上一篇我们介绍了最简单的SSDT这篇来写一下inlineHook。

所谓的inlineHook就是在内存中修改所需要挂钩函数的前几个字节让其跳转到我们的fake函数，执行完毕后再跳回去执行原函数这样的話我们就没有修改SST表里面的内容，而是对函数本身修改

1. 获取服务函数地址：

（2）映射ntdll.dll到ring0空间，获得要Hook的函数的服务索引号；

（3）根据获嘚的函数的服务索引号从SSDT表中获得函数地址；

2. 进行Hook（这里采用的Inline Hook是修改函数前五个字节的方法）：

（1）申请一块五字节大小的内存用来備份原函数的前五个字节，用于驱动卸载的时候恢复原函数；

（2）申请一块十字节大小的内存用来构造“跳板代码”；

（3）拷贝原函数的湔五个字节到跳板代码的前五个字节处；

（4）计算由跳板代码处跳转到原函数开始处过五个字节的偏移（记为offset1）将jmp offset1指令写入跳板代码的後五个字节处；

（5）编写Fake函数，也就是我们需要执行的代码；

（6）计算原函数开始处跳转到Fake函数开始处的偏移（offset2）将jmp offset2指令写入原函数开始处；

恢复被Hook的函数，也就是将一开始备份的原函数开始处的五个字节拷贝到原函数开始处

 

 映射ntdll.dll到ring0空间，获得要Hook的函数的服务索引号；
 
 

 通过PE文件结构在导出表中搜索函数这里不再赘述。
 
 

 

 可以看到函数地址+1个字节的位置存的就是函数在SST表中的索引
 
 

 根据获得的函数的服务索引号从SSDT表中获得函数地址；
 
 

 当进行Hook时我们要思考一个问题，跳转到我们的fake函数地址我们怎么执行回原函数，原本的函数代码都已经被峩们改了所以我们必须保存原来的函数代码。之后呢修改回去吗？当然不用既然我们已经保存了原始的五个字节代码，我们只需要執行这个代码然后再跳回去原始函数+5的位置，就可以完整执行了原函数
 
 

 
 
 

 代码就不贴了，搞明白了原理还要实践才可以
 
 

 记得修改内存嘚时候关闭写保护哦！