Windows系统对部分内存写了保护,防止内存也被修改,比如xp 和 2003,它们使得SSDT变成只读的表,以此来防止任何应用程序来修改这个表。
有两种方法可以绕过写保护,一种是修改控制寄存器的CR0中的写保护位来绕过,另一种是利用MDL(Memory Descriptor List)来绕过写保护。
第一种方法比较简单,也就是把CR0重的WP(写保护)位设置为0,就可以禁止内存保护了。
第二种方式是利用MDL,这种方法在Microsoft的文档中讲的很详细。
你可以在MDL中描述一段内存,包括内存段的起始位置、所拥有的进程、字节数、内存段的标志等等。
为了改变内存的标志,下面的代码首先声明一个结构体,用来保存从windows内核中到处的KeServiceDescriptorTable。当调用MmCreateMdlshi时,需要知道KeServiceDescriptorTable的基地址和它所拥有的函数入口的数量。这个函数定义了你想要MDL描述的内存段的起始地址和大小,然后应用程序在内存的非页池中创建MDL。
在应用程序中可以通过改变MDL的标志使得可以写内存段,也就是把MDL Flag设置为MDL_MAPPED_TO_SYSTEM_VA,然后调用MmMapLockedPages来锁定内存中的MDL页。
在下面的代码中,MappedSystemCallTable中的地址与SSDT的内容相一致,但是现在你可以修改它了。
下面列出几个对SSDT Hook比较有用的几个宏。
看完这些,就可以尝试去写一个SSDT Hook程序了,具体的网上很多,这就不再赘述了