SSDT的检测与恢复

最新推荐文章于 2017-06-30 10:28:55 发布
最新推荐文章于 2017-06-30 10:28:55 发布
阅读量1.4k 收藏 2
点赞数
分类专栏: windows底层核心編程 文章标签: exception hook object null struct 工作
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/2841810
版权

为避免检测失效(rootkit惯用的hook,inline hook)一个有效的方法是,我们在进行每一项检测之前都确保自身所使用的函数没有被hook,这样就不得不涉及到ssdt恢复和一些inline hook恢复了.

ssdt是啥?原理之类的网上很多,相信感兴趣的你肯定不缺乏这方面的知识.我这里提供个方便,放个片段,

//枚举SSDT表

typedef struct _tagSSDT {
     PVOID pvSSDTBase;
     PVOID pvServiceCounterTable;
     ULONG ulNumberOfServices;
     PVOID pvParamTableBase;
} SSDT, *PSSDT;

NTSTATUS SSDT_IoCtlDispath( IN PFILE_OBJECT FileObject,
                            IN BOOLEAN Wait, IN PVOID InputBuffer,
                            IN ULONG InputBufferLength,
                            OUT PVOID OutputBuffer,
                            IN ULONG OutputBufferLength,
                            IN ULONG IoControlCode,
                            OUT PIO_STATUS_BLOCK IoStatus,
                            IN PDEVICE_OBJECT DeviceObject )
{
NTSTATUS ntStatus;

IoStatus->Status = STATUS_SUCCESS;
     IoStatus->Information = 0;

     switch ( IoControlCode )
{
case IOCTL_GETSSDT:
         {
             __try
             {
                 ProbeForWrite( OutputBuffer, sizeof( SSDT ), sizeof( ULONG ) );
                 RtlCopyMemory( OutputBuffer, KeServiceDescriptorTable, sizeof( SSDT ) );
             }
             __except ( EXCEPTION_EXECUTE_HANDLER )
             {
                 IoStatus->Status = GetExceptionCode();
             }
         }
         break;
case IOCTL_GETPROC:
         {
             ULONG uIndex = 0;
             PULONG pBase = NULL;

             __try
             {
                 ProbeForRead( InputBuffer, sizeof( ULONG ), sizeof( ULONG ) );
                 ProbeForWrite( OutputBuffer, sizeof( ULONG ), sizeof( ULONG ) );
             }
             __except( EXCEPTION_EXECUTE_HANDLER )
             {
                 IoStatus->Status = GetExceptionCode();
                 break;
             }

             uIndex = *(PULONG)InputBuffer;
             if ( KeServiceDescriptorTable->ulNumberOfServices <= uIndex )
             {
        IoStatus->Status = STATUS_INVALID_PARAMETER;
                 break;
             }
             pBase   = KeServiceDescriptorTable->pvSSDTBase;
             *((PULONG)OutputBuffer) = *( pBase + uIndex );
         }
         break;
default:
   IoStatus->Status = STATUS_INVALID_DEVICE_REQUEST;
   break;
}

     return IoStatus->Status;
}

当前地址通过与原始地址比较,如果不相同则是被hook了.接下来是SSDT全局恢复工作.(当然你也可以有针对性的恢复)

NTSTATUS DispatchDeviceControl(IN PDEVICE_OBJECT   DeviceObject,IN PIRP   pIrp)
{
NTSTATUS status=STATUS_INVALID_DEVICE_REQUEST;
PIO_STACK_LOCATION pIrpStack=IoGetCurrentIrpStackLocation(pIrp);

ULONG uIoControlCode=pIrpStack->Parameters.DeviceIoControl.IoControlCode;
PVOID pInputBuffer= pIrpStack->Parameters.DeviceIoControl.Type3InputBuffer;
PVOID pOutputBuffer=pIrp->UserBuffer;
ULONG uInsize=pIrpStack->Parameters.DeviceIoControl.InputBufferLength;
ULONG uOutsize=pIrpStack->Parameters.DeviceIoControl.OutputBufferLength;
switch(uIoControlCode)
{
case IOCTL_SETPROC:
{
   ULONG uIndex = 0;
   PULONG pBase = NULL;

