修改内核服务描述表SSDT实现API HOOK(汇编版)

最新推荐文章于 2020-08-19 16:13:06 发布
最新推荐文章于 2020-08-19 16:13:06 发布
阅读量124 收藏
点赞数
分类专栏: 安全及调试技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pengkaitsj/article/details/7674057
版权

.386
.model flat, stdcall
option casemap:none

include JmDriver.inc

Target_NtOpenProcess  typedef proto :dword,:dword,:dword
PTarget_NtOpenProcess typedef ptr Target_NtOpenProcess

 


.data
dwFunctionIDs     dd           07Ah   ;NTOpenProcess
                  dd           00h


dwOldAddress      PTarget_NtOpenProcess            ?
                  dd            ?
                  dd            ?
                 

dwHookAddress     dd            _NtOpenProcess
                  dd            ?             

 

.code

 


_NtOpenProcess proc dwDesiredAccess:dword , bInheritHandle:dword ,dwProcessID:dword
        
           
  invoke dwOldAddress[0] , dwDesiredAccess , bInheritHandle , dwProcessID
 ret

_NtOpenProcess endp

 

 

Hook proc
   
   LOCAL @lpServiceTable:dword
   LOCAL @lplpFunc:dword
  
    mov  eax , KeServiceDescriptorTable ;现在eax指向ntosknrl.exe导出的SericeDescriptorTable
    m2m  @lpServiceTable , [eax]        ;@lpServiceTable 指向ntoskrnl.exe系统服务表
   
  
    cli
    mov  eax , cr0
    and  eax , not 10000h              ;去掉内存写保护
    mov  cr0 , eax

   
    xor ecx ,ecx
    .while TRUE
         mov eax , dwFunctionIDs[ecx*4]  ;函数ID
         .if eax == 0      
          .break                  
         .endif
        
         add eax , @lpServiceTable        ;
         m2m dwOldAddress[ecx*4] ,[eax]   ;保存目标函数地址。
         m2m [eax] , dwHookAddress[ecx*4] ;写入相应的钩子函数地址
         inc ecx
     
    .endw
   
   mov  eax,cr0
   or   eax,10000h          ;恢复内存写保护
   mov  cr0,eax
   sti

   
   
         
 
 ret

Hook endp


UnHook proc
        
   cli
   mov  eax , cr0
   and  eax , not 10000h    ;去掉内存写保护
   mov  cr0 , eax

 
   mov  eax,cr0
   or   eax,10000h          ;恢复内存写保护
   mov  cr0,eax
   sti

     
 ret

UnHook endp

 

DriverEntry proc pDriverObject:PDRIVER_OBJECT,pusRegistryPath:PUNICODE_STRING
    assume eax:ptr DRIVER_OBJECT
    mov eax , pDriverObject
    m2m [eax].DriverUnload , offset DriverUnload  ;注册驱动卸载函数
  
    invoke Hook
   
   
   
    mov eax , STATUS_SUCCESS
    ret

DriverEntry endp


DriverUnload proc
 invoke UnHook
 
 ret

DriverUnload endp

 

 

end DriverEntry

 

