Win64 Driver开发问题记录(二)

最新推荐文章于 2021-07-06 19:09:54 发布
最新推荐文章于 2021-07-06 19:09:54 发布
阅读量3.4k 收藏 2
点赞数
分类专栏: Windows Kernel 文章标签: c hook patch 测试 工作
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nevil/article/details/7719570
版权

Win64 driver开发中遇到的第二个问题是如何通过SSDT表引用系统服务内核函数。

MS在64系统中引入了全新的PatchGuard技术,使得原本在32位下可轻易hook的SSDT表在64位系统中无法再patch(会引发BSOD).

当然,目前我并非是要hook SSDT表,而是需要使用到SSDT表中的一个未导出的系统服务内核函数。在32位driver中可以通过extern "C" 外部声明来直接获得SSDT表KeServiceDescriptorTable的引用。在64位driver下虽然KeServiceDescriptorTable仍然被ntoskrnl.exe导出,但驱动程序已无法通过extern “C"外部声明来获得。因此目前的做法只能是通过特征码搜索找出KeServiceDescriptorTable的地址。

 

KiSystemServiceRepeat()函数对于KeServiceDe  script  orTable有直接的引用(win7 64为例)

nt!KiSystemServiceRepeat:
fffff800`0268eff2 4c8d1547782300  lea     r10,[nt!KeServiceDescriptorTable (fffff800`028c6840)]
fffff800`0268eff9 4c8d1d80782300  lea     r11,[nt!KeServiceDescriptorTableShadow (fffff800`028c6880)]


然而KiSystemServiceRepeat()本身就是一个未导出函数,要找到KiSystemServiceRepeat()本身就不是一件容易的事。因此目前方法采用了通过另一个导出函数KeAddSystemServiceTable()来搜索KeServiceDescriptorTable的地址, 导出函数地址可以通过MmGetSystemRoutineAddress()来获得

 

[WINXP 32]
nt!KeAddSystemServiceTable+0xb:
805a1319 8b4518          mov     eax,dword ptr [ebp+18h]
805a131c c1e004          shl     eax,4
805a131f 83b800c7558000  cmp     dword ptr nt!KeServiceDescriptorTable (8055c700)[eax],0
805a1326 7551            jne     nt!KeAddSystemServiceTable+0x6b (805a1379)

nt!KeAddSystemServiceTable+0x1a:
805a1328 8d88c0c65580    lea     ecx,nt!KeServiceDescriptorTableShadow (8055c6c0)[eax]
805a132e 833900          cmp     dword ptr [ecx],0

 

[WIN7 64]

nt!KeAddSystemServiceTable+0x9:
fffff800`02a00cd9 4c8bd0          mov     r10,rax
fffff800`02a00cdc 4c8d1d1dd3c1ff  lea     r11,[nt!MmIsSessionAddress <PERF> (nt+0x0) (fffff800`0261e000)]
fffff800`02a00ce3 49c1e205        shl     r10,5
fffff800`02a00ce7 4b83bc1a40882a0000 cmp   qword ptr [r10+r11+2A8840h],0
fffff800`02a00cf0 7553            jne     nt!KeAddSystemServiceTable+0x75 (fffff800`02a00d45)

nt!KeAddSystemServiceTable+0x22:
fffff800`02a00cf2 4b83bc1a80882a0000 cmp   qword ptr [r10+r11+2A8880h],0

 

对比32位系统,可以发现该函数会判断KeServiceDescriptorTable是否为0. 在win7 64位下KeServiceDescriptorTable地址其实隐藏在如下两条指令中

fffff800`02a00cdc 4c8d1d1dd3c1ff  lea     r11,[nt!MmIsSessionAddress <PERF> (nt+0x0) (fffff800`0261e000)]
fffff800`02a00ce7 4b83bc1a40882a0000 cmp   qword ptr [r10+r11+2A8840h],0


查询Intel® 64 and IA-32 Architectures Software Developer's Manual,解释如下两条指令:

 

fffff800`02a00cdc 4c8d1d1dd3c1ff  lea     r11,[nt!MmIsSessionAddress <PERF> (nt+0x0) (fffff800`0261e000)]

LEA – Load Effective Address
in qwordregister 0100 1RXB : 1000 1101 : modA qwordreg r/m

                                 4        c         8        d               1d                1dd3c1ff

计算出基地址是EIP+ff3c1d=fffff800`02a00ce3+ffc1d31d=fffff800`0261e000

 

fffff800`02a00ce7 4b83bc1a40882a0000 cmp   qword ptr [r10+r11+2A8840h],0

CMP – Compare Two Operands
immediate8 with memory64 0100 1RXB 1000 0011 : mod 111 r/m : imm8

                                                      4       b       8       3           bc       40882a00  00                   

偏移地址就是2a8840

所以计算出来的KeServiceDescriptorTable地址就是fffff800`0261e000+2a8840=fffff800`028c6840

kd> dd KeServiceDescriptorTable
fffff800`028c6840  02690b00 fffff800 00000000 00000000

 

