更加稳定的HOOK SSDT(通过MDL方式)

最新推荐文章于 2022-08-01 03:25:33 发布
最新推荐文章于 2022-08-01 03:25:33 发布
阅读量4.8k 收藏 6
点赞数
文章标签: hook function null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/galihoo/article/details/1848267
版权
针对多核CPU中修改cr0寄存器后写入SSDT可能导致的不稳定性,本文提出了一种使用MDL(Memory Descriptor List)的更稳定方法来实现SSDT Hook。代码实现包括HOOK_SYSCALL、UNHOOK_SYSCALL和SYSCALL_INDEX的定义。
摘要由CSDN通过智能技术生成

传说修改cr0寄存器后再写SSDT在多核CPU不稳定,因此提供一个更加稳定的写SSDT表的方式,代码如下

//
//  挂钩函数
 //
 BOOL HookSSDT()
 {
    PMDL pMdlSystemCall = NULL;
    DWORD * MappedSystemCallTable = 0;
       pMdlSystemCall = IoAllocateMdl(
                                   KeServiceDescriptorTable->ntoskrnl.ServiceTable,
                                   KeServiceDescriptorTable->ntoskrnl.CounterTable*4
                                   0,
                                   0,
                                   NULL
                                   );
       if(!pMdlSystemCall)
          return FALSE;

