Win7 64位的SSDTHOOK(2)---64位SSDT hook的实现

最新推荐文章于 2024-01-21 17:54:19 发布
最新推荐文章于 2024-01-21 17:54:19 发布
阅读量499 收藏
点赞数
分类专栏: windows驱动

Win7 64位的SSDTHOOK(2)---64位SSDT hook的实现

http://blog.csdn.net/zfdyq0/article/details/26753797


Hook之前要干掉PG:http://www.m5home.com/bbs/thread-5893-1-1.html

上篇文章知道了寻找SSDT表的方法,这篇记录一下如何实现SSDT表的Hook。

下面以Hook NtOpenProcess为例,之前我查SSDT表发现NtOpenProcess函数的标号为35,用XT等工具也能查看。

废话不多说,上代码。

[cpp]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. 首先感谢老大(Tesla.Angela)对我的帮助  
  2.   
  3. //相关声明  
  4. __int64 __readmsr(int register);  
  5. unsigned __int64 __readcr0(void);  
  6. void __writecr0(   
  7.     unsigned __int64 Data   
  8.     );  
  9. void _disable(void);  
  10. void _enable(void);  
  11.   
  12. //_SYSTEM_SERVICE_TABLE结构声明  
  13. typedef struct _SYSTEM_SERVICE_TABLE{  
  14.     PVOID       ServiceTableBase;   
  15.     PVOID       ServiceCounterTableBase;   
  16.     ULONGLONG   NumberOfServices;   
  17.     PVOID       ParamTableBase;   
  18. } SYSTEM_SERVICE_TABLE, *PSYSTEM_SERVICE_TABLE;  
  19.   
  20. //_SERVICE_DESCRIPTOR_TABLE结构声明  
  21. typedef struct _SERVICE_DESCRIPTOR_TABLE{  
  22.     SYSTEM_SERVICE_TABLE ntoskrnl;  // ntoskrnl.exe (native api)  
  23.     SYSTEM_SERVICE_TABLE win32k;    // win32k.sys   (gdi/user)  
  24.     SYSTEM_SERVICE_TABLE Table3;    // not used  
  25.     SYSTEM_SERVICE_TABLE Table4;    // not used  
  26. }SERVICE_DESCRIPTOR_TABLE,*PSERVICE_DESCRIPTOR_TABLE;  
  27.   
  28. //声明要寻找进程名用的函数  
  29. NTKERNELAPI UCHAR * PsGetProcessImageFileName(PEPROCESS Process);  
  30.   
  31. //定义NTOPENPROCESS  
  32. typedef NTSTATUS (__stdcall *NTOPENPROCESS)(OUT PHANDLE  ProcessHandle,  
  33.                                     IN ACCESS_MASK  DesiredAccess,  
  34.                                     IN POBJECT_ATTRIBUTES  ObjectAttributes,   
  35.                                     IN OPTIONAL PCLIENT_ID  ClientId);  
  36. NTOPENPROCESS OldOpenProcess = NULL;  
  37. ULONG OldTpVal;  
  38.   
  39. //定义自己的NtOpenProcess  
  40. NTSTATUS __stdcall Fake_NtOpenProcess(OUT PHANDLE  ProcessHandle,  
  41.                                        IN ACCESS_MASK  DesiredAccess,  
  42.                                        IN POBJECT_ATTRIBUTES  ObjectAttributes,   
  43.                                        IN OPTIONAL PCLIENT_ID  ClientId)  
  44. {  
  45.     PEPROCESS process = NULL;  
  46.     NTSTATUS st = ObReferenceObjectByHandle(<span style="font-family: Arial, Helvetica, sans-serif;">ClientId->processid</span>  
  47. ,0,*PsProcessType,KernelMode,&process,NULL);  
  48.     DbgPrint("进入HOOK函数.\n");  
  49.     if (NT_SUCCESS(st))  
  50.     {  
  51.         if (!_stricmp((char*)PsGetProcessImageFileName(process),"CrackMe3.exe"))  
  52.         {  
