Windows内核新手上路1——挂钩SSDT

最新推荐文章于 2024-06-20 14:15:00 发布
最新推荐文章于 2024-06-20 14:15:00 发布
阅读量2k 收藏 1
点赞数
分类专栏: Windows内核新手上路 文章标签: windows descriptor access 系统监控 api hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gimbow/article/details/5880571
版权
本文是Windows内核学习系列的第一篇,主要介绍如何挂钩SSDT以监控和保护系统。通过挂钩NtOpenProcess、NtDuplicateObject、NtCreateThread、NtOpenThread和NtWriteVirtualMemory,可以防止对特定进程的非法操作,如打开、复制句柄、创建线程和写入内存。
摘要由CSDN通过智能技术生成

Windows内核新手上路1——挂钩SSDT

         这个系列记录学习我学习windows内核的点点滴滴,高手请直接无视。

         文章核心内容:挂钩SSDT中函数列NtOpenProcessNtDuplicateObjectNtCreateThreadNtOpenThreadNtWriteVirtualMemory,过滤进程操作来保护目标进程空间。

 

SSDT的全称是System Services Descriptor Table,系统服务描述符表。这个表把ring3Win32 APIring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。

SSDT管的是与系统相关的函数(kernel32.dllntdll.dll)。通过修改此表的函数地址可以对常用windows函数及API进行hook,从而实现对一些关心的系统动作进行过滤、监控的目的。一些HIPS、防毒软件、系统监控、注册表监控软件往往会采用此接口来实现自己的监控模块。

SSDT结构:

