hookport.sys,是360安全衛士對系統進行掛鈎操作的核心模組。
基本介紹
- 中文名:hookport.sys
- 產品名稱: 360安全中心
- 公司名稱: 360安全中心
- 檔案描述: 360安全衛士
簡介,整體框架,
簡介
內部名稱(Internal name) HookPort
原始檔案名稱(Original filename) HookPort.sys
法律著作權(Legal copyright) 著作權所有 (C) 2006-2010 360安全中心
產品版本(Product version) 1, 0, 0, 1005
檔案版本(File version) 1, 0, 0, 1005
位置:\Windows\System32\Drivers\Hookport.sys
Hookport.sys是360安全衛士對系統進行掛鈎操作的核心模組。其中主要方式對SSDT和shadowSSDT安裝鉤子函式。但其使用了一種較為特殊的實現方法,使眾多常規ARK軟體很難檢測出360安全衛士所安裝的鉤子。由於此方法對系統表操作很少,比較穩定。
Hookport.sys只提供了最為基本的過濾操作和樁函式,本身並沒有實現策略部分。策略部分由360SelfProtection.sys實現,並通過設備擴展進行溝通。
整體框架
HookPort總共Hook了57h個SSDT或SHADOWSSDT函式,其實現不是通過修改KeServiceDescriptorTable或KeServiceDescriptorShadowTable中函式地址完成,而是通過HookKiFastCallEntry函式實現的。HookPort準備了兩個表,SERVICE_FILTER_INFO_TABLE和FILTERFUN_RULE_TABLE。前者保存了SSDT和ShadowSSDT中的原函式地址和Hook函式地址,是按照函式在SSDT中的位置為索引的,後者保存了過濾函式的地址和規則,是按照57h個函式作為索引的。
當程式因為系統調用而進入KiFastCallEntry函式時,會經過兩次跳轉進入到一個函式中,這個函式會返回一個函式地址,這個地址可能是SSDT中原函式的地址,也可能是SERVICE_FILTER_INFO_TABLE表中Hook函式的地址。到底返回哪個要根據FILTERFUN_RULE_TABLE中的規則來判斷。這樣就達到了SSDTHOOK的目的。