  53.               
  54.             return STATUS_ACCESS_DENIED;  
  55.         }  
  56.         else  
  57.         {  
  58.             return OldOpenProcess(ProcessHandle,DesiredAccess,ObjectAttributes,ClientId);  
  59.         }   
  60.     }  
  61.     else  
  62.     {  
  63.         return STATUS_ACCESS_DENIED;  
  64.     }  
  65. }  
  66.   
  67. //关闭页面保护  
  68. KIRQL WPOFFx64()  
  69. {  
  70.     KIRQL irql=KeRaiseIrqlToDpcLevel();  
  71.     UINT64 cr0=__readcr0();  
  72.     cr0 &= 0xfffffffffffeffff;  
  73.     __writecr0(cr0);  
  74.     _disable();  
  75.     return irql;  
  76. }  
  77. //开启页面保护  
  78. void WPONx64(KIRQL irql)  
  79. {  
  80.     UINT64 cr0=__readcr0();  
  81.     cr0 |= 0x10000;  
  82.     _enable();  
  83.     __writecr0(cr0);  
  84.     KeLowerIrql(irql);  
  85. }  
  86.   
  87. //老外定位KeServiceDescriptorTable的方法  
  88. ULONGLONG GetKeServiceDescriptorTable64()   
  89. {  
  90.     char KiSystemServiceStart_pattern[] = "\x8B\xF8\xC1\xEF\x07\x83\xE7\x20\x25\xFF\x0F\x00\x00";   //特征码  
  91.     ULONGLONG CodeScanStart = (ULONGLONG)&_strnicmp;  
  92.     ULONGLONG CodeScanEnd = (ULONGLONG)&KdDebuggerNotPresent;  
  93.     UNICODE_STRING Symbol;  
  94.     ULONGLONG i, tbl_address, b;  
  95.     for (i = 0; i < CodeScanEnd - CodeScanStart; i++)  
  96.     {  
  97.         if (!memcmp((char*)(ULONGLONG)CodeScanStart +i, (char*)KiSystemServiceStart_pattern,13))  
  98.         {   
  99.             for (b = 0; b < 50; b++)  
  100.             {  
  101.                 tbl_address = ((ULONGLONG)CodeScanStart+i+b);  
  102.                 if (*(USHORT*) ((ULONGLONG)tbl_address ) == (USHORT)0x8d4c)  
  103.                     return ((LONGLONG)tbl_address +7) + *(LONG*)(tbl_address +3);  
  104.             }  
  105.         }  
  106.     }  
  107.     return 0;  
  108. }  
  109.   
  110. //根据KeServiceDescriptorTable找到SSDT基址  
  111. PULONG GetSSDTBaseAddress()  
  112. {  
  113.     PULONG addr = NULL;  
  114.     PSYSTEM_SERVICE_TABLE ssdt = (PSYSTEM_SERVICE_TABLE)GetKeServiceDescriptorTable64();  
  115.     addr = (PULONG)(ssdt->ServiceTableBase);  
  116.     return addr;  
  117. }  
  118.   
  119. //根据标号找到SSDT表中函数的地址  
  120. ULONGLONG GetFuncAddr(ULONG id)  
  121. {  
  122.     LONG dwtmp = 0;  
  123.     ULONGLONG addr = 0;  
  124.     PULONG stb = NULL;  
  125.     stb = GetSSDTBaseAddress();  
  126.     dwtmp = stb[id];  
  127.     dwtmp = dwtmp >> 4;  
  128.     addr = (LONGLONG)dwtmp + (ULONGLONG)stb;  
  129.     DbgPrint("SSDT TABLE BASEADDRESS:%llx",addr);  
  130.     return addr;  
  131. }  
  132.   
  133. //设置函数的偏移地址,注意其中参数的处理。低四位放了参数个数减4个参数。如果参数小于等于4的时候为0  
  134. #define SETBIT(x,y) x|=(1<<y) //将X的第Y位置1  
