實(shí)現(xiàn)內(nèi)核級(jí)HOOK 對(duì)于攔截、分析、跟蹤系統(tǒng)內(nèi)核起著致關(guān)重要的作用。實(shí)現(xiàn)的方法不同意味著應(yīng)用側(cè)重點(diǎn)的不同。如想要攔截NATIVE API 那么可能常用的就是HOOKSERVICE TABLE 的方法。如果要分析一些系統(tǒng)調(diào)用，那么可能想到用HOOK INT 2E 中斷來(lái)實(shí)現(xiàn)。如果想要攔截或跟蹤其他內(nèi)核DRIVER 的調(diào)用， 那么就要用到HOOK PE 的方法來(lái)實(shí)現(xiàn)。這里我們更注重的是實(shí)現(xiàn)， 原理方面已有不少高手在網(wǎng)上發(fā)表過(guò)文章。大家可以結(jié)合起來(lái)讀。下面以我寫的幾個(gè)實(shí)例程序來(lái)講解一下各種方法的實(shí)現(xiàn)。錯(cuò)誤之處還望各位指正。

?

　　1、HOOK SERVICE TABLE 方法：

　　這種方法對(duì)于攔截NATIVE API 來(lái)說(shuō)用的比較多。原理就是通過(guò)替換系統(tǒng)導(dǎo)

　　出的一個(gè)SERVICE TABLE 中相應(yīng)的NATIVE API 的地址來(lái)達(dá)到攔截的目的。

　　因?yàn)榇朔椒ㄝ^為簡(jiǎn)單， 網(wǎng)上也有不少資料來(lái)介紹。所以這里就不給出實(shí)例程序了。SERVICE

　　TABLE 的結(jié)構(gòu)如下：

　　typedef struct ServiceDescriptorEntry {

　　unsigned int *ServiceTableBase;

　　unsigned int *ServiceCounterTableBase;

　　unsigned int NumberOfServices;

　　unsigned char *ParamTableBase;

　　} ServiceDescriptorTableEntry_t， *PServiceDescriptorTableEntry_t;
?