874b8a58 54                     push    esp                      ;中断分派代码的开头874b8a59 55                     push    ebp874b8a5a 53                     push    ebx...874b8b39 bf008a4b87             mov     edi, 874B8A00h           ;把中断对象的地址存入edi中874b8b3e e9fd2b99fc             jmp     nt!KiInterruptDispatch (83e4b740)nt!KiInterruptDispatch:83e4b740 8bec                   mov     ebp, esp83e4b742 8b472c                 mov     eax, dword ptr [edi+2Ch]...83e4b7a5 8b4718                 mov     eax, dword ptr [edi+18h]83e4b7a8 50                     push    eax                      ;压栈ServiceContext83e4b7a9 57                     push    edi                      ;压栈中断对象83e4b7aa ff570c                 call    dword ptr [edi+0Ch]      ;调用ServiceRoutine...

#include <ntddk.h>// 程序在32位的Win7 pro SP1是跑通的
// 由于这里我们必须明确一个域是多少位，所以我们预先定义几个明// 确知道多少位长度的变量，以避免不同环境下编译的麻烦.typedef unsigned char P2C_U8;typedef unsigned short P2C_U16;typedef unsigned long P2C_U32;
#define P2C_MAKELONG(low, high) \((P2C_U32)(((P2C_U16)((P2C_U32)(low) & 0xffff)) | ((P2C_U32)((P2C_U16)((P2C_U32)(high) & 0xffff))) << 16))
#define P2C_LOW16_OF_32(data) \((P2C_U16)(((P2C_U32)data) & 0xffff))
#define P2C_HIGH16_OF_32(data) \((P2C_U16)(((P2C_U32)data) >> 16))
// 从sidt指令获得一个如下的结构。从这里可以得到IDT的开始地址#pragma pack(push,1)typedef struct P2C_IDTR_ {    P2C_U16 limit;        // 范围    P2C_U32 base;        // 基地址（就是开始地址）} P2C_IDTR, * PP2C_IDTR;#pragma pack(pop)
// 下面这个函数用sidt指令读出一个P2C_IDTR结构，并返回IDT的地址。void* p2cGetIdt(){    P2C_IDTR idtr;    // 一句汇编读取到IDT的位置。    _asm sidt idtr    return (void*)idtr.base;}
typedef struct _KINTERRUPT{     SHORT Type;     SHORT Size;     LIST_ENTRY InterruptListEntry;     UCHAR * ServiceRoutine;     UCHAR * MessageServiceRoutine;     ULONG MessageIndex;     PVOID ServiceContext;     ULONG SpinLock;     ULONG TickCount;     ULONG * ActualLock;     PVOID DispatchAddress;     ULONG Vector;     UCHAR Irql;     UCHAR SynchronizeIrql;     UCHAR FloatingSave;     UCHAR Connected;     CHAR Number;     UCHAR ShareVector;     char Pad[3];     KINTERRUPT_MODE Mode;     KINTERRUPT_POLARITY Polarity;     ULONG ServiceCount;     ULONG DispatchCount;     UINT64 Rsvd1;     ULONG DispatchCode[135];} KINTERRUPT, *PKINTERRUPT;
#pragma pack(push,1)typedef struct P2C_IDT_ENTRY_ {    P2C_U16 offset_low;    P2C_U16 selector;    P2C_U8 reserved;    P2C_U8 type : 4;    P2C_U8 always0 : 1;    P2C_U8 dpl : 2;    P2C_U8 present : 1;    P2C_U16 offset_high;} P2C_IDTENTRY, * PP2C_IDTENTRY;#pragma pack(pop)
P2C_U32 g_old_addr = NULL;// 首先读端口获得按键扫描码打印出来。然后将这个扫// 描码写回端口，以便别的应用程序能正确接收到按键。// 如果不想让别的程序截获按键，可以写回一个任意的// 数据。#define OBUFFER_FULL 0x02#define IBUFFER_FULL 0x01
ULONG p2cWaitForKbRead(){    int i = 100;    P2C_U8 mychar;    do    {        _asm in al, 0x64        _asm mov mychar, al        KeStallExecutionProcessor(50);        if (!(mychar & OBUFFER_FULL)) break;    } while (i--);    if (i) return TRUE;    return FALSE;}
