SSDT获取原始服务地址的方法与原理(灯灯灯灯,我肥来了..)

最新推荐文章于 2020-08-19 17:19:44 发布
最新推荐文章于 2020-08-19 17:19:44 发布
阅读量7.3k 收藏 6
点赞数
分类专栏: WDK 文章标签: image header hook 磁盘 descriptor
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gaara_fan/article/details/6989406
版权

    好吧,我胡汉三肥来了..(确实肥了- -),几个月没发什么文章.其实.我也只是一个新丁~欢迎大家交流,高手勿喷,谢谢合作^_^

    对于SSDT,不知道的同学请自己百度,判断出SSDT被HOOK之后,如何恢复成原始服务地址?主要方法有两个,简单来说,一个Ring0,一个Ring3的方法(可能分类不够准确),我今天除了介绍方法之外,主要还是讲讲里面的原理吧,原理神马的才是最吸引人的对吧.

    首先科普一下基础,SSDT,就是System Service Descriptor Table,在内核中导出符号为KeServiceDescriptorTable.对于Ring3下的一些API,最终会对应于Ntdll.dll里一个Ntxxx的函数,例如CreateFile,最终调用到Ntdll.dll里的NtCreateFile这个函数,NtCreateFile最终将系统服务号放入EAX,然后CALL系统的7FFE0300处存放的一个地址(后面细说),进入到内核当中,从Ring3->Ring0,最终在Ring0当中通过传入的EAX得到对应的同名系统服务的内核地址.这样就完成了一次系统服务的调用.下面的图是ntdll!NtCreateFile的反汇编片段:


    可以看到,NtCreateFile传入的服务号是25h,对于7FFE0300h处,实际上是UserShareData!SystemCallStub,这是一个函数指针,里面存放的值可能是KiIntSystemCall或者是KiFastSystemCall的地址,在我的Xp下,存放的是KiFastSystemCall的地址,之后的流程是:KiFastSystemCall->sysenter->KiFastCallEntry->查找SSDT,call过去.有兴趣的同学可以在WRK当中搜索相关的函数去走一下流程.

    说了那么多不相关的话- -,好吧,这个SSDT的表这么理解(如果你硬是要纠结于细节的话,是KeServiceDescriptorTable->Base这个表),就是一个存放着函数指针的表,而这些函数指针指向的就是系统重要的服务例程.这个表的重要性很高,如果说有恶意的程序对这个表进行了HOOK,修改了服务例程地址为自己提供的假服务例程,那么就可以干一些坏事了.我们可以很容易的得到SSDT的具体内容,如何知道SSDT有没有被Hook,一个简单的方法就是判断SSDT中的函数指针是否是在内核(ntoskrnl.exe或ntkrnlpa.exe)的内存镜像地址范围内,这个只是单纯的检测,具体恢复需要知道原始的服务例程的原始地址.我一开始以自己很傻很天真的思路想,内核获取函数地址不就是用MmGetSystemRoutineAddress么,那么这样就可以得到原始地址了嘛,结果实现了一下发现,你妹的MmGetSystemRoutineAddress只对导出的函数(输出目录当中的函数有用),我当时就凌乱了..痛苦的把脸转向一边...

    对于KeServiceDescriptorTable是在KiInitSystem中初始化,代码如下:


    具体是通过KiServiceTable初始化的,KiServiceTable的具体内容通过反汇编内核,我这里是ntkrnlpa.exe,如下:


