SSDT Hook底层原理介绍以及如何实现进程保护

于 2020-12-03 20:34:24 发布
阅读量927 收藏 7
点赞数 1
文章标签: hook ssdt hook windows mfc 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/linuxguitu/article/details/110563892
版权

目录

  1. SSDT Hook效果图
  2. SSDT简介
  3. SSDT结构
  4. SSDT HOOK原理
  5. Hook前准备
  6. 如何获得SSDT中函数的地址呢
  7. SSDT Hook流程
  8. SSDT Hook实现进程保护

SSDT Hook效果图

加载驱动并成功Hook  NtTerminateProcess函数:

当对 指定的进程进行保护后,尝试使用“任务管理器”结束进程的时候,会弹出“拒绝访问”的窗口,说明,我们的目的已经达到:

SSDT简介

SSDT 的全称是 System Services Descriptor Table,系统服务描述符表。

 

这个表就是一个把 Ring3 的 Win32 API 和 Ring0 的内核 API 联系起来。

SSDT 并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。

通过修改此表的函数地址可以对常用 Windows 函数及 API 进行 Hook,从而实现对一些关心的系统动作进行过滤、监控的目的。

一些 HIPS、防毒软件、系统监控、注册表监控软件往往会采用此接口来实现自己的监控模块。

 

SSDT结构

SSDT即系统服务描述符表,它的结构如下(参考《Undocument Windows 2000 Secretes》第二章):

 

// KSYSTEM_SERVICE_TABLE 和 KSERVICE_TABLE_DESCRIPTOR
// 用来定义 SSDT 结构
typedef struct _KSYSTEM_SERVICE_TABLE
{
    PULONG  ServiceTableBase;                               // SSDT (System Service Dispatch Table)的基地址
    PULONG  ServiceCounterTableBase;                        // 用于 checked builds, 包含 SSDT 中每个服务被调用的次数
    ULONG   NumberOfService;                                // 服务函数的个数, NumberOfService * 4 就是整个地址表的大小
    ULONG   ParamTableBase;                                 // SSPT(System Service Parameter Table)的基地址
} KSYSTEM_SERVICE_TABLE, *PKSYSTEM_SERVICE_TABLE;

typedef struct _KSERVICE_TABLE_DESCRIPTOR
{
    KSYSTEM_SERVICE_TABLE   ntoskrnl;                       // ntoskrnl.exe 的服务函数
    KSYSTEM_SERVICE_TABLE   win32k;                         // win32k.sys 的服务函数(GDI32.dll/User32.dll 的内核支持)
    KSYSTEM_SERVICE_TABLE   notUsed1;
    KSYSTEM_SERVICE_TABLE   notUsed2;
}KSERVICE_TABLE_DESCRIPTOR, *PKSERVICE_TABLE_DESCRIPTOR;

 

    内核中有两个系统服务描述符表,一个是KeServiceDescriptorTable(由ntoskrnl.exe导出),一个是KeServieDescriptorTableShadow(没有导出)。