   __try
   {
    ProbeForRead( pInputBuffer, sizeof( ULONG ), sizeof( ULONG ) );
    ProbeForWrite( pOutputBuffer, sizeof( ULONG ), sizeof( ULONG ) );
   }
   __except( EXCEPTION_EXECUTE_HANDLER )
   {
    status= GetExceptionCode();
    break;
   }


   uIndex = *(PULONG)pInputBuffer;
   if ( KeServiceDescriptorTable->ulNumberOfServices <= uIndex )
   {
    status= STATUS_INVALID_PARAMETER;
    break;
   }
  
   pBase   = KeServiceDescriptorTable->pvSSDTBase;

   DbgPrint("0x%x 0x%x",uIndex,*((PULONG)pOutputBuffer));
   __asm
   {//关中断
              cli
    mov eax,cr0
    and eax,~0x10000
    mov cr0,eax
   }
   *( pBase + uIndex )=*((PULONG)pOutputBuffer);
   __asm
   {//开中断
    mov   eax,cr0
    or    eax,0x10000
    mov   cr0,eax
    sti
   }
  
   status=STATUS_SUCCESS;
}
break;
default:
   break;
}
if(status==STATUS_SUCCESS)
pIrp->IoStatus.Information=uOutsize;
else
pIrp->IoStatus.Information=0;

pIrp->IoStatus.Status=status;
IoCompleteRequest(pIrp,IO_NO_INCREMENT);
return status;
}

