表项中。这就是说，当中断发生的时候，CPU会把控制权交到IDT相应表项所对应的ISR中，而这个ISR，就 是Interrupt Object中的代码。现在明白了吧？我们可以这样理解，中断发生的时候，相应的Interrupt Object被调用。
下面我们将要演练一下如何在NT下hook系统中断，以使读者对以上基础知识理解得更加深刻。
在开始激动人心的练习之前，我们有必要再强调一下上面的几个概念：Trap/Interrupt gate描述符、IDTR、Interrupt Object。
+ j$ R, c$ {) L0 T通过sidt这条汇编指令，可以获得IDTR的内容，由此，可以得到IDT的Base Address（基址）和Limit（最大的长度限制）。一旦得到IDT 的Base Address，我们就可以找到想要hook的中断号，然后@#@!$!@$@#$@#%$^$……，对不起，刚才晕倒了，太激动了。然后，我们改变 那个我们想要替换的IDT表项的Code Segment Selector和Offset，当然，别忘了备份好被替换的Code Segment Selector和Offset。并要确保新 的中断处理函数能正常调用原来的中断处理函数（这就相当于把新的中断处理函数插在了原中断处理函数之前，但是不影响原中断处理函 数的使用）。
[ 读者小强：什么是IDT表项的Code Segment Selector和Offset呀？]
2 Q7 l" |. X7 m[ suxm: 去看看上一期月刊的图1 ]
下面这些代码出自《Undocumented WindowsNT》，实现上述“搜索IDT、替换并备份IDT表项”的功能。
4 ^4 h: n( Q9 K8 M5 x
/* 在Winnt和Win2k下，RTC时钟中断被映射到IDT的第0x38项 */
#define HOOKINT 0x38
NTSTATUS DriverSpecificInitialization( )
{
PIdtEntry_t IdtEntry;
extern PServiceDescriptorTableEntry_t KeServiceDescriptorTable;

NumberOfServices = KeServiceDescriptorTable->NumberOfServices;
ServiceCounterTableSize = (NumberOfServices+1)*sizeof(int);
ServiceCounterTable = ExAllocatePool(PagedPool, ServiceCounterTableSize);
6 U& t5 m4 l  O1 h: x
; L, [$ H3 A! G3 p  [/* 有必要检查一下，有时候内存不足会导致ExAllocatePool返回NULL */
' b- q; Z" S$ b. D8 Nif (!ServiceCounterTable)
return STATUS_INSUFFICIENT_RESOURCES;
9 e- n5 k% U: Y3 \% q
; [- {% e: j5 \' \. f7 j+ Ymemset(ServiceCounterTable, 0, ServiceCounterTableSize);
*ServiceCounterTable=NumberOfServices;

/* 获得IDTR Register 的Base Address和Limit*/
_asm sidt buffer
IdtEntry=(PIdtEntry_t)Idtr->Base;
+ n8 T: ]0 b' f6 H" \
/* HOOKINT就是我们想要hook的中断号
这条语句的作用是找到我们要hook的IDT表项，然后备份原来的内容*/
OldHandler = ((unsigned int)IdtEntry[HOOKINT].OffsetHigh<<16U)|
(IdtEntry[HOOKINT].OffsetLow);

! j' {) |. E1 B9 k0 }- H/* 在IDT表项的相应位置写入新的中断处理函数的地址
, ^) }1 ]2 G/ C4 j) i4 b用新的中断处理函数替换原中断处理函数 */
_asm cli /* 这里注意，因为中断说不准会在这时候发生，所以要先diable中断 */
) m2 S' |' {0 B9 ZIdtEntry[HOOKINT].OffsetLow = (unsigned short)NewHandler;
8 _2 _0 h/ |) P. J+ |/ H# eIdtEntry[HOOKINT].OffsetHigh = (unsigned short)((unsigned int)NewHandler>16);
_asm sti /* Enable中断请求 */

