基于SSDT HOOK技术的Ring0级进程保护组件设计与实现

最新推荐文章于 2022-06-23 19:27:57 发布
最新推荐文章于 2022-06-23 19:27:57 发布
阅读量1.8k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SR0ad/article/details/8126490
版权

一、背景介绍

进程保护这一思想很早就出现,现在大多数的杀毒软件等安全防护软件均带有对自身进程保护的功能,这是为了防止病毒等恶意程序破坏进程的运行。相对的,很多病毒为了防止被发现或终止,提高自己的运行权限,隐藏自己、保护自己不被终止。 

然而并不是只有病毒及杀毒软件有对自己的进程进行保护的需求,很多软件,如网吧、机房等的监控系统、计费系统等,以及一些必须确保自身运行过程中不被强行中断,否则会导致数据丢失、操作系统崩溃等严重后果的软件系统,都需要对自身进行必要的防护,防止恶意行为或者操作者的误操作引起的损失。  

高权限的进程保护关系到操作系统底层,并不是所有语言都容易开发高权限进程保护功能,尤其是基于代码托管的语言。目前,实现进程保护的软件均将进程保护功能嵌入在软件内,没有专门的组件提供进程保护功能。因此我们想利用C++实现一套专门提供进程隐藏、进程保护的组件,以 DLL(Dynamic Link Lib)的形式呈现给软件开发者,使其通过调用即可实现对进程的高权限保护,而不必在乎其软件本身的开发语言。 

进程保护的实现方式多种多样,当如何做实现高权限(如运行在 Ring0 特权级下) 、灵活性(方便的对单个/多个进程进行守护) 、可移植性等特性成为关键因素。在选择实现技术时,我们选择了 SSDT  Hook 技术作为组件的实现方式。

SSDT 为 Windows 操作系统下的系统服务描述符表,这个表是一个把 Ring3 的Win32 API和Ring0 的内核 API联系起来的角色。我们利用 SSDT的角色特点,设计钩子拦截进程操作相关API调用,实现进程隐藏及进程保护。其中由于SSDT的读取只能在 Ring0 层完成,于是我们使用了内核驱动并借助 DeviceIoControl来完成相应操作。


二、SSDT Hook技术 

2.1 SSDT简介 

SSDT,全称 System Services Descriptor Table,即系统服务描述符表。这个表一个把Ring3 的Win32 API和Ring0的内核 API联系起来的角色。 

例如,我们打开任务管理器(taskmgr.exe),选中一个进程,如 notepad.exe并选择结束进程,这时记事本程序就会关闭。这个过程看似简单,但是其中的流程如下: 

1、taskmgr 进程首先获取要结束的进程句柄,通过 OpenProcess()这个 Ring3下API,OpenProcess 调用在Kernel32.dll 中; 

2、系统捕获API调用,转到Ring0 级下,从 SSDT中取得对应的 Ring0 API:NtOpenProcess 的入口地址,执行相应操作,此过程在 ntdll.dll 中; 

3、完成NtOpenProcess 操作后转回Ring3 级下返回 OpenProcess 函数,继而返回taskmgr进程,因此获取了要结束的进程的句柄; 

4、taskmgr 执行 TerminateProcess()这个 Ring3 下的 API,传入进程句柄,尝试结束进程; 

5、系统捕获API调用,再次转到 Ring0 级下,从SSDT中取得对应的 Ring0 API:NtTerminateProcess 的入口地址,执行结束进程操作;