在实际的driver中,只需要将lea(0x8d4c)和cmp(0x834b)作为特征码,就可以通过内存搜索的方式来获取KeServiceDescriptorTable的地址了

经过测试,在2k以后各版本win64(不包含win8)上均正常工作

nevil
关注
专栏目录
如何动态定位SSDT表 Win10 64位 1903
被遗弃的庸才博客
10-19 1950
对SSDT表有了解的朋友都知道在WIN64下的KeServiceDescriptorTable是没有被导出,所以我们只能动态的查找它的地址。 网上也有很多方法定位到ssdt表,其中较多的文章都是通过查找msr(c0000082)寄存器定位KiSystemCall64,然后通过索特诊的方式找到KiSystemServiceRepeat,这里记录着KeServiceDescriptorTable...
VT笔记(2)突破patchguard保护完成X64Hook
kernweak的博客
06-24 8972
win10,2018新年版后好像不支持了? MSR hook MSR (Model Specific Registers)是CPU 的一组64 位寄存器,可以分别通过RDMSR 和WRMSR 两条指令进行读和写的操作,前提要在ECX 中写入MSR 的地址(MSR地址就像一个宏STAR,LSTAR,CSTAR,SFMASK)。对于RDMSR 指令,将会返回相应的MSR 中64bit 信息到(ED...
RMB系统调用4、SSDT
Windows内核学习笔记
07-06 277
一、回顾 前两篇博客,我逆向分析了 KiSystemService 和 KiFastCallEntry 填充_KTRAP_FRAME 结构体的代者大同小异,主要的区别是 sysenter 只改了eip,cs,ss,虽然esp也改了,但是windows不使用,而是从TSS里取esp0;另外sysenter并没有像中断门那样压栈,所以3环的 ss, esp, eflags, cs,eip都要在函数里依次保存到 _KTRAP_FRAME 。 这次课后作业是逆向 KiSystemService / KiFas
WIN7 X64 SSDT函数获得
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-14 2120
曾经在网上看到一片文章, 在早期64位系统,内核函数开头地址的低四位一般是0,形如:xxxxxxxx`xxxxxxx0,这一特征在SSDT表中有很强大的引用,SSDT表在64位系统于32位系统有较大的差别。以下是在64位系统下的KeServiceDescriptorTable: kd> dp KeServiceDescriptorTable fffff800`0117bb80  fffff8
【原创】shadow ssdt学习笔记(一)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
08-14 1055
标 题: 【原创】shadow ssdt学习笔记(一) 作 者: zhuwg 时 间: 2007-12-22,22:01:29 链 接: http://bbs.pediy.com/showthread.php?t=56955 1。取得shadow ssdt真实地址 系统只提供了KeServiceDescriptorTable导出 KeServiceDescriptorTableSh
python-geckodriver-win64-v0.24.zip
01-06
Geckodriver支持日志记录,这对于排查问题非常有帮助。可以通过设置环境变量`webdriver.log.gecko.driver`来控制日志级别。 7. **更新与维护**: 由于浏览器和其驱动程序经常更新,为了保持自动化测试的稳定性,...
PCAN_USB_Win_x64-driver.rar
06-28
标题中的“PCAN_USB_Win_x64-driver.rar”表明这是一个针对64Windows操作系统的PCAN USB驱动程序的压缩文件。PCAN是Peiker Acustic GmbH & Co. KG公司的产品系列,主要提供CAN(Controller Area Network)通信解决...
Python库 | cassandra_driver-3.24.0-cp37-cp37m-win_amd64.whl
02-15
`cassandra_driver-3.24.0-cp37-cp37m-win_amd64.whl`文件可以直接使用Python的pip工具进行安装,通过命令`pip install cassandra_driver-3.24.0-cp37-cp37m-win_amd64.whl`,这将避免了因编译问题导致的安装困扰,...
chromedriver-win64_128.0.6540.0.zip
最新发布
06-16
7. **错误处理和日志记录**:Chromedriver可以记录详细的执行日志,这对于调试自动化测试过程中的问题非常有帮助。 8. **跨平台**:尽管这里讨论的是Windows 64位的Chromedriver,但也有适用于其他操作系统(如...
chromedriver-win64_126.0.6477.0.zip
06-16
综上所述,"chromedriver-win64_126.0.6477.0.zip" 文件是Selenium WebDriver中用于Windows 64位环境的Chrome浏览器驱动程序,用于自动化测试和相关开发工作,确保与Chrome浏览器的兼容性至关重要。
R0层获取ShadowSSDT函数原始地址实例
11-20