7 h$ Y% D# I& _# p7 lreturn STATUS_SUCCESS;
& X7 h/ C/ i% L2 u; F% k}
! ^$ m  J: {" \; t; |! l2 D
上面是对IDT表项进行hook，我们只是修改了相应表项的Code Segment Offset。经过替换后，新的中断处理函数与原中断处理函数的“性 质相似”，即表项中其余的字段相同。如果读者对这句话不理解，那就请看IDT表项的数据结构。
typedef struct InterruptGate
{
5 o* [0 u- l" O" I+ K% m( ^& xunsigned short OffsetLow;
unsigned short Selector;
unsigned char Reserved;
: v2 ~6 k" \+ ~. z1 j: Z' Qunsigned char SegmentType;
% _  |! \- [0 h6 v3 N# N% Lunsigned char SystemSegmentFlag;
4 K" A3 q9 ~+ D; j5 D$ Z3 Z, Runsigned char Dpl;
unsigned char Present;
unsigned short OffsetHigh;
7 g2 \  V  h' W3 e) k/ }9 n* C} InterruptGate_t;
3 h; l* p# \6 Y5 D7 W
在上面的例子中，OffsetLow和OffsetHigh被改写了，从而hook了中断。让我们思考这样一个问题：如果IDT的相应表项没有内容呢，也就 是说，如果我们想让IDT的空表项指向我们的中断处理函数，又该怎么办呢？
4 z/ x- G, _2 D2 g* ]5 ~
3 k: W+ M" C6 ~  T% e[ 读者小强：Winnt和2K的IDT中有空表项吗？]
是的，比如说，在Winnt下，IDT表项的第22h---29h就是空表项。 这就是说我们可以给Winnt加入新的中断。但是，这里有了新的难度， 我们必须认真理解和填写上面数据结构InterruptGate中的所有字段。
9 ~* s# H* B! O% `7 n7 }' K9 a下面这些代码出自《Undocumented WindowsNT》，实现上述“搜索IDT、填写IDT表项所有字段”的功能。
# }. w/ k* S* ^( U2 dNTSTATUS AddInterrupt()
2 _* ^& ]" `+ |! o9 ?{
9 @7 I. j; A8 b' W- s2 OPIdtEntry_t IdtEntry;

2 w, i; s4 o' S/* 获得IDTR Register 的Base Address和Limit*/
# h* Y9 U/ h' E2 [_asm sidt buffer
IdtEntry=(PIdtEntry_t)Idtr->Base;
$ f! Q5 n7 l9 r# kif((IdtEntry[ADDINT].OffsetLow!=0)||(IdtEntry[ADDINT].OffsetHigh!=0))
. j  L8 x+ k$ |- t3 N# o# hreturn STATUS_UNSUCCESSFUL;

_asm cli

/* 填写IDT表项的所有字段，使新的IDT表项指向我们的中断处理函数 */
' |0 z' H* [& ^, P6 wIdtEntry[ADDINT].OffsetLow=(unsigned short)InterruptHandler;
IdtEntry[ADDINT].Selector=8;
IdtEntry[ADDINT].Reserved=0;
9 X6 T, j1 k& Z$ V/ n( G  I5 dIdtEntry[ADDINT].Type=0xE;
, W! [/ |  C3 ?' i, o% r$ DIdtEntry[ADDINT].Always0=0;
$ n  l9 y2 [6 r! |! `: r6 HIdtEntry[ADDINT].Dpl=3;
2 s2 B0 [8 ~$ g! Z- Y  j" O; eIdtEntry[ADDINT].Present=1;
7 N- p4 ~) S5 T) ^' ]IdtEntry[ADDINT].OffsetHigh=
3 E0 w, @1 x; ~" s' X- Y7 U% f(unsigned short)((unsigned int) InterruptHandler>16);
_asm sti

return STATUS_SUCCESS;
" a: U& ^1 ^+ _7 D}
8 n- B' w0 b, g% W) u
- `5 c9 i8 j' A# p- @& g+ r4 B让我们就上面的代码提一些问题。
Q: 上面的代码IdtEntry[ADDINT].Selector=8; 这是怎么回事？
! F# Q  p) g+ y( |* H" gA：按Ctrl+D进到Softice里，你会发现，所以的system代码，都存在于一个段中。这
个段的名称就是8（CS=8）。

Q: 上面的代码IdtEntry[ADDINT].Dpl=3; 这是怎么回事？
A：问得好，小强。这说明，这个中断可以在应用程序中，通过int xxx的形式触发。因为
" u- [/ ~- `% h应用程序的DPL=3，所以，可以直接触发这个中断。

Q: 上面的代码IdtEntry[ADDINT].Type=0xE; 这是怎么回事？
A：按Ctrl+D进到Softice里，然后敲入指令idt。输出如下
:idt
Int Type Sel:Offset Attributes Symbol/Owner
! z) N5 S, \- K  E0 P, s1 DIDTbase=80036400 Limit=07FF
0000 IntG32 0008:80465946 DPL=0 P ntoskrnl!Kei386EoiHelper+0590
0 G5 c0 \- I' Y3 n6 d0001 IntG32 0008:80465A96 DPL=3 P ntoskrnl!Kei386EoiHelper+06E0
……
8 H4 e, y$ m, }( W0 l& r8 b( R8 O可见，0xE表示IntG32。

" B) Q( P% M! C2 W2 l终于快到下课的时间了，让我再多说几句好吗？
通过对Winnt/2k IDT的分析，我们对IDT有了一些基本认识。上面介绍的通过修改IDT来hook中断的方法，是很危险的。笔者强烈建议读 者尽量通过Winnt/2k DDK官方资料提供的API来实现hook中断的功能。