       MmBuildMdlForNonPagedPool(pMdlSystemCall);
最低0.47元/天 解锁文章
galihoo
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SSDT—HookMDL
kernweak的博客
09-03 1500
SSDT HOOK 首先要明白SSDTHOOK就是自己再写一份函数,替换了SSDT表中的地址替换掉 如何访问系统服务表呢? SSDT 的全称是 System Services Descriptor Table,系统服务描述符表 下面这个是个全局变量 kd> dd KeServiceDescriptorTable(SSDT) 这个导出的 声明一下就可以使用了 kd&g...
MDL 中实际包含的内容是什么?
weixin_34347651的博客
10-12 147
MDL 中实际包含的内容是什么? 更新日期: 2008年01月11日 内存描述符列表 (MDL) 是一个系统定义的结构,通过一系列物理地址描述缓冲区。执行直接 I/O 的驱动程序从 I/O 管理器接收一个 MDL 的指针,并通过 MDL 读写数据。一些...
MDL 内存映射实现HOOK
Doub1's Blog
04-11 1118
简单的NT式驱动 typedef NTSTATUS (*REALZWQUERYDIRECTORYFILE)(IN HANDLE hFile, IN HANDLE hEvent OPTIONAL, IN PIO_APC_ROUTINE IoApcRoutine OPTIONAL, IN PVOID IoApcContext OPTIONAL, OUT PIO_STATUS_BLOCK pIoSt...
通过MDL实现CR0的WP功能
weixin_34357928的博客
10-12 262
前段时间在群里有人问起什么是MDL,当时三言两语也不知道解释清楚了没,今天闲着无事,索性记录下来吧,就当是做个笔记,以后忘了也好查阅。 我们知道,系统中一些重要的表项如SSDT是只读的,如果我们强行对其进行修改就会造成BSOD的严重后果。当然这种保护方式很容易被绕过,我们曾经介绍了通过修改cr0来禁用WP(Write Protect,写保护)位的方法,现在再介绍一种不需要使...
使用MDL读写内存的SSDT HOOK
kernweak的博客
05-30 2293
X64下有patchguard,所以先讨论x86的 思路 首先找到函数地址,如果是导出函数,可以使用MmGetSystemRoutineAddress,如果未导出加载符号通过特征码 实现新新函数替换原函数 恢复函数 关于系统从应用层进入内核,xp前是int2e,之后32位是sysenter,64是syscall https://bbs.pediy.com/thread-226254.h...
Hook ssdt.rar_HookSSDT_hook_ssdt_进程保护_驱动保护
09-25
通过Hook SSDT,我们可以拦截这些服务调用,实现对系统行为的控制。 **驱动层Hook SSDT的工作原理** Hook SSDT通常在驱动程序中实现,因为驱动程序运行在更高的权限级别(Ring 0),可以直接访问和修改SSDT。首先,...
SSDTHook_ssdt_SSDTHook_
10-01
标题“SSDTHook_ssdt_SSDTHook_”暗示了这个压缩包可能包含了一个关于SSDT Hooking的工具或者教程。这个工具或教程可能是为了帮助用户理解和实践如何在Windows内核层面上进行系统服务的挂钩。 描述“ssdt hooking ...
SSDT.zip_hook_hook nt_hook ssdt_ssdt_ssdt hook
09-23
在Windows环境中,有多种hook方式,如API Hook、Kernel HookSSDT Hook等。在本例中,主要讨论的是SSDT Hook,即对SSDT表中函数指针的修改。 4. SSDT.h 和 SSDT.cpp:这两个文件很可能是实现SSDT Hook的源代码。`....
如何区分ssdt hook和inline hook钩子
01-25
3. **稳定性**:由于涉及到系统表,SSDT Hook可能导致系统不稳定,而Inline Hook影响较小,但可能导致程序崩溃或异常。 4. **隐蔽性**:Inline Hook通常比SSDT Hook更难被检测,因为不涉及系统表的改动。 5. **复杂...
SSDT.rar_SSDT-HOOK_ssdt
09-19
通过挂钩SSDT,可以替代或修改系统服务的原始入口点,使得在调用真正服务之前,能够执行自定义代码。这种方法允许开发者在系统级操作上进行拦截、修改或控制,比如监控文件系统访问、网络通信或者进程创建等。 具体...
钩住SSDT以及隐藏进程的代码HideProcessHookMDL
02-11
钩住SSDT以及隐藏进程的代码HideProcessHookMDL
学习笔记-SSDT_HOOK
a2a_66666的博客
08-31 238
0x00SSDT:   SSDT 的全称是 System Services Descriptor Table,系统服务描述符表。   内核中有两个系统服务描述符表,一个是KeServiceDescriptorTable,另一个是KeServieDescriptorTableShadow。   KeServiceDescriptorTable 主要是处理来自 Ring3 层得 Ke...
SSDT表函数Hook原理
墨鱼菜鸡
06-25 162
其实SSDTHook的原理是很简单的,我们可以知道在SSDT这个数组中呢,保存了系统服务的地址,比如对于Ring0下的NtQuerySystemInformation这个系统服务的地址,就保存在KeServiceDescriptorTable[105h]中(计算公式address...
Hook集合----SSDTHook(x86 Win7)
qq_42021840的博客
03-30 234
最近在学习Ring0层Hook的一些知识点,很久就写完SSDTHook的代码了,但是一直没有整理成笔记,最近有时间也就整理整理。 介绍: SSDTHook 实质是利用Ntoskrnl.exe 中全局导出的SSDT来进行HookSSDT(SystemServiceDescriptorTable,系统服务描述表),为什么要去用到SSDT表呢? 我们看一下Zw...
逆向基础-Windows驱动开发【SSDT HOOK
AppWhite_Star的博客
08-01 1751
驱动开发,SSDT HOOK
SSDT hook完整版
weixin_34320159的博客
10-18 208
原理可以看:https://blog.csdn.net/zhuhuibeishadiao/article/details/51114107 在多核下用MDL方式修改内存 NTSTATUS RtlSuperCopyMemory(IN VOID UNALIGNED *Dst, IN CONST VOID UNALIGNED *Src, IN ULONG Length) { //...
SSDT Hook实现内核级的进程保护
曾是土木人
06-29 8232
SSDT Hook效果图 加载驱动并成功Hook  NtTerminateProcess函数: 当对 指定的进程进行保护后,尝试使用“任务管理器”结束进程的时候,会弹出“拒绝访问”的窗口,说明,我们的目的已经达到: SSDT简介 SSDT 的全称是 System Services Descriptor Table,系统服务描述符表。 这个表
Rootkit 核心技术——利用 nt!_MDL(内存描述符链表)突破 SSDT(系统服务描述符表)的只读访问限制 Part I...
weixin_30346033的博客
01-26 184
———————————————————————————————————————————————————————— 在 rootkit 与恶意软件开发中有一项基本需求,那就是 hook Windows 内核的系统服务描述符表(下称 SSDT),把该表中的 特定系统服务函数替换成我们自己实现的恶意例程;当然,为了确保系统能够正常运作,我们需要事先用一个函数指针保存原始 的系统服务,并且在我们恶意...
Vt hook ssdt
最新发布
12-31
Vt hook ssdt是一种技术,用于在...以上代码是一个简单的Vt hook ssdt的示例,通过调用`HookServiceCall`函数可以将指定的系统服务地址替换为新的地址,通过调用`UnhookServiceCall`函数可以恢复原始的系统服务地址。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值