2.ring0-新建SSDT项进行通讯(随手代码)

最新推荐文章于 2018-10-08 19:27:06 发布
最新推荐文章于 2018-10-08 19:27:06 发布
阅读量1.8k 收藏
点赞数
分类专栏: 安全 (ring0) 文章标签: triggers reference
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hgy413/article/details/7107009
版权

以下仅针对32位系统,在XP下测试:
以下是XP在ring3的调用方式:

// xp
ntdll!NtReadFile:
7c92d9b0 b8b7000000	  mov	 eax,0B7h
7c92d9b5 ba0003fe7f	  mov	 edx,offset SharedUserData!SystemCallStub (7ffe0300)
7c92d9ba ff12			call	dword ptr [edx]	  ds:0023:7ffe0300={ntdll!KiFastSystemCall (7c92e4f0)}
7c92d9bc c22400		  ret	 24h
7c92d9bf 90			  nop
 
 
ntdll!KiFastSystemCall:
7c92e4f0 8bd4			mov	 edx,esp
7c92e4f2 0f34			sysenter
所以原理也比较简单了,仿写即可,注意SSDT要去掉写保护!
ring3: 

#include "stdafx.h"
#include <Windows.h>
 
__declspec(naked) void MyKiFastSystemCall()
{
	__asm
	{
		mov  edx,esp;
		__emit 0x0f;
		__emit 0x34;
	}
};
 
__declspec(naked) NTSTATUS NTAPI
	IOSystemControl(
	IN ULONG IoCtrl,
	IN PVOID InputBuf,
	IN ULONG InputBufLen,
	OUT PVOID OutputBuf,
	IN ULONG OutputLen,
	OUT PULONG ReturnLen)
{
		__asm
		{
			mov eax, 11Ch;
			call MyKiFastSystemCall
			retn 0x18;
		}
}
 
int _tmain(int argc, _TCHAR* argv[])
{
	char szBuf[100] = {0};
	ULONG outlen = 0;
	IOSystemControl(0x12345678,"hgy413",strlen("hgy413"),szBuf,99,&outlen);
	printf("%s-%d\n",szBuf, outlen);
 
	getchar();
	return 0;
}
ring0: 

#include "main.h"
// def
typedef struct _KSERVICE_TABLE_DESCRIPTOR
{
	PULONG ServiceTableBase;//SSTD基地址
	PULONG Count;				//包含着 SSDT 中每个服务被调用次数的计数器。这个计数器一般由sysenter 更新
	ULONG TableSize;			//由 ServiceTableBase 描述的服务的数目
	PUCHAR ArgumentTable;		//包含每个系统服务参数字节数表的基地址-系统服务参数表 每个表项是一个UCHAR,表示一个函数参数长度
} KSERVICE_TABLE_DESCRIPTOR, *PKSERVICE_TABLE_DESCRIPTOR;
 
//ssdt表已经导出了,这里例行公事下
extern PKSERVICE_TABLE_DESCRIPTOR KeServiceDescriptorTable;
KSERVICE_TABLE_DESCRIPTOR ssdt_copy;
ULONG NewSsdtServiceTableBase[1024] = {0};
UCHAR NewSsdtServiceTableNumber[1024] = {0};
 
NTSTATUS
IoSystemControl(IN ULONG ControlCode,
					 IN PVOID InputBuffer OPTIONAL,
					 IN ULONG InputBufferLength,
					 OUT PVOID OutputBuffer OPTIONAL,
					 IN ULONG OutputBufferLength,
					 OUT PULONG ReturnLength OPTIONAL
					 )
{
	NTSTATUS Status = STATUS_SUCCESS;
 
	if (OutputBuffer&&MmIsAddressValid(OutputBuffer))
	{
		KdPrint(("%s\r\n",InputBuffer));
		memset(OutputBuffer, 0x41, OutputBufferLength);//传出buf变为AAAAA...
		if (ReturnLength&& MmIsAddressValid(ReturnLength))
		{
			*ReturnLength = 10; //传出size随便设置为10
		}
	}
	return Status;
}
 
 
void  NtosAddSsdtServiceTable(
							  PVOID NewFunction,
							  ULONG NewNumber
							  )
{
	NTSTATUS Status = STATUS_SUCCESS;
	PEPROCESS Process;
 
	//禁止写保护,不然蓝屏
	__asm
	{
		MOV	EAX, CR0;
		OR	EAX, 10000H;
		MOV	CR0, EAX;
		STI;
	}
 
	//复制原始服务表
	//把原始表复制到我们的数组
	memcpy(
		NewSsdtServiceTableBase,
		KeServiceDescriptorTable->ServiceTableBase,
		KeServiceDescriptorTable->TableSize * 4
		);
 
	//原始函数个数
	memcpy(
		NewSsdtServiceTableNumber,
		KeServiceDescriptorTable->ArgumentTable,
		KeServiceDescriptorTable->TableSize
		);
 