  135. #define CLRBIT(x,y) x&=~(1<<y) //将X的第Y位清0  
  136. #define GETBIT(x,y) (x & (1 << y)) //取X的第Y位,返回0或非0  
  137. ULONG GetOffsetAddress(ULONGLONG FuncAddr, CHAR paramCount)  
  138. {  
  139.     LONG dwtmp = 0,i;  
  140.     CHAR b = 0, bits[4] = {0};  
  141.     PULONG stb = NULL;  
  142.     stb = GetSSDTBaseAddress();  
  143.     dwtmp = (LONG)(FuncAddr - (ULONGLONG)stb);  
  144.     dwtmp = dwtmp << 4;  
  145.     if (paramCount>4)  
  146.     {  
  147.         paramCount = paramCount - 4;  
  148.     }  
  149.     else  
  150.     {  
  151.         paramCount = 0;  
  152.     }  
  153.     memcpy(&b,&dwtmp,1);  
  154.     for (i=0;i<4;i++)  
  155.     {  
  156.         bits[i] = GETBIT(paramCount,i);  
  157.         if (bits[i])  
  158.         {  
  159.             SETBIT(b,i);  
  160.         }  
  161.         else  
  162.         {  
  163.             CLRBIT(b,i);  
  164.         }  
  165.     }  
  166.     memcpy(&dwtmp,&b,1);  
  167.     return dwtmp;  
  168. }  
  169.   
  170. //内核中用不到的方法,二次跳转用(自己的NtOpenProcess跳到KeBugCheckEx函数,然后再KeBugCheckEx函数跳到要Hook的NtOpenProcess)  
  171. VOID FuckKeBugCheckEx()  
  172. {  
  173.     KIRQL irql;  
  174.     ULONGLONG myfun;  
  175.     UCHAR jmp_code[]="\xFF\x25\x00\x00\x00\x00\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF";  
  176.     myfun=(ULONGLONG)Fake_NtOpenProcess;  
  177.     memcpy(jmp_code+6,&myfun,8);  
  178.     irql=WPOFFx64();  
  179.     memset(KeBugCheckEx,0x90,15);  
  180.     memcpy(KeBugCheckEx,jmp_code,14);  
  181.     WPONx64(irql);  
  182. }  
  183.   
  184. //Hook ssdt  
  185. VOID HookSSDT()  
  186. {  
  187.     KIRQL irql;  
  188.     LONG dwtmp = 0;  
  189.     PULONG stb = NULL;  
  190.     //1.get old address  
  191.     OldOpenProcess = (NTOPENPROCESS)GetFuncAddr(35);  
  192.     DbgPrint("Old_NtOpenProcess:%llx",(ULONGLONG)OldOpenProcess);  
  193.     //2.show new address  
  194.     stb = GetSSDTBaseAddress();  
  195.     //3.get offset value  
  196.     dwtmp = GetOffsetAddress((ULONGLONG)KeBugCheckEx,4);  
  197.     //set kebugcheckex  
  198.     FuckKeBugCheckEx();  
  199.     //4.record  old offset  value  
  200.     OldTpVal = stb[35];  
  201.     irql = WPOFFx64();  
  202.     stb[35] = GetOffsetAddress((ULONGLONG)KeBugCheckEx,2);  
  203.     WPONx64(irql);  
  204.     DbgPrint("KeBugCheckEx:%llx",(ULONGLONG)KeBugCheckEx);  
  205.     DbgPrint("New_NtOpenProcess:%llx",GetFuncAddr(35));  
  206. }  
  207.   
  208. //UN hook  
  209. VOID UnhookSSDT()  
  210. {  
  211.     KIRQL irql;  
  212.     PULONG stb=NULL;  
  213.     stb = GetSSDTBaseAddress();  
  214.     //老函数的地址复制回来  
  215.     irql=WPOFFx64();  
  216.     stb[35]=OldTpVal;  
  217.     WPONx64(irql);  
  218. }  