    可以看到,KiServiceTabl

最低0.47元/天 解锁文章
GaA_Ra
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SSDT原始地址, 现在地址
Rootkit ﹏
09-28 672
<br />#include <windows.h> #include <winnt.h> #include <WindowsX.h> #include <commctrl.h> #include <stdio.h> #define ibaseDD *(PDWORD)&ibase HINSTANCE g_hInst; HWND hWinMain,hList; #define ID_LISTVIEW 104 #pragma comment(lib,"comctl32") typedef
内核层获取SSDT中函数原始地址
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-09 1458
标 题: 【下载】内核层获取SSDT中函数原始地址 作 者: QEver 时 间: 2011-08-30,20:32:28 链 接: http://bbs.pediy.com/showthread.php?t=139524 昨天在看雪看到《【下载】发个获得SSDT函数名和索引号的代码》,一时兴起整理了一份内核层根据ntdll.dll和nt模块文件来获取SSDT函数原始地址的代码,可以
读出SSDT表当前函数地址
crkres9527
09-16 625
        A、引用KeServiceDescriptorTable表         B、通过ServiceTableBase+偏移读出当前函数地址         C、用windbg测试读取的值 系统服务描述符表 在ntoskrnl.exe导出KeServiceDescriptorTable 这个表 typedef struct _ServiceDescriptorTable { ...
驱动还原:恢复SSDT内核钩子(2)
weixin_30790841的博客
09-21 1111
SSDT 中文名称为系统服务描述符表,该表的作用是将Ring3应用层与Ring0内核层,两者的API函数连接起来,起到承上启下的作用,SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基址、服务函数个数等,SSDT 通过修改此表的函数地址可以对常用 Windows 函数进行内核级的Hook,从而实现对一些核心的系统动作进行过滤、监控的目的。 通过前面...
ssdt.rar_site:www.pudn.com_ssdt._visual c_恢复SSDT_打造ssdt方法
09-23
3. **备份SSDT**:工具需要能够遍历SSDT,记录每个服务原始地址。这可以通过读取SSDT表并在用户空间创建一个镜像来实现。 4. **恢复SSDT**:当需要恢复时,工具将已备份的服务地址替换回SSDT,确保系统服务调用...
R0层获取ShadowSSDT函数原始地址实例
11-20
本实例由VS2008开发,在提供了一套驱动开发框架的同时,又演示了如何获取Shadow SSDT表函数原始地址的办法。 主要函数:ULONG GetShadowSSDT_Function_OriAddr(ULONG index); 原理说明: 根据特征码搜索导出函数...
易语言源码易语言获取SSDT地址源码.rar
02-21
易语言源码易语言获取SSDT地址源码.rar 易语言源码易语言获取SSDT地址源码.rar 易语言源码易语言获取SSDT地址源码.rar 易语言源码易语言获取SSDT地址源码.rar 易语言源码易语言获取SSDT地址源码.rar ...
易语言获取SSDT地址源码.zip
12-30
在"易语言获取SSDT地址源码.zip"这个压缩包中,包含的是易语言编写的一个程序,该程序主要用于获取系统服务调用描述表(System Service Dispatch Table,简称SSDT)的源地址SSDT是Windows操作系统的核心组成...
易语言获取SSDT地址
08-22
易语言获取SSDT地址源码系统结构:GetOldSsdtAddress,GetApiAddress,GetDword,GetWord,FindKiServiceTable,GetSsdtAddress,NtQuerySystemInformation,LocalAlloc,LocalFree,LoadLibraryEx,LoadLibrary,FreeLibrary,...
获取SSDT,SSSDT原始函数地址
zhuhuibeishadiao
05-02 4530