	//修改SSDT表添加服务函数
	NewSsdtServiceTableBase[ssdt_copy.TableSize] = NewFunction;
	NewSsdtServiceTableNumber[ssdt_copy.TableSize] = NewNumber;
 
	//更新内存里面导出 KeServiceDescriptorTable Ssdt 表
	KeServiceDescriptorTable->ServiceTableBase = NewSsdtServiceTableBase;
	KeServiceDescriptorTable->ArgumentTable = NewSsdtServiceTableNumber;
	KeServiceDescriptorTable->TableSize = ssdt_copy.TableSize + 1;
 
	//恢复写保护
	__asm
	{
		MOV	EAX, CR0;
		OR	EAX, 10000H;
		MOV	CR0, EAX;
		STI;
	}
}
 
VOID DDKUnload (IN PDRIVER_OBJECT pDriverObject)
{
	KdPrint(("[DDKUnload]-start\n"));
 
	//恢复原始的
	KeServiceDescriptorTable->ServiceTableBase = ssdt_copy.ServiceTableBase;
	KeServiceDescriptorTable->Count = ssdt_copy.Count;
	KeServiceDescriptorTable->TableSize = ssdt_copy.TableSize;
	KeServiceDescriptorTable->ArgumentTable = ssdt_copy.ArgumentTable;
 
	KdPrint(("[DDKUnload]-end\n"));
}
 
NTSTATUS DriverEntry (IN PDRIVER_OBJECT pDriverObject,
					  IN PUNICODE_STRING pRegistryPath)
{
	KdPrint(("[DriverEntry]-start\n"));
	pDriverObject->DriverUnload = DDKUnload;
 
	// 保存原始的
	ssdt_copy.ServiceTableBase = KeServiceDescriptorTable->ServiceTableBase;
	ssdt_copy.Count = KeServiceDescriptorTable->Count;
	ssdt_copy.TableSize = KeServiceDescriptorTable->TableSize;
	ssdt_copy.ArgumentTable = KeServiceDescriptorTable->ArgumentTable;
 
	//我们调用自定义函数,往SSDT表添加内存
	NtosAddSsdtServiceTable(IoSystemControl, 24);
 
	KdPrint(("[DriverEntry]-end\n"));
	return STATUS_SUCCESS;
}
在驱动加载后,可以看到:

运行ring3小程序,可以看到outbuf为AAAAA..,大小为10:






