利用挂钩KeUserModeCallBack实现防止Dll注入

http://bbs.pediy.com/thread-145687.htm

http://www.pediy.com/kssd/pediy11/104918.html

KeUserModeCallback的基础知识
我们都知道一个普通的系统调用，它的过程大概是这样的(以OpenProcess为例)：
kernel32!OpenProcess -> ntdll!ZwOpenProcess -> ntdll!KiFastSystemCall -> sysenter -> nt!KiFastCallEntry -> nt!NtOpenProcess -> nt!KiFastCallEntry(返回后)-> nt!KiServiceExit -> sysexit -> ntdll!KiFastSystemCallRet -> kernel32!OpenProcess(返回后)
这是一个ring3->ring0->ring3的过程。
而KeUserModeCallback的过程是这样的
nt!KeUserModeCallback -> nt!KiCallUserMode -> nt!KiServiceExit -> ntdll!KiUserCallbackDispatcher -> 回调函数 -> int2B -> nt!KiCallbackReturn -> nt!KeUserModeCallback(调用后)
这是一个ring0->ring3->ring0的过程，在堆栈准备完毕后，借用KiServiceExit的力量回到了ring3，它的着陆点是KiUserCallbackDispatcher，然后KiUserCallbackDispatcher从PEB中取出KernelCallbackTable的基址，再以ApiIndex作为索引在这个表中查找对应的回调函数并调用，调用完之后再int2B触发nt!KiCallbackReturn再次进入内核，修正堆栈后跳回KeUserModeCallback，完成调用。
大致的流程是这样的，只要搞清楚传入的参数是如何使用并如何影响到最后的执行结果，就知道怎么去调用了。
需要注意的地方是：
(1) ring3的指令只能访问ring3的内存地址，所以如果需要访问数据，必须放在ring3可以访问到的内存中。所以在准备参数的过程中，通常是使用ZwAllocateVirtualMemory来申请ring3内存，其它方法如使用已有的内存，或放在栈中(_ClientLoadLibrary的方法)等都是可以的，只是访问数据时小有差别罢了。 
(2)KeUserModeCallback的调用需要用户态栈的参与，因此内核线程无法调用KeUserModeCallback，必须在某个ring3线程的上下文中才可以。