Shadow SSDT详解、WinDbg查看Shadow SSDT

最新推荐文章于 2024-09-15 11:40:06 发布
最新推荐文章于 2024-09-15 11:40:06 发布
阅读量404 收藏 3
点赞数
文章标签: 数据结构与算法
原文链接:http://www.cnblogs.com/kuangke/p/5761586.html
版权

一、获取ShadowSSDT

好吧,我们已经在R3获取SSDT的原始地址及SDT、SST、KiServiceTbale的关系里面提到:所有的SST都保存在系统服务描述表(SDT)中。系统中一共有两个SDT,一个是ServiceDescriptorTable,另一个是ServiceDescriptorTableShadow。ServiceDescriptor中只有指向KiServiceTable的SST,而ServiceDescriptorTableShadow则包含了所有的两个SST。SSDT是可以访问的,而SSDTShadow是不公开的。

所以结论是ServiceDescriptorTable是导出的,而ServiceDescriptorTableShadow是未导出的。那我们是不是就获取不了ServiceDescriptorTableShadow的地址呢?未导出未必就不能得到。其实在KeAddSystemServiceTable这个导出函数里面是有ServiceDescriptorTableShadow的地址的。我们来反汇编看一下。

image

我们看到在这个函数里面ServiceDescriptorTable的地址和ServiceDescriptorTableShadow都是可以找到的。

其实 KeServiceDescriptorTableShadow包含4个子结构,其中第一个就是ntoskrnl.exe ( native api ),和KeServiceDescriptorTable指向一样 我们真正需要获得的是第二个win32k.sys (gdi/user support),第三个和第四个一般不使用。

如何定位ServiceDescriptorTableShadow呢?

①硬编码:

//for xp
if(gKernelVersion==WINXP)
      KeServiceDescriptorTableShadow=KeServiceDescriptorTable-0×40;
    //for 2k
if(gKernelVersion==WIN2K)
      KeServiceDescriptorTableShadow=KeServiceDescriptorTable+0xE0;

  //for win7 32

if(gKernelVersion==WIN7X86)
      KeServiceDescriptorTableShadow=KeServiceDescriptorTable+0×40;

②根据KeAddSystemServiceTable来搜索

 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
ULONG GetAddressOfShadowTable ( )
{
    ULONG i ;
    UCHAR * p ;
    ULONG dwordatbyte ;

    UNICODE_STRING usKeAddSystemServiceTable ;

    RtlInitUnicodeString ( &usKeAddSystemServiceTable , L "KeAddSystemServiceTable" ) ;

    p = (UCHAR * )MmGetSystemRoutineAddress ( &usKeAddSystemServiceTable ) ;

    for (i = 0 ; i < 4096 ; i ++,p ++ )
    {
        __try
        {
            dwordatbyte = * (ULONG * )p ;
        }__except (EXCEPTION_EXECUTE_HANDLER )
        {
            return 0 ;
        }

        if (MmIsAddressValid ( (PVOID )dwordatbyte ) )
        {
            if ( memcmp ( (PVOID )dwordatbyte , KeServiceDescriptorTable , 16 ) == 0 )     //比较的是地址指向的内容
            {
                if ( (PVOID )dwordatbyte == KeServiceDescriptorTable )
                {
                    continue ;
                }
                return dwordatbyte ;
            }
        }
    }
    return 0 ;
}

 

 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
PULONG GetAddressOfShadowTable2 ( )
{
    PUCHAR Buff ;
    PUCHAR p ;
    UNICODE_STRING usKeAddSystemServiceTable ;
    PULONG ShadowTable = NULL ;

    RtlInitUnicodeString ( &usKeAddSystemServiceTable , L "KeAddSystemServiceTable" ) ;
    Buff = (PUCHAR )MmGetSystemRoutineAddress ( &usKeAddSystemServiceTable ) ;
    for (p = Buff ; p < Buff + PAGE_SIZE ; p ++ )
    {
        if (MmIsAddressValid ( (PVOID )p ) )
        {
            if ( ( * (PUSHORT )p == 0x888D ) && ( * (p + 6 ) == 0x83 ) )
            {
                ShadowTable = (PULONG ) (p + 2 ) ;
                break ;
            }
        }
    }
    return ShadowTable ? ShadowTable : NULL ;
}

 

