64位操作系统Hook内核函数NtQuerySystemInformation遇到的坑

本文转载自查看原文 2020-08-01 19:11 737 C++/ 汇编&逆向/ NtQuerySystemInformation/ SystemBasicInformation/ GetSystemInfo

程序通过调用GetSystemInfo得到CPU内核数目的目的，起初想在进程内Hook GetSystemInfo 这个API来达到效果，但是这样HOOK还得向进程注入一个DLL，比较麻烦。后来得知GetSystemInfo 这个函数内部调用内核NtQuerySystemInformation来达到效果的。于是想直接Hook 内核NtQuerySystemInformation来达到效果。

HOOK的过程还算顺利，我是判断参数为SystemBasicInformation的时候就直接修改NtQuerySystemInformation返回的CPU数目来达到这个目的。

但是，实际测试发现，并不能达到修改CPU数目的效果。调试了两三个小时无果，最后在网上查发现问题所在。

In 32-bit Windows, the structure is filled exactly the same for all three information classes. The x64 builds treat SystemEmulationBasicInformation differently. This allows WOW64.DLL, executing 64-bit code in a 32-bit process, to get basic information that’s suited to the 32-bit caller.

于是修改HOOK函数条件为SystemEmulationBasicInformation 时总算解决了这个问题。

最终Hook函数代码如下：

NTSTATUS __fastcall FakeNtQuerySystemInformation(
	IN SYSTEM_INFORMATION_CLASS SystemInformationClass,
	OUT PVOID                   SystemInformation,
	IN ULONG                    SystemInformationLength,
	OUT PULONG                  ReturnLength
)
{
	if ((SystemBasicInformation == SystemInformationClass ||
		SystemEmulationBasicInformation == SystemInformationClass) && gGetProcessImageFileName != 0 && g_config_processor_count > 0) {
		PCHAR pImageName = gGetProcessImageFileName(PsGetCurrentProcess());
		if (NULL != pImageName)
		{
			CHAR buffer[100];
			strncpy(buffer, pImageName,100);
			int len = strlen(buffer);
			for (int i = 0; i < len && i < 100; i++)
				buffer[i] = (char)tolower((int)buffer[i]);

			if (strstr(buffer, "aaa") != NULL) {
				memset(SystemInformation, 0, SystemInformationLength);
				DbgPrint("[FakeCpuCount]FakeNtQuerySystemInformation pid: %s \n", pImageName);
				NTSTATUS status = NtQuerySystemInformation(SystemInformationClass,
					SystemInformation, SystemInformationLength, ReturnLength);
				if (SystemInformationClass == SystemEmulationBasicInformation) {
					if (NT_SUCCESS(status)) {
						(*(BYTE*)((ULONGLONG)SystemInformation + 0x38)) = (BYTE)g_config_processor_count;
					}
				}
				else
				{
					if (NT_SUCCESS(status)) {
						(*(BYTE*)((ULONGLONG)SystemInformation + 0x38)) = (BYTE)g_config_processor_count;
					}
				}
				return status;
			}
		}
	}
	return NtQuerySystemInformation(SystemInformationClass,
		SystemInformation, SystemInformationLength, ReturnLength);
}

免责声明！

本站转载的文章为个人学习借鉴使用，本站对版权不负任何法律责任。如果侵犯了您的隐私权益，请联系本站邮箱yoyou2525@163.com删除。

猜您在找 系统64位和32位的区别, 32位操作系统与64位操作系统优缺点注册表在64位操作系统下关于树莓派64位操作系统 64位操作系统与32位操作系统数据类型的字节数 win10的64位操作系统安装Oracle、Sql数据库遇到的问题及解决 16位、32位、64位操作系统的区别 linux 64位操作系统安装32位运行库 Windows 64位操作系统和32位操作系统在注册表上的有一点不一样自动化测试 (五) 读写64位操作系统的注册表 [Tips] 树莓派4B 安装64位操作系统