pengkaitsj
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
5.API的调用过程(SSDT)
My classmates
10-18 940
SSDT的全称是System Services Descriptor Table,系统服务描述 他是在ntoskrnl.exe中导出的函数 kd> dd KeServiceDescriptorTable (SSDT) 导出的声明一下就可以使用了 kd> dd KeServiceDescriptorTableShadow (SSDT Shadow) 未导出需要用其他的方式来查找 k.
xx_学驱动 -- 初识SSDT、读取内核API地址、、
weixin_33827965的博客
08-09 130
SSDT的初步学习、、1理论知识、、大概思路和理论知识、、首先明白应用层到 内核层 会通过一张SSDT、、我们要根据SSDT结构和索引号来获取函数的当前地址如果检测一下这个函数有木有被HOOK我们要在获取这个函数的起源地址对比一下即可知道、、1读取SSDT函数当前地址、、了解SSDT结构系统服务描述 在ntoskrnl.exe导出KeSer...
SSDT HOOK技术(1)——获得SSDT函数索引号
苞米地里捉小鸡的博客
08-19 824
1.SSDT是什么? SSDT全程是System Services Discriptor Table 翻译过来就是系统服务描述,那么系统服务描述符是什么呢?根据官方的解释ssdt就是把ring3的Win32 API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。 那么我们可以理解为SSDT就是一个很庞大的数组,它被用来保存windows系统服务地址。 比如我们在R3层调用了CreateFile这个A
内核知识第12讲,SSDT.以用户模式到系统模式的两种方式.
weixin_30287169的博客
01-25 109
           内核知识第12讲,SSDT.以用户模式到系统模式的两种方式. 一丶IDT解析. 我们知道.IDT中存放着各种中断信息.比如当我们调用int 3的时候,则会调用IDT中的第三项来进行调用.而函数地址则是操作系统给的. 因为中断是CPU和操作系统通信的一种方式. 查看IDTR (IDT)第三项. IDT首地址给出了,其中项是7ff 我们每一项是...
SSDT Hook技术详解与应用
flydragonhero的专栏
03-10 6378
SSDT Hook技术详解与应用SSDT Hook技术详解与应用 一SSDT简介 1什么是SSDT 2SSDT结构 3应用层调用 Win32 API 的完整执行流程 二SSDT Hook原理 1SSDT Hook原理简介 2进程隐藏与保护 3文件隐藏与保护 4端口隐藏一、SSDT简介1、什么是SSDT​ SSDT 的全称是 System Services Descriptor Table,系统服
SSDT Hook_内核_x86_ssdthook_驱动_
10-03
1. 获取SSDT:首先,驱动程序需要获取到系统的SSDT,这通常通过内核模式的API如 ZwQuerySystemInformation(SystemServiceTableInformation) 实现。 2. 备份SSDT:为了能够恢复原始状态,需要保存SSDT中的原始服务...
所有种类的钩子,用户层的API HOOK,内核驱动层的SSDT-hook,IDT-hook,sysenter-hook.zip
01-27
本压缩包包含的资源涉及了用户层API Hook内核驱动层的SSDT(System Service Dispatch Table)Hook、IDT(Interrupt Descriptor Table)Hook以及sysenter Hook,这些都是Windows操作系统中实现系统级控制的关键技术...
SSDT.zip_hook_hook nt_hook ssdt_ssdt_ssdt hook
09-23
SSDT(System Service Dispatch Table,系统服务调度)是Windows操作系统中的一个重要组件,它是一个包含系统服务函数指针的,这些服务函数是系统提供给应用程序调用的接口。在本压缩包中,"SSDT.zip_hook_hook ...
SSDTHook原理和示例代码
06-25
SSDT(System Service Descriptor Table)是Windows操作系统中一个关键的数据结构,它包含了系统服务的入口点。在系统服务调用(System Call)时,这些入口点被用来调度到相应的服务处理函数。Hook SSDT是一种高级...
SSDTHook实现进程保护
06-29
SSDTHook是一种技术,主要用于实现进程保护,它涉及到Windows操作系统内部的系统服务描述(System Service Dispatch Table,简称SSDT)的hook机制。在Windows系统中,SSDT是内核模式下的一个关键数据结构,它存储...
hook API系列---理解内核hook
内核小菜的专栏
02-18 1228
hook分为应用层hook内核hook, 应用层的hook在这里不做讨论。 内核级的hook分为 1. ssdhook 2. inline hook  关于这两种hook举个比较形象的例子。  假如我是第一次进入A2大楼去财务科找小赵办手续, 在A2门口有一张大楼位置 写着: 321 : 财务科 我的办事顺序是: 1. 去位置
内核编程之SSDTHook(1)原理
zuishikonghuan的博客
03-11 9018
本博文由CSDN博主zuishikonghuan所作,权归zuishikonghuan所有,转载请注明出处: 说驱动开发这么长时间了,也玩玩内核钩子,钩子(Hook)技术是一种截获对某一对象访问的技术,不仅在Windows平台,Linux平台上也有Hook技术。Hook技术种类繁多,实现细节也不同,还可以灵活使用。 我之前写过两篇Ring3下的API Inline Hook的博文,这
驱动中取NT API函数在SSDT中的服务
cqyczj的专栏
04-20 1286
代码: static HANDLE hModuleOfNtdll=NULL; PVOID GetFunctionAddress(HMODULE hModule,PCSTR funcName); HANDLE  GetNtDllBaseAddr(IN  PCWSTR lpModuleName=L"ntdll.dll"); ULONG GetFunctionIndexOfSSDT(PCSTR lpF
获取SSDT,SSSDT原始函数地址
zhuhuibeishadiao
05-02 4529
SSDT 当前函数地址 = KiSeviceTable + *(KiServiceTalbe + index * 4); TableRVA = KiSeviceTable - 内核真实加载地址 ; ImageBase = 0x140000000;(理想加载地址) ImageKiSeviceTable = ImageBase + TableRVA; LoadDLLBase = LoadLi
SSDT Hook
zhuhuibeishadiao
04-10 3245
看看大概的调用情况 左边是2000有的,右边是xp后走的 Ntdll.dll 中的 API 是一个简单的包装函数。 当 Kernel32.dll 中的 API 通过 Ntdll.dll 时,会完成参数的检查再调用一个中断(int 2Eh 或者 SysEnter 指令),从而实现从 Ring3 进入 Ring0 层 并且将所要调用的服务号(也就是在 S
程序员合同范本
07-18
【作品名称】:程序员合同范本 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
python代码提取163邮箱账号内的邮件内容
最新发布
07-18
使用python实现提取163邮箱里邮件内容,增加的有正则匹配判断,插入数据库等操作代码
Vt hook ssdt
12-31
Vt hook ssdt是一种技术,用于在操作系统内核中拦截和修改系统服务调用。通过Vt(Virtualization Technology)技术,可以在操作系统运行时对系统服务进行动态修改,从而实现对系统行为的控制和修改。 以下是一个Vt ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值