本文是关于如何在Ring0级别实现读写System Service Dispatch Table(SSDT)的教程,适用于绕过某些驱动保护技术。内容包括通过内联汇编和指针读取SSDT,以及利用MmGetSystemRoutineAddress获取原始地址。同时讨论了修改SSDT的两种方法,包括强写CR0控制寄存器和使用MDL。
【梅哥的Ring0湿润插入教程】
Email:mlkui@163.com 转载请注明出处,谢绝喷子记者等,如引起各类不适请自觉滚J8蛋!
第二课:Ring0实现读写SSDT
随着驱动保护技术的逐步成熟,诸如网络游戏公司等越来越多的商业软件公司开始使用Ring0级保护技术保护自己的产品,以起到反用户级调试、反RootKit、反各类钩子、反各类远程注入等作用。目前,使用驱动保护技术的代表产品主要有上海盛大网络发展有限公司开发的GPK(Game Protect Kit)、深圳市腾讯计算机系统有限公司开发的TenSafe及韩国neople棒子公司开发的nProtect等。显然,进入到Ring0级进行某些操作是应对这些驱动保护技术的较好办法之一,而运行于核心态即Ring0级的Windows设备驱动程序则可以说是进入到Ring0的唯一方法。
微软在其WDK,即所谓Windows Driver Kit的官方文档《Getting Started with the Windows Driver Development Environment》一文中开篇指出:“Even for experienced developers, getting started with Windows® device drivers can be difficult. You have a new programming model to learn and a new set of tools for building and debugging”。
正如上文所述,Windows内核编程与Win32编程区别较大,其调试方法也与Win32下的调试方法有极大不同;同时,Ring0级的反汇编与Ring3反汇编环境也有不小的差异;而大量计算机专业从业人员在没有点拨的情况下也难以意识到内核编程化御姐为萝莉、化少年为怪蜀黍的威力(以下省略一万字)。正是出于以上及其他的各种原因,梅哥将在学习Windows内核编程的同时写下本系列的Ring0湿润插入大法,旨在分享Windows内核编程经验、并说明Windows内核编程在绕过/破解商业驱动保护软件中的重要地位和神奇作用!
好了,下面就抛开用户级的桎梏,跟梅哥一起开始深入Ring0的湿润之旅吧~
============================我是湿润的昏割线=============================
【读取SSDT】
简而言之,读取SSDT及其相关内容大致步骤可分为引入KeServiceDescriptorTable表、通过ServiceTableBase+偏移读出当前函数地址两步。
正如前文所述,KeServiceDescriptorTable是访问SSDT的关键,它实际上是一个指向如下结构的指针(目前网上大量资料使用extern ULONG定义是错误的,想深究的可以去看WRK):
typedef struct ServiceDescriptorTable_s
{
PVOID ServiceTableBase; // System Service Dispatch Table的基地址
最低0.47元/天 解锁文章
扫一扫
1345
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