iiprogram
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SSDT HOOK
weixin_45678798的博客
07-19 184
SSDThook
ring3恢复SSDTHOOK(易语言ssdthook恢复工具)V1.0.0绿色免费版
08-05
ring3恢复SSDT HOOK(易语言ssdt hook恢复工具)是一款易语言源码恢复辅助工具。他可以基于ring3恢复SSDTHOOK,一款很专业的工具。使用ZwSystemDebugControl,可以在ring3下读写内核空间虚拟内存,但是XP以上系统貌似就不支持写内核了,还有NtSystemDebugControl被SSDT HOOK之后也无法写进内核,有需要的朋友来下载ring3恢复S
检测恢复SSDT HOOK,INLINE SSDT HOOK
lionzl的专栏
05-06 1302
检测恢复SSDT HOOK,INLINE SSDT HOOK2008-09-25 来源:梦飞鸟( 投递新闻稿件 )<!--google_ad_client = "pub-3730291377033254";google_ad_slot = "7307761760";google_ad_width = 336;google_ad_height = 2
浅谈HookSSDT和和Resume(恢复)SSDT
weixin_34365417的博客
04-06 640
  最近在学HookSSDT和针对Hook的ResumeSSDT,避免自己理解有所偏差,把它们写出来,希望大家不吝赐教。(虽然已经是过时了的技术,但是最起码了解其中的原理,嘿嘿嘿。)   转载注明出处:http://www.cnblogs.com/littlepear/p/6664637.html 一 HookSSDT:   我们以Hook NtOpenProcess函数为例。首先...
遍历SSDT检测是否被hook
04-03 2803
此方法只是遍历SSDT,判断是否在ntkrnlpa.exe模块里面。也就是寻找SSDT导出NT函数的原始地址。此方法不适合检测 inline Hook。 typedef struct _SYSTEM_MODULE_INFORMATION { ULONG Reserved[2]; PVOID Base; ULONG Size; ULONG Flags; USHORT Index
易语言源码易语言恢复SSDT驱动源码.rar
03-31
3. SSDT检测:源码需要检查哪些SSDT条目被hook,通常通过比较备份的SSDT和当前SSDT的差异来完成。 4. SSDT恢复:找到被hook的条目后,源码会替换它们,使系统服务指向原来的系统函数,而不是hook函数。 5. 错误...
易语言Shadow ssdt HOOK恢复
05-19
易语言的"Shadow SSDT HOOK恢复"可能是指编写的一种工具或技术,用于检测和修复被HOOK的SSDT,使系统服务恢复正常运行。这通常涉及到对内存的扫描、函数指针的验证以及可能的HOOK点解除等步骤。开发者可能需要深入...
仿游戏检测恢复SSDT Hook
08-24
6. **逆向工程与对抗**:由于SSDT Hook可以被逆向工程师检测到,游戏开发者也需要不断更新和优化他们的检测机制,以防止被逆向分析和绕过。 7. **SDK设计**:一个良好的HOOKSSDK应该提供易于使用的API,清晰的文档...
SSDT 恢复工具 ...
01-21
3. **恢复SSDT**:如果检测到篡改,工具会使用备份的SSDT信息来恢复被修改的条目,恢复系统服务的正常调用路径。 4. **报告和日志**:生成详细的报告,记录下扫描和恢复过程,帮助分析系统状态和问题。 使用WDK ...
易语言恢复SSDT驱动源码-易语言
06-13
6. **安全与稳定性**:由于SSDT恢复驱动涉及到系统核心层面的操作,必须保证代码的正确性和安全性,避免引起系统崩溃或不稳定。 在学习易语言恢复SSDT驱动源码的过程中,需要深入理解Windows内核的工作原理,同时...
无驱动恢复SSDT代码
02-09
无驱动恢复SSDT 无驱动恢复SSDT 无驱动恢复SSDT 无驱动恢复SSDT
绕过安全软件挂钩SSDT检测
sgzwiz的专栏
01-03 1394
很多安全软件都靠挂钩SSDT中的函数来检测恶意代码,就拿卡巴举例吧,他挂了NtCreateKey来检测注册表的创 建,NtCreateThread和NtResumeThread/NtWriteVirtualMemory来检测远程注入, 等等,这些钩子让我们后 期的动作很可能暴露,怎么样才能为所欲为呢? 我这里提一种方案: 1. 首先在用户态读取NTOSKRNL.EXE,找出原始的SSDT的位置
查看SSDTHOOK其修改
trents的专栏
02-29 1509
#define SYSTEMSERVICE(_function) KeServiceDescriptorTable.ServiceTableBase[ *(PULONG)((PUCHAR)_function+1)] typedef unsigned long DWORD; typedef unsigned long *PDWORD; typedef unsigned short WORD;
SSDT方法恢复冒险岛的部分函数
liujiayu2的专栏
06-30 1281
看了那么多文章、视频,现在自己跟着做下恢复的驱动程序吧。今天拿冒险岛的HS驱动做为例子吧。冒险岛游戏对Xuetr进行检测了,打开XueTr不久就会游戏发现非法模块,最终游戏关闭。就拿上了一款叫Kernel Detective的ARK工具进行检测冒险岛的驱动吧。   因为Kernel Detective这款工具不能检测到有任何SSDT函数的挂钩,而使用一般的打开进程工具却不能打开它的进程,可知
Windows内核API HOOK 之 Inline Hook
daiwen的专栏
04-18 1382
名字起得好,Inline hook,乍一听,似乎很高深。此处的Inline,我以为,意指将汇编代码直接写入内核API的内存区域。Inline Hook不像用户态Hook或SSDT hook(用C语言就足够),它需要在程序中嵌入汇编代码(Inline Assembly)以操作堆栈和执行内核API对应的部分汇编指令。当然,这些都须以驱动的形式进行。所谓API Hook,就是用自己写的函数去替代系统AP
ssdt 入门
zhuerhua的专栏
06-01 740
<br />SSDT入门<br />  <br /><br />下载 (22.7 KB)<br /><br />2010-5-2 11:15<br />【图System Module Dependencies】揭示了系统各模块之间的依赖关系(有所简化)<br /><br /><br /><br />从图中可以看出,所有的Win32 API调用最后都转移到了ntdll.dll,而ntdll.dll又将其转移到了ntoskrnl.exe。ntdll.dll是一个操作系统组件,它 为Native API准确地提供
Windos 7 SYSTEM CALLS (WINDOWS SSDT)
pengyc的专栏
11-27 1673
Windos 7  SYSTEM CALLS   83aab6f0  83c9c0cb nt!NtAcceptConnectPort83aab6f4  83af522b nt!NtAccessCheck83aab6f8  83c47e4e nt!NtAccessCheckAndAuditAlarm83aab6fc  83a606e1 nt!NtAccessCheckByTy
闲着无事-IopInvalidDeviceRequest
svtanto的专栏
05-25 1835
 ;看看IopInvalidDeviceRequest的实现;有符号表的情况下,在Windbg的命令窗口输入:u nt!IopInvalidDeviceRequest;因为是默认的IRP处理例程,可以猜到例程的参数定义:;NTSTATUS IopInvalidDeviceRequest(;    IN PDEVICE_OBJECT DeviceObject,;    I
SSDT与SQL如何进行连接
最新发布
05-30
要将SSDT与SQL Server连接,可以按照以下步骤操作: 1. 打开SSDT,选择“连接到数据库引擎”选项。 2. 输入SQL Server实例名称和登录凭据,然后单击“连接”按钮。 3. 如果连接成功,SSDT将显示数据库对象资源管理...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值