花熊
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
如何SSDT执行报表服务(2):创建配置报表
qq_31051149的博客
08-27 1295
如何SSDT执行报表服务(2):创建配置报表使用Sql Server Data Tools For Visual Studio(SSDT)创建报表并上传1使用SSDT将数据库里面的数据制作成报表,请大家参考微软的官方教程:); https://technet.microsoft.com/zh-cn/library/ms167305(v=sql.110).aspx *注意使用管理员权限打开SS
用户层下API的逆向分析及重构
hongduilanjun的博客
03-10 951
Windows所提供给R3环的API,实质就是对操作系统接口的封装,其实现部分都是在R0实现的。很多恶意程序会利用钩子来钩取这些API,从而达到截取内容,修改数据的意图。现在我们使用ollydbg对ReadProcessMemory进行跟踪分析,查看其在R3的实现。 测试 od 我们首先在od里面跟一下在ring3层ReadProcessMemory的调用过程 首先在 exe 中 调用 kernel32.ReadProcessMemory函数,我们可以看到这一部分主要是call dword ptr ds:
简单说说SSDT
06-25 2820
Author: 云舒http://www.ph4nt0m.orgDate: 2007-06-11论技术,我还差得远,而且网上关于SSDT的文章也多不胜数。但是还是想自己写一下,因为我想试试我能不能用最简单的语言来描述SSDT——这个对一般来人来说比较神秘的属于内核的地带。引用EVA说的一句话,“以为写个驱动就是内核,还远着了”——大概是这么个意思,记得不是很清楚。关于SSDT,描述得最清楚的应
绕过所有用户层HOOK
crkres9527
10-08 1006
A、分析API函数原理    B、自写API函数    C、SYSENTER指令    D、硬编码_emit    E、模拟FindWindow函数    PUNICODE_STRING MOV EAX,117A 7C92E510 &gt;  8BD4            MOV EDX,ESP 7C92E512    0F34            SYSENTER   ...
SSDT.rar_ring0_ssdt
最新发布
09-22
标题“SSDT.rar_ring0_ssdt”暗示了我们正在探讨SSDT在Ring0(内核模式)和Ring3(用户模式)之间的交互。 **一、SSDT简介** SSDT是一个数据结构,它存储了所有系统服务的入口点,这些服务由Windows内核提供,供...
SSDT.rar_SSDT-HOOK_ssdt
09-19
3. **安装钩子函数**:将自定义的服务处理函数(即钩子函数)的地址写入SSDT中对应的服务,这样当调用该服务时,会先执行钩子函数。 4. **处理钩子**:在钩子函数中,可以添加自定义逻辑,如记录日志、修改参数、...
RING0.rar_ring0_ring0 c++_ssdt_进程 隐藏 检测_隐藏进程
07-14
综上所述,"RING0.rar"可能包含了一个C++编写的示例代码,该代码展示了如何在Ring0级别检测和应对通过Hook SSDT进行进程隐藏的恶意行为。这对于系统安全研究和防御恶意软件具有很高的价值,尤其是对于XP和2000这样的...
SSDT.rar_4078_SSDT-HACK_rights
09-20
SSDT恢复的程序源 参考调试信息: Linking f:\driver\3 directory ******************** nmake.exe /c BUILDMSG=Stop. -i LINKONLY=1 NOPASS0=1 NTTEST= UMTEST= 386=1 link -out:.\i386\DrvTest.sys -machine:...
【教程】修复常见ACPI问题(DSDT等)
月朗星稀
04-16 5万+
参考文章: http://forums.gentoo.org/viewtopic.php?t=122145 http://bbs.gter.net/bbs/viewthread.php?tid=1093610   说明:这篇文章写于2004年,作者主要是针对Linux内核进行一些DSDT相关修复,但文章内容对于理解DSDT非常有益,这里翻译DSDT相关的内容,供参考。内容上有一些删减和增添
SQL Server Data Tools(SSDT) 安装
Larry's blog
07-07 3万+
SQL Server Data Tools(SSDT) 曾叫做Business Intelligence Development Studio(BIDS),是开发人员所需要的开发环境。它为SSIS,SSAS,SSRS的商业智能目提供了可视的设计界面。从SQL Server 2014版本开始,该环境不再包含在SQL Server的安装包内,需要另行安装。 1.下载SSDT安装程序
ring3 恢复SSDT
KernelEx的专栏
08-19 1742
// IATHOOK.cpp : Defines the entry point for the console application.//#include "stdafx.h"#include #include #include #include #include #include using namespace std;#define STATUS_S
实验3正篇——用户进程
yiye_01的专栏
11-20 1094
进入实验3的实验过程了,在实验2中我们实现了操作系统基本模块的内存管理部分,然后需要实现的部分就是进程管理的部分了。而对于进程管理实验其实分为两个实验——实验3与实验4,实现集中在创建进程,而实验4则集中于调度进程。从硬件接口的观点来看,本实验是对处理器中断机制进行封装,然后以此为基础,实现用户进程的创建与操作系统的交互。     本实验的主要任务是实现一个保护模式下的用户模
任意用户模式下执行 ring 0 代码
Rprop
05-03 2672
<br />        众所周知在非 Admin 用户模式下,是不允许加载驱动执行 RING 0 代码的。<br /> 本文提供了一种方法,通过修改系统 GDT,IDT 来添加自己的 CALLGATE 和<br /> INTGATE 这样便在系统中设置了一个后门。我们就可以利用这个后门<br /> 在任意用户模式下执行 ring 0 代码了。为了保证我们添加的 CALLGATE 和 INT<br /> GATE 永久性。可以在第一次安装时利用 SERVICE API 或 INF 文件设置成随<br />
使用补丁修改DSDT/SSDT [DSDT/SSDT综合教程]
热门推荐
wangmj518的专栏
02-26 9万+
请尊重原贴作者 与 本贴楼主。原作者把自己丰富的经验分享给了大家,本贴作者每个贴子平均花了3个小时翻译。       所以,转载请注明出处: 原贴地址:http://www.tonymacx86.com/yosemite-laptop-support/152573-guide-patching-laptop-dsdt-ssdts.html 本贴地址:http://bbs.pcbeta.c
简单易懂的SSDT学习心得
fsjaky的专栏
04-14 3035
在这篇心得开始,说点其他的。之前参加百度校园招聘的时候,面试官问我什么是SSDT,已经HOOK SSDT的实现过程。自己明明知道,可是我一下答上来,所以我找出来以前学习的心得,贴出来,好备份吧!我这篇心得呢!是代码与文字一起加载在一起的,学习就想读书的时候一样,书看到哪里笔记就做到哪里。这样方便理解。如果代价复制黏贴来学,不会影响的,一边看代码一边看笔记哟!其实我平时写代码不是这样的……都是规范化
如何找SSDT中精准的
weixin_34235135的博客
08-24 214
2019独角兽企业重金招聘Python工程师标准>>> ...
NtMapViewOfSection注入
weixin_30800987的博客
07-29 376
新的注入方式:利用一个未公开函数NtMapViewOfSection在远程进程地址空间写入代码,并且用一种新的技术在远程进程中执行它,这种技术完全工作在用户模式下,并且不需要特殊的条件比如像管理员权限或者之类的要求 #define _WIN32_WINNT 0x0400 #include <windows.h> typedef LONG NTSTATUS, *PN...
Windows下Ring0级进程保护组件:SSDT HOOK技术实现
"基于SSDT HOOK 技术的Ring0级进程保护组件设计与实现" 在Windows操作系统中,实现进程保护通常需要深入到系统的核心层,即Ring0级别。这篇文档详细介绍了如何利用SSDT(System Service Descriptor Table,系统服务...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值