获取到KeServiceDescriptorTableShadow的地址后,我们用windbg来看一下ShadowSSDT里面保存的函数数组。

image

我们看到KeServiceDescriptorTableShadow里面既有ntoskrnl.exe 的服务函数表也有win32k.sys 的服务函数表。

然后我们来看看win32k.sys 的服务函数表里面的数组。

image

一大堆????????是因为访问不到ShadowSSDT的里面的函数地址。

网上很多说法是只有GUI进程才能访问ShadowSSDT。我们切换到explorer.exe进程试试。

image这样确实可以得到ShadowSSDT的函数地址。

引用黑月教主文章里面的一段话。

MJ说win32k.sys和Session有关,也就是说,win32k.sys在Session Leader(Csrss.exe)及属于该Session的任何一个进程空间中都可以访问。
WindowsXP下系统服务和第一个登录用户共享同一个Session,即Session 0,Vista/Win7中采用了Session隔离,系统服务使用Session 0,第一个用户使用Session 1,其它依次类推。
在这两种系统中,都是遵守这个规则的。但是有一个特殊的不属于任何Session的进程,就是Session Manager(Smss.exe)。
切换到Smss.exe进程空间看一看:

kd> dt_eprocess 8501d3e8   ImageFileName
nt!_EPROCESS
   +0x16c ImageFileName : [15]  “smss.exe”
kd>  .process 8501d3e8  
Implicit process is now 8501d3e8
WARNING: .cache forcedecodeuser is not enabled
kd> dd 8fc25000
bf800000 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ????????????????
bf800010 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ????????????????
bf800020 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ????????????????
bf800030 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ????????????????
bf800040 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ????????????????
bf800050 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ????????????????
bf800060 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ????????????????
bf800070 ?? ?? ?? ?? ?? ?? ?? ??-?? ?? ?? ?? ?? ?? ?? ?? ????????????????

kd> !pte 8fc25000
                    VA 8fc25000
PDE at C06023F0            PTE at C047E128
contains 0000000000000000
not valid
在Session Manager的进程空间中,win32k.sys也是无法访问的,因为它不属于任何一个Session.
观察一下进程可以看到了:

image

也就是说,除了System进程和Smss进程,在其它任何一个属于某个Session进程内都可以访问win32k.sys,并非只有GUI进程才能访问。

 

二、如何HOOK?

似乎这个问题并不大,shadow ssdt和ssdt本质上都是1个地址表,最为简单的方法是把你的函数替换地址表的对应项,具体hook代码甚至可以完全照抄ssdt的,这里只说下几个遇到的小问题。
1。win32k.sys不是常在内存的,如果不是GUI线程,shadow ssdt地址无效
解决办法:
1。在driverdispatch中hook
driverdispatch是位于执行driveriocontrol的线程上下文的
我们使用1个GUI线程去driveriocontrol
2。attachtoprocess
这里我们使用explorer.exe进程。

 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
VOID KeAttachCsrss ( )
{
    NTSTATUS status ;
    PEPROCESS exlorerEproc ;
    PKAPC_STATE ApcState ;
    ULONG i ;

    DbgPrint ( "GetExplorerIdByEnumProcess ==> %d" , GetExplorerIdByEnumProcess ( ) ) ;

    DbgPrint ( "KeServiceDescriptorTableShadow=%x \r\n" ,KeServiceDescriptorTableShadow ) ;
    DbgPrint ( "Count=%x \r\n" ,KeServiceDescriptorTableShadow ->win32k. NumberOfService ) ;
    DbgPrint ( "ServiceTableBase=%x \r\n" ,KeServiceDescriptorTableShadow ->win32k. ServiceTableBase ) ;

    status = PsLookupProcessByProcessId ( (HANDLE )GetExplorerIdByEnumProcess ( ) , &exlorerEproc ) ;

    if ( !NT_SUCCESS ( status ) )
    {
        DbgPrint ( "PsLookupProcessByProcessId() error\n" ) ;
        return ;
    }
    ApcState = (PKAPC_STATE )ExAllocatePool (NonPagedPool , sizeof (KAPC_STATE ) ) ;
    KeStackAttachProcess (exlorerEproc , ApcState ) ;

    for (i = 0 ;i <KeServiceDescriptorTableShadow ->win32k. NumberOfService ;i ++ )
    {
        DbgPrint ( "索引:%d,地址:%x,原始地址:%8x \r\n" ,i ,KeServiceDescriptorTableShadow ->win32k. ServiceTableBase [i ] , GetShadowSSDTFunctionOriAddr (i ) ) ;
    }