本实例由VS2008开发,在提供了一套驱动开发框架的同时,又演示了如何获取Shadow SSDT表函数原始地址的办法。 主要函数:ULONG GetShadowSSDT_Function_OriAddr(ULONG index); 原理说明: 根据特征索导出函数KeAddSystemServiceTable来获取Shadow SSDT基址,以及通过ZwQuerySystemInformation()函数获取win32k.sys基址,然后解析PE定位到Shadow SSDT在win32k.sys的偏移地址,并通过进一步计算来得到Shadow SSDT表函数的原始地址。 这里只测试了三个函数:(460)NtUserMessageCall、(475)NtUserPostMessage和(502)NtUserSendInput,具体使用时可以举一反三,网上完整的源代实例并不太多,希望可以帮到真正有需要的朋友。 系统环境: 在WinXP SP3系统 + 瑞星杀毒软件 打印输出: [ LemonInfo : Loading Shadow SSDT Original Address Driver... ] [ LemonInfo : 创建“设备”值为:0 ] [ LemonInfo : 创建“设备”成功... ] [ LemonInfo : 创建“符号链接”状态值为:0 ] [ LemonInfo : 创建“符号链接”成功... ] [ LemonInfo : 驱动加载成功... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP 开始... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP Enter IRP_MJ_DEVICE_CONTROL... ] [ LemonInfo : 获取ShadowSSDT表 (460)NtUserMessageCall 函数的“当前地址”为:0xB83ECFC4,“起源地址”为:0xBF80EE6B ] [ LemonInfo : 获取ShadowSSDT表 (475)NtUserPostMessage 函数的“当前地址”为:0xB83ECFA3,“起源地址”为:0xBF8089B4 ] [ LemonInfo : 获取ShadowSSDT表 (502)NtUserSendInput 函数的“当前地址”为:0xBF8C31E7,“起源地址”为:0xBF8C31E7 ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP_MJ_DEVICE_CONTROL 成功执行... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP 结束... ] [ LemonInfo : UnLoading Shadow SSDT Original Address Driver... ] [ LemonInfo : 删除“符号链接”成功... ] [ LemonInfo : 删除“设备”成功... ] [ LemonInfo : 驱动卸载成功... ]
Kaspersky 7.0 HOOK SSDT分析
shangguanwaner的专栏
12-02 1453
Kaspersky 7.0 HOOK SSDT分析-卡巴驱动klif.sys逆向工程作者:CloudEmail:shangguanwan2@yahoo.cn2007-11-6一、 测试版本和环境卡巴斯基反病毒软件7.0 版本7.0.0.125d (简体中文版)平台:Windows XP Professional(5.1,版本2600)   Mobile Inter? Celeron
Windows下如何获得KeServiceDescriptorTableShadow地址
misterliwei的专栏
07-22 3050
Windows下如何获得KeServiceDescriptorTableShadow地址 总结网上文章的观点,主要有下面几种:1.根据操作系统分类。在WIN2K下KeServiceDescriptorTableShadow接跟着keServiceDescriptorTable;而在XP下,顺序正好相反,KeServiceDescriptorTable紧跟着KeServiceDescri
Shadow SSDT详解、WinDbg查看Shadow SSDT
08-11 408
一、获取ShadowSSDT 好吧,我们已经在R3获取SSDT的原始地址及SDT、SST、KiServiceTbale的关系里面提到:所有的SST都保存在系统服务描述表(SDT)中。系统中一共有两个SDT,一个是ServiceDescriptorTable,另一个是ServiceDescriptorTableShadow。ServiceDescriptor中只有指向KiServic...
Winodws x64系统服务调用的那头4个参数
muy的专栏
07-03 4219
前几天有朋友遇到一个问题来问我。他有一个Windows 7 x64下的minidump文件,经过初步分析,知道系统崩溃最初是因用户态调用了NtDeviceIoControlFile造成的,KeBugCheckEx调用已经位于多重函数调用的深处,问如何找到最初NtDeviceIoControlFile的参数,尤其是头4个参数。经过一番努力,我总算是把问题解决了,其中得到一些领悟,想趁热记录
Win64 驱动内核编程-18.SSDT
天使也掉毛
03-19 2217
SSDT  学习资料:http://blog.csdn.net/zfdyq0/article/details/26515019  学习资料:WIN64内核编程基础 胡文亮      SSDT(系统服务描述表),刚开始接触什么进程保护XXX啥的,都是看到在说SSDT(虽然说目前很多杀软都已经采用稳定简单的回调姿势了)。这次就弄清楚两个问题:     如何在内核里动态获得 SSDT 的基址;
导出函数,非导出函数,公开函数,非公开函数
weixin_33691817的博客
09-07 301
导出函数,非导出函数,公开函数,非公开函数 导出函数:顾名思义,出现在导出表(EAT)里面的函数,可以给外部调用的函数,验证是否为导出函数的方法,熟悉逆向的朋友可以使用LordPE之类的工具查看,当然也可以使用GetProcAddress或者MmGetSystemRoutineAddress之类的函数来获取地址,如果成功的话就是导出函数。 非...
RDMSR--读MSR
热门推荐
misterliwei的专栏
07-15 1万+
RDMSR--读MSR RDMSR将64位由ECX寄存器指定的MSR(model specific register,模式指定寄存器)的内容读出至寄存器EDX:EAX中(在支持intel64架构的处理器中RCX的高32位忽略)。MSR的高32位内容存放在EDX寄存器中,MSR的低32位内容存放在EAX寄存器中(在支持intel64架构的处理器中RDX和RAX的高32位忽略)。如果MSR中没
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值