    两者的区别是

最低0.47元/天 解锁文章
linuxguitu
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
守护进程原理
心路历程
04-22 2417
守护进程原理:(1)             在Client/Server模式下。服务器监听(Listen)在一个特定的端口上等待客户连接。连接成功后服务器和客户端通过端口进行数据通信。守护进程的工作就是打开一个端口,并且等待(Listen)进入连接。如果客户端产生一个连接请求,守护进程就创建(Fork)一个子服务器响应这个连接,而主服务器继续监听其他的服务请求。(2)       
进程保护器(HOOK
08-27
进程保护器(HOOK)VC PE HOOK
SSDTHook原理
谢绝留言与私信
02-08 823
前言分析了一个cm, cm中释放了一个驱动, 进行了SSDTHook, 用于保护cm. IDA的伪码翻译的真渣, 直接编译都过不了(已经将数据类型改对了), 翻译的和反汇编代码也有点对不上, 从反汇编开始自己翻译. 从反汇编层面看SSDTHook时, 先复习一下SSDT原理, 用Windbg做下试验.记录 /** // SSDT原理 // 假设要Hook ZwQu
SSDT HOOK实现进程保护
风随影动的专栏
07-14 1502
<br />转自灰狐<br />http://nokyo.blogbus.com/logs/35320995.html<br /><br />SSDT HOOK已经是很老的技术了,但对新手来说还是有一些嚼头的。根据常规的做法,我们应该挂钩 ZwTerminateProcess函数,不过这个函数仅有两个参数,其中一个是进程句柄,它指定了需要被结束的进程。<br />由于我们不能直接从进程句柄获取有关进程的一些信息,这就使得一些“懒惰”的家伙尝试找一些捷径。由 于要想获得句柄通常都需要首先调用ZwOpenP
进程处理之进程保护
Huaerge的专栏
05-30 1965
<br /> <br />思路:查询当前系统中运行的进程的快照,如果欲保护进程在快照中则表示进程处于运行状态,如果欲保护进程不在快照中,则启动进程。<br />步骤:<br />  创建线程函数<br />{<br />  检查进程是否运行<br />  若未运行启用进程<br />}<br /> <br />步骤一:<br /> <br />检查某进程是否处于运行状态,实现代码如下:<br />运行:返回1<br />未运行或加载toolhelp.dll失败:返回-1<br />int DetectPr
守护进程
大概只有风丶
05-16 339
一.简 我们常用的进程一般分为三类:<1>交互进程 <2>批处理进程<3>守护进程。守护进程(Daemon)是一种运行在后台的一种特殊的进程。指的是在UNIX或其他多任务操作系统中在后台执行的电脑程序,并不会接受电脑用户的直接操控。此类程序会被以进程的形式初始化。它常常在系统启动时开始运行,在系统关闭时终止。 在linux/linux中,每个系统与用户进行交流...
SSDThook 原理 教程源码
01-25
2. 保护机制:Windows系统有保护机制防止非法修改SSDT,因此在进行hook时,需要处理好内存保护标志,确保操作的安全性。 3. IRQL问题:由于SSDT在高IRQL级别下也可能被访问,因此在hook时要考虑IRQL的兼容性,确保...
ring0 ssdt rootkit hook隐藏服务进程 隐藏端口.zip
01-24
"驱动 ssdt Hook 系统服务隐藏端口、隐藏进程的源代码"则可能提供了实际的驱动级代码,用于实现SSDT Hook,隐藏进程和服务以及端口。这类源代码的学习可以帮助开发者了解Rootkit的工作方式,并有助于开发反恶意软件...
SSDT.rar_WINDOWS ssdt_hook_ssdt_ssdt hook_windows xp hook ss
09-21
3. **Hook SSDT技术**:如何找到SSDT表在内存中的位置,替换其中的函数指针,以及设置钩子函数来拦截和控制特定的系统服务调用。 4. **Hook技术原理**:讨论钩子函数的工作方式,包括如何捕获调用、修改参数、...
SSDTHook源代码
10-09
SSDTHook源代码是一个关于进程隐藏...通过理解和分析SSDTHook源代码,开发者可以学习到进程隐藏和防杀的实现原理,但需要注意的是,这些技术也可能被滥用,用于恶意目的。因此,研究此类技术时应保持合法和道德的界限。
ring3恢复SSDTHOOK(易语言ssdthook恢复工具)V1.0.0绿色免费版
08-05
ring3恢复SSDT HOOK(易语言ssdt hook恢复工具)是一款易语言源码恢复辅助工具。他可以基于ring3恢复SSDTHOOK,一款很专业的工具。使用ZwSystemDebugControl,可以在ring3下读写内核空间虚拟内存,但是XP以上系统貌似就不支持写内核了,还有NtSystemDebugControl被SSDT HOOK之后也无法写进内核,有需要的朋友来下载ring3恢复S
易语言Shadow ssdt HOOK恢复
05-19
易语言Shadow ssdt HOOK恢复
易语言ssdthook恢复源码
10-29
易语言ssdthook恢复源码,易语言中级源码很不错可以恢复游戏的钩子
易语言SSDTHOOK驱动源码
01-14
易语言驱动开发OpenProcess SSTD HOOK驱动部分源码
ssdthook-hook
11-27
ssdthook
SSDT Hook技术详解与应用
flydragonhero的专栏
03-10 6375
SSDT Hook技术详解与应用SSDT Hook技术详解与应用 一SSDT 1什么是SSDT 2SSDT结构 3应用层调用 Win32 API 的完整执行流程 二SSDT Hook原理 1SSDT Hook原理 2进程隐藏与保护 3文件隐藏与保护 4端口隐藏一、SSDT1、什么是SSDTSSDT 的全称是 System Services Descriptor Table,系统服
进程实现原理
Demon-初来驾到
02-08 3413
引文:进程是操作系统最重要的基础知识之一,本文基于linux 0.11内核,重点进程实现原理以及分析进程间的调度问题。 problem: Linux内核是如何初始化操作系统,并开始运行第一个程序呢? 我们都知道,系统启动过程为:bootsect.s —>setup.s —>head.s。姑且不去讨论这些汇编源程序的功能,假设操作系统的pc指正已经运行到了head.s 处的部
SSDT Hook 实现
心之所向,身之所往
01-05 736
进程隐藏与进程保护SSDT Hook 实现)(一) http://www.cnblogs.com/BoyXiao/archive/2011/09/03/2164574.html
SSDTHook实例--编写稳定的Hook过滤函数
Fly20141201. 的专栏
07-04 3144
讲解如何写Hook过滤函数,比如NewZwOpenProcess。打开进程。很多游戏保护都会对这个函数进行Hook。由于我们没有游戏保护的代码,无法得知游戏公司是如何编写这个过滤函数。   我看到很多奇形怪状的Hook过滤函数的写法。看得蛋痛无比。比如: http://bbs.pediy.com/showthread.php?t=126802 http://bbs.pediy.com/sh
Vt hook ssdt
最新发布
12-31
Vt hook ssdt是一种技术,用于在操作系统内核中拦截和修改系统服务调用。通过Vt(Virtualization Technology)技术,可以在操作系统运行时对系统服务进行动态修改,从而实现对系统行为的控制和修改。 以下是一个Vt ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值