    KeUnstackDetachProcess (ApcState ) ;
}

 

其中GetExplorerIdByEnumProcess这个方法的实现,只需要简单的遍历进程活动链表即可。

 

三、获取ShadowSSDT函数名

比较简单的应该算是设计张函数名表和用symbol的方法。

这办法简单的原因是我只需要一个win32k.sys,win32k.pdb,以及调用不到10个的API就能完成工作。
1.调用SymInitialize初始化Dbghelp这系列的函数。
2.调用ImageLoad读取文件win32.sys。
3.调用SymLoadModule来读取pdb文件。
4.调用SymEnumSymbols枚举符号,其中一个参数是回调函数SymEnumSymbolsProc,that’s the key。
SymEnumSymbolsProc中有一个系统会帮忙填充一个为PSYMBOL_INFO结构的参数。在这个结构中我主要用到的是Name和Address。
5.调用ImageUnload和SymCleanup做一些清理工作。
首先是获得W32pServiceTable的地址。熟悉ShadowSSDT都知道,W32pServiceTable是在内核初始化用来填充ShadowSSDT的表。
然后,知道了W32pServiceTable的地址,后面的事情也很容易。用SymEnumSymbolsProc把ShadowSSDT每个函数的地址和函数名保存下来。

但是我并不推荐使用这种方法来获取ShadowSSDT的函数地址。pdb文件也有几M吧,还需要去请求pdb文件,还得看网络环境。

所以还不如使用硬编码吧。。。

本文链接:http://www.blogfshare.com/shadowssdt-explain-in-detail.html

jpg 改 rar

转载于:https://www.cnblogs.com/kuangke/p/5761586.html

aijia1857
关注
x64 ssdt shadowssdt inlinkhook
04-07
标题中的“x64 ssdt shadowssdt inlinkhook”涉及到的是Windows系统内核级的钩子技术,尤其是针对x64架构下的System Service Dispatch Table (SSDT)和Shadow SSDT的内联钩子(In-Process Hook)实现。SSDT是Windows...
(转)shadow ssdt 服务表函数索引
weixin_30700099的博客
12-21 157
http://www.cnblogs.com/gaozili/archive/2011/11/02/2233450.html kd> dd nt!KeServiceDescriptorTableShadow L88055a6c0 804e36a8 00000000 0000011c 80513eb88055a6d0 bf997600 00000000 0000029b bf9...
遍历 SSDT ShadowSSDT 编号和函数名
小烟的博客
02-26 409
遍历 SSDT ShadowSSDT 编号和函数名
WINDOWS内核学习笔记1—Shadow SSDT表
rosykee的专栏
10-09 864
近期学习内核的
使用Windbg查看系统SSDT表与ShadowSSDT表
baggiowangyu的专栏
12-08 6861
x86操作系统 1. 查看当前系统是否已经载入win2k.sys的相关符号信息: kd> lm start end module name 80586000 8058f000 kdcom (deferred) 80e03000 81391000 nt (pdb symbols) d:\symb
shadow ssdt
lionzl的专栏
07-11 1111
假设.有一个目标进程A.. 在驱动中首先获取其EPROCESS.. 然后用这个PsGetNextProcessThread取出其线程.. 然后取出ETHREAD...也等同于KTHREAD..(是第一个字段). 然后关键就是这个ServiceTable..字段.. 关于这个指针..ShadowSSDT Hook系列的文章会说.如果其不是GUI进程则此字段不会指向Sha
shadow ssdt学习笔记
sea
01-04 2186
1。取得shadow ssdt真实地址系统只提供了KeServiceDescriptorTable导出KeServiceDescriptorTableShadow是个未导出结构定义Copy code    typedef struct _SYSTEM_SERVICE_TABLE    {          PNTPROC  ServiceTable;  // array of entry
Windbg查看Shadow SSDT
debugge的专栏
06-02 1692
关于SSDT即系统描述符表,《SSDT Hook的妙用-对抗ring0 inline hook》这篇文章描述的已经很清楚了。引用文章中的一段话: “内核中有两个系统服务描述符表,一个是KeServiceDescriptorTable(由ntoskrnl.exe导出),一个是KeServieDescriptorTableShadow(没有导出)。两者的区别是,KeServiceDescript
