SSDT HOOK 内存写保护

最新推荐文章于 2021-04-07 18:49:14 发布
最新推荐文章于 2021-04-07 18:49:14 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: windows驱动

有些人说不去掉也不会蓝屏,照样能HOOK成功
确实,我当时也是这样过。。。
不过拿给别人机器一测试就蓝了

网上找到了MJ给出的答案:
当使用大页面映射内核文件时,代码段和数据段在一块儿,所以页必须是可写的,这种情况下直接改是没有问题的

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management下面增加两个DWORD值'LargePageMinimum" = 0xFFFFFFFF, "EnforceWriteProtection" = 1,重启,重新跑自己的驱动。。。 
win2k上RAM超过127M,winxp和win server 2003上RAM超过255M,内存管理器会使用大页面(x86上4M,IA64和X86-64上16M)来映射Ntoskrnl.exe,这样由于代码和数据可能驻留在同一个页面,所以代码写保护是被禁止的。以上两个注册表修改项,第一个指明了当内存数量达到多少时使用大页面来映射ntoskrnl,设置成0xFFFFFFFF就是相当于无限大,因此不会使用大页面。第二个开启代码写保护。

一般去掉写保护有三种方法:
1.更改注册表(需要重启)
HKLM/SYSTEM/CurrentControlset/Control/Session Manger/
Memory Management/EnforceWriteProtection=0

HKLM/SYSTEM/CurrentControlset/Control/Session Manger/
Memory Management/DisablePagingExecutive=1

2.修改控制寄存器cr0
就是把CR0中WP(写保护)位设置为0,就可以禁止内存保护了。

[cpp]  view plain  copy
  1. //取消内存保护  
  2. _asm  
  3. {  
  4.     Push eax  
  5.     Mov eax,CR0  
  6.     And eax,0FFFEFFFFh  
  7.     Mov CR0,eax  
  8.     Pop eax  
  9. }  
  10. //重新开启内存保护  下面的写法是否存在bug呢???
  11. _asm  
  12. {  
  13.     Push eax  
  14.     Mov eax,CR0  
  15.     Or eax NOT 0FFFEFFFFh  
  16.     Mov CR0,eax  
  17.     Pop eax  
  18. }  

正确的方法应该是:首先要保存cr0数据,然后关闭内存写保护;最后使用保存的cr0数据恢复cr0寄存器数据



3. 利用MDL(Memory Descriptor List)来绕过写保护
我们可以在MDL中描述一段内存,包括内存段的起始位置、所拥有的进程、字节数、内存段的标志等等。
[cpp]  view plain  copy
  1. //MDL reference defined in ntddk.h  
  2. Typedef struct  _MDL{  
  3.     Struct  _MDL    *Next;  
  4.     CSHORT  Size;  
  5.     CSHORT  MdlFlags;  
  6.     Struct  _EPROCESS   *Process;  
  7.     PVOID   MappedSystemVa;  
  8.     PVOID   StartVa;  
  9.     ULONG   ByteCount;  
  10.     ULONG   ByteOffset;  
  11. }MDL,*PMDL;  
  12. //MDL Flags  
  13. #define MDL_MAPPED_TO_SYSTEM_VA     0x0001  
  14. #define MDL_PAGES_LOCKED                0x0002  
  15. #define MDL_SOURCE_IS_NONPAGED_POOL 0x0004  
  16. #define MDL_ALLOCATED_FIXED_SIZE        0x0008  
  17. #define MDL_PARTIAL                     0x0010  
  18. #define MDL_PARTIAL_HAS_BEEN_MAPPED 0x0020  
  19. #define MDL_IO_PAGE_READ                0x0040  
  20. #define MDL_WRITE_OPERATION             0x0080  
  21. #define MDL_PARENT_MAPPED_SYSTEM_VA 0x0100  
  22. #define MDL_LOCK_HELD                   0x0200  
  23. #define MDL_PHYSICAL_VIEW               0x0400  
  24. #define MDL_IO_SPACE                        0x0800  
  25. #define MDL_NETWORK_HEADER          0x1000  
  26. #define MDL_MAPPING_CAN_FAIL            0x2000  
  27. #define MDL_ALLOCATED_MUST_SUCCEED  0x4000  