相关解释:

1.为什么要二次跳转?

WIN64内核里的每个驱动都不在同一个4GB里,4字节的整数只能表示4GB的范围,所以不管怎么修改这个4字节都不会跳到你的代理函数,因为你的驱动不可能跟NTOSKRNL在同一个4GB里面。

2.参数的处理:

函数地址的低四位存放了函数参数个数减4的数字,如果参数为5,那么低四位的数字为1,如果参数个数小于等于4个,低四位的数位0,可以再WINDBG里面查看到。


天经地义之经
关注
专栏目录
win7 64位 ssdthook
11-21
通过hook内核中ssdt表中的ntopenprocess函数,标号为35,可通过遍历ssdt表查找得知,可实现进程保护。 适用系统:win7 64,需关闭驱动签名保护 编程工具:vs2012+wdk8.0
WIN7 X64 SSDT函数获得
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-14 2132
曾经在网上看到一片文章, 在早期64位系统,内核函数开头地址的低四位一般是0,形如:xxxxxxxx`xxxxxxx0,这一特征在SSDT表中有很强大的引用,SSDT表在64位系统于32位系统有较大的差别。以下是在64位系统下的KeServiceDescriptorTable: kd> dp KeServiceDescriptorTable fffff800`0117bb80  fffff8
Win7 64位SSDTHOOK(1)---SSDT表的寻找
qing666888的专栏
10-04 956
最近在学习64位驱动,涉及到了SSDT的知识,结果发现64位下的SSDT和32位下的SSDT有所不同。 开始发现64位下的KeServiceDescriptorTable是未导出的函数。首先要找到KeServiceDescriptorTable的地址。 方法1: 读取c0000082寄存器 kd&gt; rdmsr c0000082   msr[c0000082] = fffff800`...
【原创】WINDOWS 64位SSDT定位思路
lziog的专栏
12-06 6050
在32位Windows中我们有很多定位SSDT的方法,最直接的就是利用导出符号来找到SSDT。再有就是通过在nt!KeAddSystemServiceTable函数中进行反汇编搜索。可是在64位WINDOWS中这两种方法都行不通。在64位Windows中不在导出SSDT了,同时nt!KeAddSystemServiceTable中也不再出SSDT了。这样要HOOK SSDT表就出现了第一个问题如何找到它?我想了三种思路。
如何动态定位SSDT表 Win10 64位 1903
被遗弃的庸才博客
10-19 2008
SSDT表有了解的朋友都知道在WIN64下的KeServiceDescriptorTable是没有被导出,所以我们只能动态的查找它的地址。 网上也有很多方法定位到ssdt表,其中较多的文章都是通过查找msr(c0000082)寄存器定位KiSystemCall64,然后通过搜索特诊码的方式找到KiSystemServiceRepeat,这里记录着KeServiceDescriptorTable...
src_过pg_过windowspg_64位SSDThook实现方法_过PG_
09-30
标题中的“src_过pg_过windowspg_64位SSDThook实现方法_过PG_”似乎是指一个关于在64位Windows系统下绕过Process Guard (PG)并通过修改System Service Dispatch Table (SSDT)实现hook的技术教程。描述中的“WINDOWS ...
SSDT.rar_SSDT-HOOK_ssdt
09-19
SSDT(System Service Dispatch Table,系统服务调度表)是Windows操作系统中的一个重要概念,它是一个包含系统服务函数指针的表,这些服务函数提供了操作系统内核与用户模式应用程序之间的接口。在Windows NT架构的...
64位驱动SSDTHOOK教程
10-02
在"X64位驱动 SSDT HOOK-1.doc"和"X64位驱动 SSDT HOOK-2.doc"文档中,可能会详细讲解上述内容,包括SSDT挂钩的具体实现步骤、示例代码、注意事项和可能遇到的问题。这些文档将帮助读者深入理解64位环境下的SSDT挂钩...
WIN64_SSDTHOOK.rar_64 ssdT_64 ssdt c_TDL_win64 ssdt hook_win7 SS
07-15
在32位版本的Windows(即WIN32)中,SSDT是通过全局描述符表(GDT)中的一个条目来访问的,而64位版本的Windows(即WIN64)引入了一些显著的变化,使得原有的SSDT挂钩技术不再适用。本篇文章将深入探讨这些变化以及...
64位下的SSDT HOOK 保护进程
qq_41490873的博客
08-27 1053
