SSDT Hook之修改内存保护

最新推荐文章于 2023-06-22 21:49:59 发布

CaperingRabbit

最新推荐文章于 2023-06-22 21:49:59 发布

阅读量3.3k

点赞数

分类专栏：读书笔记文章标签： hook function system microsoft reference windows

本文链接：https://blog.csdn.net/caperingrabbit/article/details/6100794

版权

读书笔记专栏收录该内容

3 篇文章 0 订阅

订阅专栏

Windows系统对部分内存写了保护，防止内存也被修改，比如xp 和 2003，它们使得SSDT变成只读的表，以此来防止任何应用程序来修改这个表。

有两种方法可以绕过写保护，一种是修改控制寄存器的CR0中的写保护位来绕过，另一种是利用MDL(Memory Descriptor List)来绕过写保护。

第一种方法比较简单，也就是把CR0重的WP(写保护)位设置为0，就可以禁止内存保护了。//取消内存保护 _asm { Push eax Mov eax,CR0 And eax,0FFFEFFFFh Mov CR0,eax Pop eax } //重新开启内存保护 _asm { Push eax Mov eax,CR0 Or eax NOT 0FFFEFFFFh Mov CR0,eax Pop eax }

第二种方式是利用MDL，这种方法在Microsoft的文档中讲的很详细。

你可以在MDL中描述一段内存，包括内存段的起始位置、所拥有的进程、字节数、内存段的标志等等。//MDL reference defined in ntddk.h Typedef struct _MDL{ Struct _MDL *Next; CSHORT Size; CSHORT MdlFlags; Struct _EPROCESS *Process; PVOID MappedSystemVa; PVOID StartVa; ULONG ByteCount; ULONG ByteOffset; }MDL,*PMDL; //MDL Flags #define MDL_MAPPED_TO_SYSTEM_VA 0x0001 #define MDL_PAGES_LOCKED 0x0002 #define MDL_SOURCE_IS_NONPAGED_POOL 0x0004 #define MDL_ALLOCATED_FIXED_SIZE 0x0008 #define MDL_PARTIAL 0x0010 #define MDL_PARTIAL_HAS_BEEN_MAPPED 0x0020 #define MDL_IO_PAGE_READ 0x0040 #define MDL_WRITE_OPERATION 0x0080 #define MDL_PARENT_MAPPED_SYSTEM_VA 0x0100 #define MDL_LOCK_HELD 0x0200 #define MDL_PHYSICAL_VIEW 0x0400 #define MDL_IO_SPACE 0x0800 #define MDL_NETWORK_HEADER 0x1000 #define MDL_MAPPING_CAN_FAIL 0x2000 #define MDL_ALLOCATED_MUST_SUCCEED 0x4000

为了改变内存的标志，下面的代码首先声明一个结构体，用来保存从windows内核中到处的KeServiceDescriptorTable。当调用MmCreateMdlshi时，需要知道KeServiceDescriptorTable的基地址和它所拥有的函数入口的数量。这个函数定义了你想要MDL描述的内存段的起始地址和大小，然后应用程序在内存的非页池中创建MDL。

在应用程序中可以通过改变MDL的标志使得可以写内存段，也就是把MDL Flag设置为MDL_MAPPED_TO_SYSTEM_VA，然后调用MmMapLockedPages来锁定内存中的MDL页。

在下面的代码中，MappedSystemCallTable中的地址与SSDT的内容相一致，但是现在你可以修改它了。//声明 #pragma pack(1) Typedef struct ServiceDescriptorEntry{ Unsigned int* ServiceTableBase; Unsigned int* ServiceCounterTableBase; Unsigned int NumberOfService; Unsigned char* ParamTableBase; }SSDT_Entry; #pragma pack() _declspec(dllimport) SSDT_Entry KeServiceDescriptorTable; PMDL g_pmdlSystemCall; PVOID *MappedSystemCallTable; //保存原始的系统调用地址，映射到我们的域中，来改变MDL的保护 g_pmdlSystemCall = MmCreateMdl(NULL, KeServiceDescriptorTable, ServiceTableBase, KeServcieDescriptorTable.NumberOfService*4); If(!g_pmdlSystemCall) Return STATUS_UNSUCCESSFUL; MmBuildMdlForNonPagedPool(g_pmdlSystemCall); //改变MDL的标志 g_pmdlSystemCall->MdlFlags = g_pmdlSystemCall->MdlFlags | MDL_MAPPED_TO_SYSTEM_VA MappedSystemCallTable = MmMapLockedPages(g_pmdlSystemCall,KernelMode);

下面列出几个对SSDT Hook比较有用的几个宏。

#define HOOK_INDEX(function2hook) *(PULONG)((PUCHAR)function2hook + 1) #define HOOK(functionName, newPointer2Function, oldPointer2Function ) / oldPointer2Function = (PVOID) InterlockedExchange( (PLONG) &NewSystemCallTable[HOOK_INDEX(functionName)], (LONG) newPointer2Function) #define UNHOOK(functionName, oldPointer2Function) / InterlockedExchange( (PLONG) &NewSystemCallTable[HOOK_INDEX(functionName)], (LONG) oldPointer2Function) #define UNHOOK(functionName, oldPointer2Function) / InterlockedExchange( (PLONG) &NewSystemCallTable[HOOK_INDEX(functionName)], (LONG) oldPointer2Function)

看完这些，就可以尝试去写一个SSDT Hook程序了，具体的网上很多，这就不再赘述了

CaperingRabbit

关注

0
点赞
踩
4

收藏

觉得还不错? 一键收藏
1
评论
SSDT Hook之修改内存保护

<br />Windows系统对部分内存写了保护，防止内存也被修改，比如xp和2003，它们使得SSDT变成只读的表，以此来防止任何应用程序来修改这个表。<br /> <br />有两种方法可以绕过写保护，一种是修改控制寄存器的CR0中的写保护位来绕过，另一种是利用MDL(MemoryDescriptor List)来绕过写保护。<br />第一种方法比较简单，也就是把CR0重的WP(写保护)位设置为0，就可以禁止内存保护了。//取消内存保护_asm{ Push eax Mov
复制链接

扫一扫