6、完成 NtTerminateProcess 操作后转回 Ring3 级下返回 Te

最低0.47元/天 解锁文章
SR0ad
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
让程序进入ring0执行
尹成的技术博客
06-08 1万+
 在保护模式下,ring0有至高无上的权限,他一直是很多黑客程序员追求的目标,在NT平台上,MS对系统表格作了保护,不能在象win9x那样,去直接修改系统表格,但是还是有不少办法能够进入ring0的,例如,在国内,最早sinister利用编写驱动程序的方法进入ring0,这也是最通用的方法了,紧跟着WebCrazy又使用读写物理内存的方法来读写GDT所在的物理内存,在GDT上生成自己的调用门来随意
HOOK技术Ring0进程保护组件设计实现
03-24
HOOK技术Ring0进程保护组件设计实现
Ring0的探索
dengyao6547的博客
08-13 240
内核基础知识介绍:   内核概述:Interx86系列处理器使用“环”的概念实施访问控制,共4个权限别。一般情况下,操作系统的内核程序、驱动程序等都在Ring0别上运行。研究内核漏洞,需要首先掌握一些内核基础知识、例如内核驱动程序的开发、编译和运行,以及内核中重要的数据结构等。 驱动编写之Hello World 代码,保存为Helloworld.c 路径 D:...
ring0驱动层上实现 隐藏进程(无进程 无端口 无服务)的简单demo.zip
01-24
ring0驱动层上实现 隐藏进程(无进程 无端口 无服务)的简单demo.zip
SSDT Hook的妙用-对抗ring0 inline hook
03-21 1864
 转载】SSDT Hook的妙用-对抗ring0 inline hook作 者: 堕落天才时 间: 2007-03-10,15:18链 接: http://bbs.pediy.com/showthread.php?threadid=40832********************************************************标题:【转载】SSDT Hook的妙用-对抗r
ssdt_hook.rar_SSDT 进程保护_ssdt_ssdt hook_进程保护
09-22
SSDT(System Service ...综上所述,SSDT Hook是内核编程中的一个关键技术,它在进程保护和系统安全领域有着广泛的应用。通过理解并掌握SSDT Hook的工作原理和实现方法,我们可以更好地理解和应对系统别的安全问题。
Hook ssdt.rar_HookSSDT_hook_ssdt_进程保护_驱动保护
09-25
《驱动层Hook SSDT:进程与驱动保护技术详解》 在信息安全领域,Hook SSDT(System Service Dispatch Table)是一种常见的技术手段,它涉及到操作系统内核、驱动程序以及进程管理等多个核心概念。Hook SSDT允许...
ring0 ssdt rootkit hook隐藏服务进程 隐藏端口.zip
01-24
Ring0 SSDT Rootkit Hook是一种高的恶意软件技术,它涉及到操作系统最底层的层次,即Ring0别。在Windows系统中,Ring0是操作系统的内核模式,具有最高的权限,可以访问和修改系统的关键资源。Rootkit是黑客或...
ring0 ssdt hook sys驱动 得到进程全路径.zip
01-24
ring0 ssdt hook sys驱动 得到进程全路径.zip
SSDT 对抗 ring0 inline hook, 通过SSDT绕过inline Hook.zip
01-24
在本文中,我们将深入探讨如何利用SSDT来对抗ring0别的inline hook,并通过这种方式绕过这种类型的hook。 首先,我们要理解ring0 inline hook的概念。在x86/x64架构的CPU中,操作系统运行在ring0特权别,这是...
WINDOWS2000/XP无驱动得到RING0权限
CharlesPrince的专栏
01-24 2879
大家知道,Windows NT/2000为实现其可靠性,严格将系统划分为内核模式与用户模 式,在i386系统中分别对应CPU的Ring0与Ring3别。Ring0下,可以执行特权指令, 对任何I/O设备都有访问权等等。要实现从用户态进入核心态,即从Ring 3进入Ring 0必 须借助CPU的某种门机制,如中断门、调用门等。而Windows NT/2000提供用户态执行系 统服务(Ring 0
任意用户模式下执行 ring 0 代码
justaseeker的专栏
09-11 1866
 转自安焦众所周知在非 Admin 用户模式下,是不允许加载驱动执行 RING 0 代码的。本文提供了一种方法,通过修改系统 GDT,IDT 来添加自己的 CALLGATE 和INTGATE 这样便在系统中设置了一个后门。我们就可以利用这个后门在任意用户模式下执行 ring 0 代码了。为了保证我们添加的 CALLGATE 和 INTGATE 永久性。可以在第一次安装时利用 SERVICE A
HOOK NtOpenProcess 保护指定进程
laobobo999的专栏
05-25 805
 汇编写的一个简单的HOOK SSDT例子
看nt下无驱执行ring0代码
10-25 2319
X86平台上,cpu可以工作在三个特权别下,ring0—ring3,其中ring0具有最高权限,可以执行任何指令而无限制,ring3受到cpu保护机制限制,只能执行非特权指令。当在ring3下执行特权指令如lgdt、iret等时,会触发general protection异常(也就是出错啦,跳转到相应得错误处理程序)。在nt平台下,普通应用程序运行在ring3下,操作系统运行于ring0。如
ring0 暴力枚举进程
aijuzhou1959的博客
08-25 178