R0层获取ShadowSSDT函数原始地址实例
11-20
[ LemonInfo : 获取ShadowSSDT表 (460)NtUserMessageCall 函数的“当前地址”为:0xB83ECFC4,“起源地址”为:0xBF80EE6B ] [ LemonInfo : 获取ShadowSSDT表 (475)NtUserPostMessage 函数的“当前地址”为:0xB83...
易语言Shadow ssdt HOOK恢复
05-19
在IT安全领域,"Shadow SSDT HOOK"是一个重要的概念,尤其在逆向工程和系统保护技术中扮演着关键角色。 SSDT(System Service Dispatch Table)是Windows操作系统中的一个核心组件,它存储了系统服务的入口点,这些...
Shadow SSDT服务函数原始地址
12-01
7. **工具辅助**:有许多内核调试工具,如WinDbg,可以帮助我们更方便地查看和操作SSDT和Shadow SSDT。通过这些工具,我们可以更直观地查看服务函数的指针,并进行分析。 总的来说,获取Shadow SSDT服务函数的原始...
Hook ShadowSSDT Ring3
11-28
在IT安全领域,"Hook ShadowSSDT Ring3"是一个高级技术,主要应用于系统监控、调试以及恶意软件分析。本文将详细解析这个主题,帮助你理解其核心概念、工作原理及其实现方法。 **Shadow System Service Dispatch ...
Windows驱动开发学习记录-Windbg打印Shadow SSDT 脚本
时空之中的灵魂
11-20 588
使用Windbg获取Shadow SSDT的GDI相关系统服务函数的相关信息
win 64 Shadow ssdt hook
weixin_30709929的博客
10-02 428
以下参考黑客防线2012合订本 339页 //下午调代码 搞了这个一天,总是蓝屏,不断检查代码,后来发现了很怪的现象. 自己写的代码不能读取shadow ssdt的偏移内容,但是通过和调试作者的代码输出发现地址确实是一模一样的,但是自己的读不出来,而作者的能 读出来,当直接使用windbg调试时也读不出来. 后来将作者的代码完全复制过来,发现能读取了, ,但是又找不到原因, 只能等以后再...
ssdt与shadowssdt区别
xuemao1230的专栏
02-28 746
(ring3)            (NtOpenProcess)      ssdt层                  实现OpenProcess-&gt;ntdll!ZwOpenProcess-&gt;ntos!ZwOpenProcess-&gt;ntos!NtOpenProcess(内核中有2套函数 ,zw,nt,nt才是真正的执行函数,zw只是一个过渡函数,可用ida察看ntoskrn...
两种方法获取shadow ssdt
kedebug
12-22 1918
<br />ULONG GetShadowSsdtCurrentAddresses( PSSDT_ADDRESS AddressInfo, PULONG Length ) { PSYSTEM_SERVICE_TABLE KeServiceDescriptorTableShadow = NULL; ULONG NumberOfService = 0; ULONG ServiceId = 0; PKAPC_STA
用symbol来获得ShadowSSDT的原始地址和函数名
weixin_34005042的博客
08-14 334
在网上看了下,获得ShadowSSDT的函数名和原始地址的方法和文章不是很多。比较简单的应该算是设计张函数名表和用symbol的方法。 个人觉得用symbol来获得ShadowSSDT还是比较方便的,而且自己也不用去创建一张表,何乐而不为。^_^ 这办法简单的原因是我只需要一个win32.sys,win32.pdb,以及调用不到10个的API就能完成工作。 ...
C++ STL中sort函数
最新发布
weixin_43349440的博客
09-15 377
刷题中经常遇到,用于各种元素排序,可以自定义排序方式,vector、deque适用。详细讲解:https://zhuanlan.zhihu.com/p/36274119。,为避免QuickSort快排的递归调用带来过大的额外负荷,就改用。一旦分段后的数据量小于某个门槛。STL的sort算法,
shadowSSDT
06-07
ShadowSSDT是Windows系统中的一...使用ShadowSSDT,开发者和诊断人员可以查看到每个API函数的详细调用链路,包括参数值、返回值等信息,这对于调试驱动程序错误、分析系统性能瓶颈或者研究Windows内核机制非常有帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值