开通博客赚积分
发布资源赚积分
分类

源码开发语言/平台
当前位置:首页 > 源码/资料 > Windows编程 > 系统编程 > 查看源码
BehaviorMon.h
资源名称:BehaviorProMon.rar [点击查看]
上传用户:xuemeng126
上传日期:2022-07-05
资源大小:454k
文件大小:3k
源码类别:

系统编程

开发平台:

Visual C++

BehaviorMon.h:源码内容
  1. #if defined(_M_IA64) 
  3. //
  4. // IA64 SYSTEM CALL HOOK/UNHOOK
  5. //
  7. //
  8. // On the IA64 the Zw function has an embedded immediate that is the system call number
  9. //
  10. #define SYSCALL_INDEX(_Function) (((*(PULONG)((PUCHAR)(*(PULONG_PTR)_Function+4)) & 0x3) << 7) + (*(PULONG)((PUCHAR)*(PULONG_PTR)_Function) >> 18))
  12. #define HOOK_SYSCALL(_Function, _Hook, _Orig )  
  13.     if( !HookDescriptors[ SYSCALL_INDEX(_Function) ].Hooked ) { 
  14.             ULONG syscallIndex = SYSCALL_INDEX(_Function ); 
  15.             if( !stubsPatched ) PatchStub( gpReg, (PVOID) *(PULONG_PTR *) Stub##_Hook ); 
  16.             HookDescriptors[ syscallIndex ].FuncDesc.EntryPoint = 
  17.                      (ULONGLONG) InterlockedExchangePointer( (PVOID) &KeServiceTablePointers[ syscallIndex ], *(PULONG_PTR *) Stub##_Hook ); 
  18.             HookDescriptors[ syscallIndex ].FuncDesc.GlobalPointer = ((PLABEL_DESCRIPTOR *)&_Function)->GlobalPointer; 
  19.             _Orig = (PVOID) &HookDescriptors[ syscallIndex ].FuncDesc.EntryPoint; 
  20.             HookDescriptors[ syscallIndex ].Hooked = TRUE; 
  21.     }
  23. //
  24. // NOTE: We can't unhook if someone else has hooked on top of us. Note that the
  25. // unhook code below still has a window of vulnerability where someone can hook between
  26. // our test and unhook.
  27. //
  28. #define UNHOOK_SYSCALL(_Function, _Hook, _Orig )  
  29.     if( HookDescriptors[ SYSCALL_INDEX(_Function)].Hooked && KeServiceTablePointers[ SYSCALL_INDEX(_Function) ] == (PVOID) _Hook ) { 
  30.             InterlockedExchangePointer( (PVOID) &KeServiceTablePointers[ SYSCALL_INDEX(_Function) ], (PVOID) _Orig ); 
  31.             HookDescriptors[ SYSCALL_INDEX(_Function) ].Hooked = FALSE; 
  32.     }
  34. #else
  36. //
  37. // X86 SYSTEM CALL HOOK/UNHOOK
  38. //
  40. //
  41. // Define this because we build with the NT4DDK for 32-bit systems, where
  42. // ULONG_PTR isn't defined and is a ULONG anyway
  43. //
  44. typedef ULONG   ULONG_PTR;
  46. //
  47. // On X86 implementations of Zw* functions, the DWORD
  48. // following the first byte is the system call number, so we reach into the Zw function
  49. // passed as a parameter, and pull the number out. This makes system call hooking
  50. //
  51. #define SYSCALL_INDEX(_Function) *(PULONG)((PUCHAR)_Function+1)
  53. #define HOOK_SYSCALL(_Function, _Hook, _Orig )  
  54.     if( !HookDescriptors[ SYSCALL_INDEX(_Function) ].Hooked ) { 
  55.             _Orig = (PVOID) InterlockedExchange( (PLONG) &KeServiceTablePointers[ SYSCALL_INDEX(_Function) ], (LONG) _Hook ); 
  56.             HookDescriptors[ SYSCALL_INDEX(_Function) ].Hooked = TRUE; 
  57.     }
  59. //
  60. // NOTE: We can't unhook if someone else has hooked on top of us. Note that the
  61. // unhook code below still has a window of vulnerability where someone can hook between
  62. // our test and unhook.
  63. //
  64. #define UNHOOK_SYSCALL(_Function, _Hook, _Orig )  
  65.     if( HookDescriptors[ SYSCALL_INDEX(_Function)].Hooked && KeServiceTablePointers[ SYSCALL_INDEX(_Function) ] == (PVOID) _Hook ) { 
  66.             InterlockedExchange( (PLONG) &KeServiceTablePointers[ SYSCALL_INDEX(_Function) ], (LONG) _Orig ); 
  67.             HookDescriptors[ SYSCALL_INDEX(_Function) ].Hooked = FALSE; 
  68.     }
  69. #endif