ULONG p2cWaitForKbWrite(){    int i = 100;    P2C_U8 mychar;    do    {        _asm in al, 0x64        _asm mov mychar, al        KeStallExecutionProcessor(50);        if (!(mychar & IBUFFER_FULL)) break;    } while (i--);    if (i) return TRUE;    return FALSE;}
void p2cUserFilter(){    static P2C_U8 sch_pre = 0;    P2C_U8    sch;    DbgPrint("p2cUserFilter\n");    p2cWaitForKbRead();    _asm in al, 0x60    _asm mov sch, al    DbgPrint("p2c: scan code = 0x%x\n", sch);    //  把数据写回端口，以便让别的程序可以正确读取。    if (sch_pre != sch)    {        sch_pre = sch;        _asm mov al, 0xd2        _asm out 0x64, al        p2cWaitForKbWrite();        _asm mov al, sch        _asm out 0x60, al    }}
__declspec(naked) p2cInterruptProc(){    __asm    {        pushad                   // 保存所有的通用寄存器        pushfd                   // 保存标志寄存器        push fs        mov bx, 0x30        mov fs, bx        push ds        push es        call p2cUserFilter       // 调一个我们自己的函数。这个函数将实现                                 // 一些我们自己的功能        pop es        pop ds        pop fs        popfd                    // 恢复标志寄存器        popad                    // 恢复通用寄存器        jmp    g_old_addr        // 跳到原来的中断服务程序    }}
VOID HOOK_IDT(ULONG nIndex, BOOLEAN b){    PP2C_IDTENTRY idt_item = (PP2C_IDTENTRY)p2cGetIdt();    //将指针指向PS/2中断项    idt_item += nIndex;
    //dispatchCode地址    P2C_U32 dispatchCode = P2C_MAKELONG(idt_item->offset_low, idt_item->offset_high);    PKINTERRUPT interrupt_object = (PKINTERRUPT)(dispatchCode - 0x58);
    if (b)    {        g_old_addr = interrupt_object->ServiceRoutine;        interrupt_object->ServiceRoutine = p2cInterruptProc;        DbgPrint("源地址为%x 替换后的地址%x\n", g_old_addr, p2cInterruptProc);    }    else    {        interrupt_object->ServiceRoutine = g_old_addr;        DbgPrint("替换为原来的地址");    }}#define  DELAY_ONE_MICROSECOND  (-10)#define  DELAY_ONE_MILLISECOND (DELAY_ONE_MICROSECOND*1000)#define  DELAY_ONE_SECOND (DELAY_ONE_MILLISECOND*1000)//驱动卸载函数VOID  IDT_Unload(IN PDRIVER_OBJECT DriverObject){    for (int i = 0; i < KeNumberProcessors ;i++ )    {               KeSetSystemAffinityThread(i + 1);        HOOK_IDT(0x81, FALSE);         KeRevertToUserAffinityThread();           }
    LARGE_INTEGER interval;    DbgPrint("p2c: unloading\n");    // 睡眠5秒。等待所有irp处理结束    interval.QuadPart = (5 * 1000 * DELAY_ONE_MILLISECOND);    KeDelayExecutionThread(KernelMode, FALSE, &interval);
}//驱动程序入口NTSTATUS DriverEntry(    IN PDRIVER_OBJECT DriverObject,    IN PUNICODE_STRING RegistryPath){    //处理多核    //书上说是给其他CPU投递DCP进行HOOK来处理多核的情况    //但是我试了试这种方法似乎也可以    for (int i = 0; i < KeNumberProcessors ;i++ )    {               KeSetSystemAffinityThread(i + 1);        HOOK_IDT(0x81, TRUE);               KeRevertToUserAffinityThread();           }
    DriverObject->DriverUnload = IDT_Unload;    return STATUS_SUCCESS;}

• Ret2libc 学习记录笔记

• ollvm算法还原案例分享

• 恶意程序分析 | 去除恶意程序混淆

• 最简单的ShellCode生成

• ms08-067及msf exploit调试与分析