最低0.47元/天 解锁文章
gimbow
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Windows内核新手上路2——挂钩shadow SSDT
gimbow的专栏
09-14 3519
<br />Windows内核新手上路2——挂钩shadow SSDT<br />         文章核心内容:安全软件窗口保护、安全输入、截屏保护的一些思路。挂钩NtUserFindWindowEx、NtUserGetForegroundWindow、NtUserBuildHwndList、NtUserQueryWindow、NtUserWindowFromPointNtUserSetParentNtUserPostMessage、NtUserMessageCall、NtUserSetWindowL
SSDT挂钩_基于Windows内核的RootKit技术样本
11-27
Windows
利用NtDuplicateObject进行Dump
最新发布
2401_84466225的博客
06-20 969
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。(本文仅用于交流学习)这是国外老哥2020年提出的一种蛮有意思的思路。我们先来看看大致的思路是什么样子的,然后来看看一些需要学习的点。首先我们需要获得调式权限(SeDebugPrivilege)然后我们使用NtQuerySystemInformation生成所有进程打开的所有句柄利用OpenProcess打开句柄,赋予PROCESS_DUP_HANDLE权限。
挂钩SSDT
yaozhu88的专栏
11-16 1982
一、原理篇1.            关于系统服务。系统服务是由操作系统提供一组函数,使得开发者能够通过APIs直接或间接的调用。一个API可以对应一个系统服务,也可以一个API依赖多个系统服务。比如,WriteFile API对应的系统服务是ntoskrnl.exe中的NtWriteFile。系统服务分发属于陷阱分发的范畴,更详细的资料可参考’Windows Internal(4th e
挂钩SSDT详解附源代码
dcsno1的专栏
06-27 760
源代码下载地址:挂钩SSDT源代码     据微软所言,服务描述符表是一个由四个结构组成的数组,其中的每一个结构都是由四个双字项组成。因此,我们可以将服务描述符表表示为: typedef struct ServiceDescriptorTable {       SDE ServiceDescriptor[4]; }SDT; 其中,其中的每一个服务描述符呈现出四个双字的形式,它
关于SSDT
weixin_34356138的博客
09-22 124
百度上比较好的解释是:SSDT的全称是System Services Descriptor Table,系统服务描述符表。这个表就是一个把ring3的Win32 API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。         说白了,SSDT就是把系统两个不同级别的函数给关联起来,因为为了安...
Windows内核新手上路3——挂钩KeUserModeCallBack
gimbow的专栏
09-14 2685
Windows内核新手上路3——挂钩KeUserModeCallBack1.     简介在Windows系统中,提供了几种方式从R0调用位于R3的函数,其中一种方式是KeUserModeCallBack,此函数流程如下:nt!KeUserModeCallback->nt!KiCallUserMode->nt!KiServiceExit->ntdll!KiUserCallbackDispatcher->回调函数-> int2B->nt!KiCallbackReturn-> nt!KeUserModeCall
SSDT.rar_WINDOWS ssdt_hook_ssdt_ssdt hook_windows xp hook ss
09-21
1. **Windows系统服务调用机制**:讲解Windows系统如何通过调用SSDT中的函数来执行内核服务,包括用户模式到内核模式的转换、系统调用号的使用以及相关的系统调用接口。 2. **SSDT(System Service Dispatch Table...
Windows内核编程 文件监控(ssdt hook
u013032601的博客
06-23 3698
本文主要针为进行内核编程的一些初学者提供一些错误,如有错误,希望大家能够指出。         这里先简单介绍一下概念。说到SSDT HOOK,可以从MEP技术说起,MEP(即执行路径修改)主旨就是拦截系统函数或相关处理例程,让它们转向我们自己的函数进行处理,这样就能实现过滤参数或者修改目标函数处理结果的目的。而SSDT(即 系统服务描述符表),主要是将位于Ring3的应用API函数和Ring0
高版本WindowsSSDT函数获取例子完整工程
10-23
Windows10 高版本中 ,因为页表隔离补丁(?),__readmsr(0xC0000082) 返回KiSystemCall64Shadow,这玩意无法直接搜索到 KeServiceDescriptorTable,以前获取SystemServiceDescriptorTable的方法失效。
windows环境提取DSDT/SSDT/ROM工具,AIDA64.zip
07-08
windows环境提取DSDT/SSDT/ROM工具,1.提取DSDT 打开aida64.exe——工具——ACPI浏览器——Save DSDT——选择保存位置保存,把保存好的acpi_dsdt.bin命名为DSDT.aml。 2.提取SSDT 打开aida64.exe——工具——ACPI浏览器——Save Table——前面是SSDT开头的都要保存。保存时候文件名为SSDT.aml/SSDT-1.aml/SSDT-2.aml/SSDT-3.aml/一次类推,保存类型为ALL files(*.*)。 3.显卡rom提取 打开aida64.exe——查看——状态栏——右键状态栏——Video Debug——Video BISO Debug——文件名称随意.rom就可以。保存类型为ALL files(*.*)
windows ssdt
不会写代码的丝丽
01-23 831
我们ring 3跳转ring0另一种方式使用命令。相比起jmp,int xx方式相比速度更快,因为sysenter指令大量的使用了MSR寄存器 存储跳转地址等。MSR寄存器相关读/写命令其中xxx是msr寄存器的编号比如174h等为方便记忆我们约定了一些编号的名字上面上个寄存器就是sysenter指令会涉及的msr寄存器。
挂钩SSDT隐藏进程
小麒麟的书桌
10-22 1553
(本文发表于黑访11期上,请勿转载) 新学期又开始了,一来到学校我口袋的资金剧烈减少,我估计因该和现在轻微的通货膨胀有关(其实是我开学乱花钱花的),没有办法只好也来黑防算是“骗”点钱花了。嘿嘿。最近大家对于ring0级的研究正如当年的注入一样越来越火,认识的朋友似乎张口闭口都是内核,看来这有可能是以后的趋势了,在下不才在此献上一篇文章,算是抛砖引玉。希望以后有更好的文章发表出来。^_^
驱动开发:内核扫描SSDT挂钩状态
CSDN
06-06 8130
在笔者上一篇文章《驱动开发:内核实现SSDT挂钩与摘钩》中介绍了如何对SSDT函数进行Hook挂钩与摘钩的,本章将继续实现一个新功能,如何检测SSDT函数是否挂钩,要实现检测挂钩状态有两种方式,第一种方式则是类似于《驱动开发:摘除InlineHook内核钩子》文章中所演示的通过读取函数的前16个字节与原始字节做对比来判断挂钩状态,另一种方式则是通过对比函数的当前地址与起源地址进行判断,为了提高检测准确性本章将采用两种方式混合检测。
Windows核心编程》之“Windows挂钩”(一)
Sagittarius_Warrior的博客
08-11 2520
Windows核心编程》一书中介绍了一种针对带窗口的Windows应用程序的“DLL注入”的方法——Windows Hook(窗口挂钩)。本系列文章将探讨这种技术的原理和分享我的实验心得。
Windows系统调用学习笔记(四)—— 系统服务表&SSDT
qq_41988448的博客
11-11 2863
Windows系统调用学习笔记(四)—— 系统服务表前言要点回顾系统服务表实验:分析 KiSystemService 与 KiFastCallEntry 共同代码 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 要点回顾 API进入0环后调用的函数: 中断门 – KiSystemService 快速调用 – KiFastCallEnt...
html5 调用 硬件 驱动,Windows系统调用中的系统服务表描述符(SSDT)
weixin_33369252的博客
06-04 545
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.htmlWindows系统调用中的系统服务表描述符(SSDT)在前面,我们将解过 系统服务表。可是,我们有个疑问,系统服务表存储在哪里呢?答案就是:系统服务表 存储在 系统服务描述符表中。(其又称为 SSDT Service Descriptor Table)一、使用PELo...
Windows内核解析:DOS文件名与系统结构
文章中的术语如“描述符”和“Entry”分别指代结构体和表项,而“SSDT”代表基本系统服务表,是Windows内核中调用系统服务的重要机制。 这篇文档提供了深入理解Windows内核、文件系统和内核编程的宝贵资源,对于...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值