为了改变内存的标志,下面的代码首先声明一个结构体,用来保存从windows内核中导出的KeServiceDescriptorTable。当调用MmCreateMdl时,需要知道KeServiceDescriptorTable的基地址和它所拥有的函数入口的数量。这个函数定义了你想要MDL描述的内存段的起始地址和大小,然后应用程序在内存的非分页内存中创建MDL。在应用程序中可以通过改变MDL的标志使得可以写内存段,也就是把MDLFlag设置为MDL_MAPPED_TO_SYSTEM_VA,然后调用MmMapLockedPages来锁定内存中的MDL页。在下面的代码中,MappedSystemCallTable中的地址与SSDT的内容相一致,但是现在你可以修改它了。

[cpp]  view plain  copy
  1. //声明  
  2. #pragma pack(1)  
  3. Typedef struct  ServiceDescriptorEntry{  
  4.     Unsigned int*   ServiceTableBase;  
  5.     Unsigned int*   ServiceCounterTableBase;  
  6.     Unsigned int    NumberOfService;  
  7.     Unsigned char*  ParamTableBase;  
  8. }SSDT_Entry;  
  9. #pragma pack()  
  10. _declspec(dllimport) SSDT_Entry KeServiceDescriptorTable;  
  11. PMDL    g_pmdlSystemCall;  
  12. PVOID   *MappedSystemCallTable;  
  13. //保存原始的系统调用地址,映射到我们的域中,来改变MDL的保护  
  14. g_pmdlSystemCall = MmCreateMdl(NULL,  
  15.                 KeServiceDescriptorTable,  
  16.                 ServiceTableBase,  
  17.                 KeServcieDescriptorTable.NumberOfService*4);  
  18. If(!g_pmdlSystemCall)  
  19.     Return STATUS_UNSUCCESSFUL;  
  20. MmBuildMdlForNonPagedPool(g_pmdlSystemCall);  
  21. //改变MDL的标志  
  22. g_pmdlSystemCall->MdlFlags = g_pmdlSystemCall->MdlFlags |   
  23.                         MDL_MAPPED_TO_SYSTEM_VA  
  24. MappedSystemCallTable = MmMapLockedPages(g_pmdlSystemCall,KernelMode);  

