HookAPI通信

这段时间学习驱动，到了HookAPI通信这部分，简单记录一下。

HookAPI通信：在Ring3与Ring0之间进行数据交互，我们都知道，在调用一个函数时，该函数会调用内核中对应的函数来实现相应的功能，在这里，我们选择一个具有缓冲区的函数来传输我们自己的数据，在这个函数调用内核层对应的函数时，我们对其Hook，然后取出相应数据。

做个不是太恰当的比喻，就像一个马帮，从A地（Ring3）到向B地（Ring0）运输盐，而在A地的时候，我们将运输的盐替换成我们的大烟，然后，再刚进行B地时，我们把大烟取出，这样就不需要我们亲自去运输了。

在Hook的时候，可以使用SSDTHook或InlineHook。

Ring3函数：

ReadFile((HANDLE)FUNC_ADDRESS_INFO, FuncAddressInfo, (sizeof(WIN32KFUNCINFO) + sizeof(KERNELFUNC_ADDRESS_INFORMATION)), &dwReadByte, 0);

FUN_ADDRESS_INFO是判断的标识，FuncAddressInfo为缓冲区，后面为大小。

Ring0函数：

NTSTATUS __stdcall NewNtReadFile(__in HANDLE FileHandle,__in_opt HANDLE Event,__in_opt PIO_APC_ROUTINE ApcRoutine,__in_opt PVOID ApcContext,__out PIO_STATUS_BLOCK IoStatusBlock,__in PVOID Buffer,__in ULONG Length,__in_opt PLARGE_INTEGER ByteOffset,__in_opt PULONG Key){PFUNCINFO FuncAddress;int i = 0;if(FileHandle == (HANDLE)FUNC_ADDRESS_INFO){DbgPrint("FUNC_ADDRESS_INFO\r\n");if(Length){FuncAddress = (PFUNCINFO)ExAllocatePool(NonPagedPool, Length + 1);if(FuncAddress){memcpy(FuncAddress, Buffer, Length);{for(i = 0; i < FuncAddress->ulCount; i++){DbgPrint("FuncName:%s Address:0x%08X\r\n", FuncAddress->FuncInfo[i].FuncName, FuncAddress->FuncInfo[i].ulAddress);}ExFreePool(FuncAddress);}}}}OldNtReadFile = (NTREADFILE)NtReadFileHookZone;return OldNtReadFile(FileHandle, Event, ApcRoutine, ApcContext, IoStatusBlock, Buffer, Length, ByteOffset, Key);}