SSDT 当前函数地址 = KiSeviceTable + *(KiServiceTalbe + index * 4); TableRVA = KiSeviceTable - 内核真实加载地址 ; ImageBase = 0x140000000;(理想加载地址) ImageKiSeviceTable = ImageBase + TableRVA; LoadDLLBase = LoadLi
【转】读取SSDT表和原函数地址
weixin_34326429的博客
11-29 164
读取当前地址代码(NtOpenProcess): LONG *SSDT_Adr,t_addr,adr; t_addr=(LONG)KeServiceDescriptorTable-&gt;ServiceTableBase; SSDT_Adr=(PLONG)(t_addr+0x7a*4); adr=*SSDT_Adr; 读取起源地址(NtOpenProcess): UNICODE_STRING ...
X64驱动:读取SSDT表基址
热门推荐
CSDN
10-09 1万+
前面的驱动编程相关内容都是在32位环境下进行的,驱动程序与应用程序不同,32位的驱动只能运行在32位系统中,64位驱动只能在64位系统中运行,在WIN32环境下,我们可以各种Hook挂钩各种系统函数,而恶意程序也可以通过加载驱动进行内核层面的破坏(Rootkit),大家都可以乱搞,把好端端的Windows系统搞得乱七八糟,严重影响了系统安全性与可靠性。1.这里我们可以通过MSR(特别模块寄存器),读取C0000082寄存器,从而得到KiSystemCall64的地址,在内核调试模式下直接输入。
SSDT Hook实现内核级的进程保护
曾是土木人
06-29 8228
SSDT Hook效果图 加载驱动并成功Hook  NtTerminateProcess函数: 当对 指定的进程进行保护后,尝试使用“任务管理器”结束进程的时候,会弹出“拒绝访问”的窗口,说明,我们的目的已经达到: SSDT简介 SSDT 的全称是 System Services Descriptor Table,系统服务描述符表。 这个表
初探win10 x64 SSDT(驱动学习笔记五)
rep_Su的博客
10-11 3384
初探win10 x64 SSDT0x0 windbg中查看SSDT背景介绍查看SSDT0x1 代码获取SSDT表中的函数获取SSDT地址 0x0 windbg中查看SSDT 背景介绍 学习驱动的过程中,由于涉及到SSDT HOOK相关的知识点,开始学习SSDT,关于SSDT的基本概念,这里省去,中文名是系统服务描述表,具体的理解可自行百度,由于是初步探讨,本篇只介绍方法。 查看SSDT x64系...
SSDT HOOK技术(2)——获取SSDT地址以及从中获取指定SSDT函数的地址
苞米地里捉小鸡的博客
08-19 1221
32 位系统和 64 位上,获取 SSDT 表的方式并不相同,获取 SSDT 表中的函数地址也不相同。 由于32位系统中SSDT是可以通过Ntoskrnl.exe导出的,所以可以直接获取SSDT地址。然而在64位系统上,SSDT不能导出,需要通过特征码寻找到KeServiceDescriptorTable的地址 1.32位获取SSDT地址 在 32 位系统中,SSDT 表是内核 Ntoskrnl.exe 导出的一张表,导出符号为 KeServiceDescriptorTable,该表含有一个指针指向
ssdt-dnvme.aml
最新发布
01-26
ssdt-dnvme.aml是一种固件文件,通常用于在计算机系统中支持NVMe(Non-Volatile Memory Express)固态硬盘。SSDT代表“Secondary System Description Table”,它是用于描述计算机系统硬件配置和功能的ACPI(Advanced Configuration and Power Interface)标准的一部分。而NVMe则是一种高性能、低延迟的存储接口标准,用于固态硬盘。 当计算机系统需要支持NVMe固态硬盘时,ssdt-dnvme.aml这个固件文件可以被加载到系统的固件(BIOS或UEFI)中,通过ACPI标准描述NVMe的硬件配置和功能,使得操作系统可以正确地识别和驱动NVMe固态硬盘。 在安装或使用NVMe固态硬盘时,用户可能需要将ssdt-dnvme.aml文件添加到系统固件中,以确保系统能够充分利用NVMe固态硬盘的性能和功能。同时,一些操作系统可能会在安装过程中自动加载这个固件文件,以确保NVMe固态硬盘的兼容性和稳定性。 总之,ssdt-dnvme.aml是一个用于支持NVMe固态硬盘的固件文件,通过描述NVMe的硬件配置和功能,使得计算机系统可以正确地识别和驱动NVMe固态硬盘,从而提高系统性能和数据存储速度。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值