下面列出几个对SSDT Hook比较有用的几个宏。
[cpp]  view plain  copy
  1. #define HOOK_INDEX(function2hook) *(PULONG)((PUCHAR)function2hook + 1)  
  2. #define HOOK(functionName, newPointer2Function, oldPointer2Function )  /  
  3. oldPointer2Function = (PVOID) InterlockedExchange( (PLONG) &NewSystemCallTable[HOOK_INDEX(functionName)], (LONG) newPointer2Function)  
  4. #define UNHOOK(functionName, oldPointer2Function)  /  
  5. InterlockedExchange( (PLONG) &NewSystemCallTable[HOOK_INDEX(functionName)], (LONG) oldPointer2Function)  
  6. #define UNHOOK(functionName, oldPointer2Function)  /  
  7. InterlockedExchange( (PLONG) &NewSystemCallTable[HOOK_INDEX(functionName)], (LONG) oldPointer2Function)  
知易行难Rodney
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅谈MDL(叁)--实例测试(Windows内核学习笔记)
KOOKNUT的博客
04-10 549
在我之前SSDTHook时候,用到过MDL的相关知识,是对内核层的虚拟地址进行MDL映射,然后修改,实现SSDTHook。 原文链接: https://blog.csdn.net/qq_42253797/article/details/104352520 接下来看一下MDL的实现过程: 首先调用MmCreateMdl函数,对KeServiceDescriptorTable->Service...
SSDTHook_ssdt_SSDTHook_
10-01
ssdt hooking for windows kernel
MDL解析
qq_41490873的博客
04-07 311
// 1. 包含提供内核结构相关的头文件 #include <ntddk.h> PMDL mdl; // 驱动卸载的回调函数,会在卸载的时候被调用 VOID DriverUnload(PDRIVER_OBJECT DriverObject) { //释放MDL IoFreeMdl(mdl); UNREFERENCED_PARAMETER(DriverObject); } // 2. 提供驱动程序的入口函数 NTSTATUS DriverEntry( PDRIVER_OBJECT Dr
SSDT-hook,IDT-hook原理
fun0526的专栏
08-04 2491
<br /><br />【详细过程】<br />这次主要说说核心层的hook。包括SSDT-hook,IDT-hook,sysenter-hook。欢迎讨论,指正!内核层需要驱动,有这方面的基础最好,如果不会,了解下其中的思路也可以的。<br /><br />II. SSDT-hook,IDT-hook,sysenter-hook<br />一.SSDT-hook<br />(一)一般思路:<br />1.先来了解一下,什么是SSDT<br />SSDT既System Service Dispath Tab
windows内核编程基础-0
Starr
12-20 672
文章目录0. 前言0.0 关于API0.1 命名前缀0.2 返回值0.3 函数所占内存属性0.4 数据类型字符串内存操作内核链表1. 一个简单的驱动1.0 加载/卸载驱动1.1 调试驱动1.2 蓝屏处理 0. 前言 驱动程序:针对某硬件,连接硬件与OS; 内核程序:针对某功能,作为内核的插件。 sys文件对ntkrnl.exe,就像dll对OD.exe(等支持插件的程序)。 驱动由3类: ...
初步认识MDL
热门推荐
chenyujing1234的专栏
12-17 1万+
一、 内存描述符列表 (MDL) 是一个系统定义的结构,通过一系列物理地址描述缓冲区。执行直接 I/O 的驱动程序从 I/O 管理器接收一个 MDL 的指针,并通过 MDL数据。一些驱动程序在执行直接 I/O 来满足设备 I/O 控制请求时也使用 MDL。 驱动程序编人员不应该假设 MDL 描述的内存页的顺序或内容。驱动程序不得依赖于 MDL 指向的任何位置的数据值,并且不应该直接取消
ssdthook技术实现防止进程关闭
04-21
使用ssdthook技术实现进程防止关闭功能,包含完整代码,代码注释齐全。
win7 64位 ssdthook
11-21
通过hook内核中ssdt表中的ntopenprocess函数,标号为35,可通过遍历ssdt表查找得知,可实现进程保护。 适用系统:win7 64,需关闭驱动签名保护 编程工具:vs2012+wdk8.0
SSDT Hook_内核_x86_ssdthook_驱动_
10-03
详细演示了32位系统下的SSDT Hook的安装与恢复
SSDTFunction_64_Test_Windows编程_ssdthook_
10-02
hook function for windows 7
Hook内存
01-27
Hook内存不解释.。 更好的操作。
HOOK内存
01-01
易语言 HOOK内存 监控目标进程内存
备绝技——hook大法( 中 )
www.pingfi.com
04-11 1144
必备绝技——hook大法( 中 ) 标 题: 【原创】必备绝技—
驱动使用 MDL 方式读内存
LYSM
06-24 6386
背景 通常,我们在内核中修改内存的时候,都是通过修改 CR0 寄存器,关闭内存保护属性,然后再内存的方式来修改内存。我个人不喜欢这种方式,因为总感觉我们使用没有线程接口函数的方法,总感觉不太稳定,而且,在 64 位程序下,CR0 方式不再适用了。 所以,我强烈推荐在内核下使用 MDL 方式来修改内存,在 32 位内核和 64 位内核下同样有效。 实现过程 内存描述符列表 (MDL) 是一个系统定义的结构,通过一系列物理地址描述缓冲区。MDL的全称是 Memory Descriptor List,即内存