原理:遍历进程ID,然后openprocess,能打开的都枚举出来 ring0 : #include "EnumProcessByForce.h" extern char* PsGetProcessImageFileName(PEPROCESS EProcess); extern POBJECT_TYPE* PsProcessType; NTSTATUS ...
RootKit Ring0hook方式隐藏进程
rageliu的专栏
10-26 2133
以前使用文件过滤驱动,测试了下内核hook好象,就实现进程的隐藏,好象比filter driver简单得多,找时间添加hook功能 
C++ Inline hook实现进程防终止(不用写驱动)
nnKevi的博客
06-23 2453
最近想写一个杀毒软件,可是别人在任务管理器里轻轻松松就把我的进程结束了,我希望把我的杀毒软件做成360那样,一旦结束就提示“拒绝访问”,而且不管你用任务管理器,还是taskkill,进程都无法结束。于是,我在网上搜集了大量的资料,很多资料都说要写驱动,可我是一名小白,根本不会写驱动,正准备去学的时候,突然发现写驱动需要数字签名,还要花250美金,也就是1750人民币左右!我可不想花这么多钱。我一开始误以为写驱动是为了在Ring0运行,从而让进程杀不掉,但是杀毒软件这个进程其实还是在Ring3运行的,所以不是
进程隐藏之API HOOK
weixin_42071117的博客
10-20 1144
// 在Windows中,用户进程的所有操作都是基于WIN32 API来实现的,例如使用任务管理器来查看进程等操作。 // API HOOK技术是一种改变API执行结果的技术。 // PS:ZwQuerySystemInformation函数: // 功能:获取指定的系统信息。 // 原型:NTSTASTUS WINAPI ZwQuerySystemInformation ( // _In_ SYSTEM_INFORMATION_CLASS SystemInformationClass,
Vt hook ssdt
最新发布
12-31
Vt hook ssdt是一种技术,用于在操作系统内核中拦截和修改系统服务调用。通过Vt(Virtualization Technology)技术,可以在操作系统运行时对系统服务进行动态修改,从而实现对系统行为的控制和修改。 以下是一个Vt hook ssdt的示例代码: ```c #include <ntddk.h> ULONG_PTR OriginalServiceAddress = 0; NTSTATUS HookServiceCall(IN PUNICODE_STRING ServiceName, IN ULONG_PTR NewServiceAddress) { NTSTATUS status = STATUS_SUCCESS; ULONG_PTR serviceAddress = 0; // 获取系统服务地址 status = ZwQuerySystemInformation(SystemModuleInformation, NULL, 0, &serviceAddress); if (status != STATUS_INFO_LENGTH_MISMATCH) { return status; } // 遍历系统服务表 PSYSTEM_MODULE_INFORMATION pModuleInfo = (PSYSTEM_MODULE_INFORMATION)ExAllocatePoolWithTag(NonPagedPool, serviceAddress, 'hook'); if (pModuleInfo == NULL) { return STATUS_INSUFFICIENT_RESOURCES; } status = ZwQuerySystemInformation(SystemModuleInformation, pModuleInfo, serviceAddress, NULL); if (!NT_SUCCESS(status)) { ExFreePoolWithTag(pModuleInfo, 'hook'); return status; } for (ULONG i = 0; i < pModuleInfo->NumberOfModules; i++) { PRTL_PROCESS_MODULES pModule = &pModuleInfo->Modules[i]; // 找到ntoskrnl.exe模块 if (wcsstr(pModule->FullPathName, L"ntoskrnl.exe") != NULL) { // 计算SSDT地址 ULONG_PTR ssdtAddress = (ULONG_PTR)pModule->ImageBase + pModule->OffsetToFileName; // 保存原始的系统服务地址 OriginalServiceAddress = *(ULONG_PTR*)ssdtAddress; // 修改系统服务地址为新的地址 *(ULONG_PTR*)ssdtAddress = NewServiceAddress; break; } } ExFreePoolWithTag(pModuleInfo, 'hook'); return status; } NTSTATUS UnhookServiceCall() { if (OriginalServiceAddress != 0) { // 恢复原始的系统服务地址 *(ULONG_PTR*)ssdtAddress = OriginalServiceAddress; OriginalServiceAddress = 0; } return STATUS_SUCCESS; } ``` 以上代码是一个简单的Vt hook ssdt的示例,通过调用`HookServiceCall`函数可以将指定的系统服务地址替换为新的地址,通过调用`UnhookServiceCall`函数可以恢复原始的系统服务地址。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值