64位下的SSDT HOOK与32位不同.由于SSDT服务表里面存放的只是函数的偏移,并且大小只有2的28次方. 无法直接跳转到指定的函数地址处,所以这里采用了先跳转到BugCheckEx函数,然后在BugCheckEx函数开头跳转到自己的处理函数中. BugCheckEx充当了一个跳板的作用. 代码在WIN7 64 7600版本中测试通过,卸载函数没有还原BugCheckEx函数的12字节 有需要自己去还原一下吧. 注意在测试的时候点击进程,不要直接点应用程序图标. #include<ntddk
64位 驱动 保护进程
编程论坛
06-11 7682
环境:win7 64  win8 win 10SSDT HOOK NtOpenProcess //这一路径上的代码点 in line hookObRegisterCallbacks     //注册回调函数 过滤NTSTATUS  ObRegisterCallbacks (      _In_ POB_CALLBACK_REGISTRATION CallbackRegistration,     ...
SSDT HOOK驱动开发(1):进程隐藏
千里之外
01-29 1611
Windows 系统给我们的开发人员提供了几种列出系统中所有的进程、模块、与驱动程序的方法,最常见的也是最常用的方法就是调用系统 API:CreateToolHelp32Snapshot、EnumProcess、EnumProcessModules等,他们会调用 ZwQuerySystemInformation,ZwQuerySystemInformation会调用KiSystemService切
32位/64位WINDOWS驱动之 遍历+HOOK_SSDT_NtOpenProcess函数_w7_w10通用系统版本
最新发布
a756598009的博客
01-21 1090
KIRQL WPOFF()//关闭写保护//ULONG_PTR 这个类型在x86上是32位 x64就是64位#else#endif_disable();//关闭中断//关闭写保护位VOID WPON(KIRQL irql)//打开写保护//恢复写保护位_enable();//恢复中断/*aria v1.0*在易编程学院发布。*版权所有 2023*许可证:ybc-cn*修改时间:2024年1月21日17:42:26(中国标准时间)
x64技术之SSDT_Hook
Hades的博客
05-10 5677
x64技术之SSDT_Hook测试环境:虚拟机: Windows 7 64bit过PG工具驱动加载工具PCHunter64系统自带的计算器和任务管理器等实现思路:实际思路与win32的思路一样.都是替换SSDT表里边的函数地址.不过微软被搞怕了,所以在x64上做了一些手脚.具体手脚就是x64通过SSDT得到的函数地址,不是真实的函数绝对地址了,而是加密了的.HOOK1.得到系统服务表基址2.保存需...
关于Win7 x64 Shadow SSDT 的探索和 Inline HOOK
fyfy
05-15 4058
http://bbs.pediy.com/thread-210481.htm 来看雪一年了,在这里面学到了很多知识,非常感谢各位前辈对知识的分享和不懈的研究,也非常感谢各位大神对我们这些小白的照顾,特别要感谢MaMy、hksoobe、luolinlove等大神的指导。我也一直非常希望能为看雪贡献一点什么,但是小白的理解估计大神也看不上,这次也是注册看雪一周年,冲着这个也来发表一点自己的理
Win64 驱动内核编程-19.HOOK-SSDT
天使也掉毛
03-19 4901
HOOK SSDT     在 WIN64 上 HOOK SSDT 和 UNHOOK SSDT 在原理上跟 WIN32 没什么不同,甚至说 HOOK 和 UNHOOK 在本质上也没有不同,都是在指定的地址上填写一串数字而已 (填写代理函数的地址时叫做 HOOK,填写原始函数的地址时叫做 UNHOOK)。不过实现起来还是很大不同的。 一 、 HOOK SSDT     要挂钩 SSDT,必然
SSDT HOOK
qq_45844442的博客
06-22 309
1.首先通过MmCreateSection、MmMapViewInSystemSpace将ntdll加载到内存中,然后进行导出表搜索找到目标函数的服务号。2.然后通过内核导出的变量KeServiceDescriptorTable进而找到SSDT表。3.最后通过在SSDT表修改目标函数地址为自定义地址即可。
SSDT_HOOK
qq_36918532的博客
03-03 284
分别从静态,动态两种方法来hook 静态是直接根据openProcess的调用号0xbe 动态是防止地址发生改变或者其他,来动态函数索引进而HOOK的 #include<ntifs.h> #include<ntimage.h> //提供 PE结构 PULONG g_PageMapMemory = NULL; typedef struct _SSDTItem { PULONG FunAddressTable; ULONG Pknum; ULONG uIndexCount;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值