【驱动笔记14】初步认识MDL
kingswb的博客
05-03 2095
前段时间在群里有人问起什么是MDL,当时三言两语也不知道解释清楚了没,今天闲着无事,索性记录下来吧,就当是做个笔记,以后忘了也好查阅。 我们知道,系统中一些重要的表项如SSDT是只读的,如果我们强行对其进行修改就会造成BSOD的严重后果。当然这种保护方式很容易被绕过,我们曾经介绍了通过修改cr0来禁用WP(WriteProtect,保护)位的方法,现在再介绍一种不需要使用汇编的方法,就是M
MDL 中实际包含的内容是什么?
weixin_34347651的博客
10-12 140
MDL 中实际包含的内容是什么? 更新日期: 2008年01月11日 内存描述符列表 (MDL) 是一个系统定义的结构,通过一系列物理地址描述缓冲区。执行直接 I/O 的驱动程序从 I/O 管理器接收一个 MDL 的指针,并通过 MDL数据。一些...
如何windows系统已保护内存区域
08-13 1023
indows系统在某些版本下对某些内存区域启用了保护的功能,因为这些区域一般合法程序是不可能修改其内容的,那么我们如何来这些内存呢?PS:1) 这些系统包括:windows xp与windows 2003  2) CPU提供保护的功能是从486开始的  3) 一般合法程序不包括杀毒软件,因为他们在Ho
通过MDL实现CR0的WP功能
weixin_34357928的博客
10-12 256
前段时间在群里有人问起什么是MDL,当时三言两语也不知道解释清楚了没,今天闲着无事,索性记录下来吧,就当是做个笔记,以后忘了也好查阅。 我们知道,系统中一些重要的表项如SSDT是只读的,如果我们强行对其进行修改就会造成BSOD的严重后果。当然这种保护方式很容易被绕过,我们曾经介绍了通过修改cr0来禁用WP(Write Protect,保护)位的方法,现在再介绍一种不需要使...
WDM 驱动错误处理
倪勋的专栏
11-27 5829
[返回] [上一页] [下一页] 错误处理人总会犯错误,错误恢复是软件工程的一部分。程序中总会发生异常情况,其中一些源自程序中的Bug,或者在我们的代码中或者在调用我们代码的用户模式应用程序中。另一些涉及到系统装载或硬件的瞬间状态。无论什么原因,代码必须能对不寻常的情况作出恰当的反应。在这一节中,我将描述三种错误处理形式:状态代码、结构化异常处理,和bug check。一般,内核模式支
Vt hook ssdt
最新发布
12-31
Vt hook ssdt是一种技术,用于在操作系统内核中拦截和修改系统服务调用。通过Vt(Virtualization Technology)技术,可以在操作系统运行时对系统服务进行动态修改,从而实现对系统行为的控制和修改。 以下是一个Vt hook ssdt的示例代码: ```c #include <ntddk.h> ULONG_PTR OriginalServiceAddress = 0; NTSTATUS HookServiceCall(IN PUNICODE_STRING ServiceName, IN ULONG_PTR NewServiceAddress) { NTSTATUS status = STATUS_SUCCESS; ULONG_PTR serviceAddress = 0; // 获取系统服务地址 status = ZwQuerySystemInformation(SystemModuleInformation, NULL, 0, &serviceAddress); if (status != STATUS_INFO_LENGTH_MISMATCH) { return status; } // 遍历系统服务表 PSYSTEM_MODULE_INFORMATION pModuleInfo = (PSYSTEM_MODULE_INFORMATION)ExAllocatePoolWithTag(NonPagedPool, serviceAddress, 'hook'); if (pModuleInfo == NULL) { return STATUS_INSUFFICIENT_RESOURCES; } status = ZwQuerySystemInformation(SystemModuleInformation, pModuleInfo, serviceAddress, NULL); if (!NT_SUCCESS(status)) { ExFreePoolWithTag(pModuleInfo, 'hook'); return status; } for (ULONG i = 0; i < pModuleInfo->NumberOfModules; i++) { PRTL_PROCESS_MODULES pModule = &pModuleInfo->Modules[i]; // 找到ntoskrnl.exe模块 if (wcsstr(pModule->FullPathName, L"ntoskrnl.exe") != NULL) { // 计算SSDT地址 ULONG_PTR ssdtAddress = (ULONG_PTR)pModule->ImageBase + pModule->OffsetToFileName; // 保存原始的系统服务地址 OriginalServiceAddress = *(ULONG_PTR*)ssdtAddress; // 修改系统服务地址为新的地址 *(ULONG_PTR*)ssdtAddress = NewServiceAddress; break; } } ExFreePoolWithTag(pModuleInfo, 'hook'); return status; } NTSTATUS UnhookServiceCall() { if (OriginalServiceAddress != 0) { // 恢复原始的系统服务地址 *(ULONG_PTR*)ssdtAddress = OriginalServiceAddress; OriginalServiceAddress = 0; } return STATUS_SUCCESS; } ``` 以上代码是一个简单的Vt hook ssdt的示例,通过调用`HookServiceCall`函数可以将指定的系统服务地址替换为新的地址,通过调用`UnhookServiceCall`函数可以恢复原始的系统服务地址。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值