前言

Inline hook是直接在以前的函数里面修正指令，用一个跳转或者其他指令来到达挂钩的目的。 这是相对普通的hook来说，由于普通的hook只是修正函数的调用地址，而不是在原来的函数体里面做修正。普通来说，普通的hook比拟稳定运用。 inline hook 愈加高级一点，普通也跟难以被发现。ring3的Inline hook在之前曾经完成过了，再看看ring0的Inline hook该如何完成。

探求及完成

这里原本调用链应该是OpenFile -> ZwOpenFile，这里在od里面应该能够看到，这里我就用windbg直接找到这个ring0函数。

首先在windbg里面定位到ZwOpenFile函数，能够看到它的偏移为0x74

经过SSDT表找到一切的内核函数地址，再经过0x74偏移定位到ZwOpenFile函数

kd> dd KeServiceDescriptorTable
kd> dd 80505450 + 74 * 4
kd> u 8057b182

感谢您的来访，获取更多精彩文章请收藏本站。