Win7 64位的SSDTHOOK(2)---64位SSDT hook的实现

最新推荐文章于 2024-01-21 17:54:19 发布
最新推荐文章于 2024-01-21 17:54:19 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: 驱动开发 注入HOOK

Hook之前要干掉PG:http://www.m5home.com/bbs/thread-5893-1-1.html

上篇文章知道了寻找SSDT表的方法,这篇记录一下如何实现SSDT表的Hook。

下面以Hook NtOpenProcess为例,之前我查SSDT表发现NtOpenProcess函数的标号为35,用XT等工具也能查看。

废话不多说,上代码。


首先感谢老大(Tesla.Angela)对我的帮助  
  
//相关声明  
__int64 __readmsr(int register);  
unsigned __int64 __readcr0(void);  
void __writecr0(   
    unsigned __int64 Data   
    );  
void _disable(void);  
void _enable(void);  
  
//_SYSTEM_SERVICE_TABLE结构声明  
typedef struct _SYSTEM_SERVICE_TABLE{  
    PVOID       ServiceTableBase;   
    PVOID       ServiceCounterTableBase;   
    ULONGLONG   NumberOfServices;   
    PVOID       ParamTableBase;   
} SYSTEM_SERVICE_TABLE, *PSYSTEM_SERVICE_TABLE;  
  
//_SERVICE_DESCRIPTOR_TABLE结构声明  
typedef struct _SERVICE_DESCRIPTOR_TABLE{  
    SYSTEM_SERVICE_TABLE ntoskrnl;  // ntoskrnl.exe (native api)  
    SYSTEM_SERVICE_TABLE win32k;    // win32k.sys   (gdi/user)  
    SYSTEM_SERVICE_TABLE Table3;    // not used  
    SYSTEM_SERVICE_TABLE Table4;    // not used  
}SERVICE_DESCRIPTOR_TABLE,*PSERVICE_DESCRIPTOR_TABLE;  
  
//声明要寻找进程名用的函数  
NTKERNELAPI UCHAR * PsGetProcessImageFileName(PEPROCESS Process);  
  
//定义NTOPENPROCESS  
typedef NTSTATUS (__stdcall *NTOPENPROCESS)(OUT PHANDLE  ProcessHandle,  
                                    IN ACCESS_MASK  DesiredAccess,  
                                    IN POBJECT_ATTRIBUTES  ObjectAttributes,   
                                    IN OPTIONAL PCLIENT_ID  ClientId);  
NTOPENPROCESS OldOpenProcess = NULL;  
ULONG OldTpVal;  
  
//定义自己的NtOpenProcess  
NTSTATUS __stdcall Fake_NtOpenProcess(OUT PHANDLE  ProcessHandle,  
                                       IN ACCESS_MASK  DesiredAccess,  
                                       IN POBJECT_ATTRIBUTES  ObjectAttributes,   
                                       IN OPTIONAL PCLIENT_ID  ClientId)  
{  
    PEPROCESS process = NULL;  
    NTSTATUS st = ObReferenceObjectByHandle(ClientId->processid,0,*PsProcessType,KernelMode,&process,NULL);  
    DbgPrint("进入HOOK函数.\n");  
    if (NT_SUCCESS(st))  
    {  
        if (!_stricmp((char*)PsGetProcessImageFileName(process),"CrackMe3.exe"))  
        {  
              
            return STATUS_ACCESS_DENIED;  
        }  
        else  
        {  
            return OldOpenProcess(ProcessHandle,DesiredAccess,ObjectAttributes,ClientId);  
        }   
    }  
    else  
    {  
        return STATUS_ACCESS_DENIED;  
    }  
}  
  
//关闭页面保护  
KIRQL WPOFFx64()  
{  
    KIRQL irql=KeRaiseIrqlToDpcLevel();  
    UINT64 cr0=__readcr0();  
    cr0 &= 0xfffffffffffeffff;  
    __writecr0(cr0);  
    _disable();  
    return irql;  
}  
//开启页面保护  
void WPONx64(KIRQL irql)  
{  
    UINT64 cr0=__readcr0();  
    cr0 |= 0x10000;  
    _enable();  
    __writecr0(cr0);  
    KeLowerIrql(irql);  
}  
  
//老外定位KeServiceDescriptorTable的方法  
ULONGLONG GetKeServiceDescriptorTable64()   
{  
    char KiSystemServiceStart_pattern[] = "\x8B\xF8\xC1\xEF\x07\x83\xE7\x20\x25\xFF\x0F\x00\x00";   //特征码  
    ULONGLONG CodeScanStart = (ULONGLONG)&_strnicmp;  
    ULONGLONG CodeScanEnd = (ULONGLONG)&KdDebuggerNotPresent;  
    UNICODE_STRING Symbol;  
    ULONGLONG i, tbl_address, b;  
    for (i = 0; i < CodeScanEnd - CodeScanStart; i++)  
    {  
        if (!memcmp((char*)(ULONGLONG)CodeScanStart +i, (char*)KiSystemServiceStart_pattern,13))  
        {   
            for (b = 0; b < 50; b++)  
            {  
                tbl_address = ((ULONGLONG)CodeScanStart+i+b);  
                if (*(USHORT*) ((ULONGLONG)tbl_address ) == (USHORT)0x8d4c)  
                    return ((LONGLONG)tbl_address +7) + *(LONG*)(tbl_address +3);  
            }  
        }  
    }  
    return 0;  
}  
  
//根据KeServiceDescriptorTable找到SSDT基址  
PULONG GetSSDTBaseAddress()  
{  
    PULONG addr = NULL;  
    PSYSTEM_SERVICE_TABLE ssdt = (PSYSTEM_SERVICE_TABLE)GetKeServiceDescriptorTable64();  
    addr = (PULONG)(ssdt->ServiceTableBase);  
    return addr;  
}  
  
//根据标号找到SSDT表中函数的地址  
ULONGLONG GetFuncAddr(ULONG id)  
{  
    LONG dwtmp = 0;  
    ULONGLONG addr = 0;  
    PULONG stb = NULL;  
    stb = GetSSDTBaseAddress();  
    dwtmp = stb[id];  
    dwtmp = dwtmp >> 4;  
    addr = (LONGLONG)dwtmp + (ULONGLONG)stb;  
    DbgPrint("SSDT TABLE BASEADDRESS:%llx",addr);  
    return addr;  
}  
  
//设置函数的偏移地址,注意其中参数的处理。低四位放了参数个数减4个参数。如果参数小于等于4的时候为0  
#define SETBIT(x,y) x|=(1<<y) //将X的第Y位置1  
#define CLRBIT(x,y) x&=~(1<<y) //将X的第Y位清0  
#define GETBIT(x,y) (x & (1 << y)) //取X的第Y位,返回0或非0  
ULONG GetOffsetAddress(ULONGLONG FuncAddr, CHAR paramCount)  
{  
    LONG dwtmp = 0,i;  
    CHAR b = 0, bits[4] = {0};  
    PULONG stb = NULL;  
    stb = GetSSDTBaseAddress();  
    dwtmp = (LONG)(FuncAddr - (ULONGLONG)stb);  
    dwtmp = dwtmp << 4;  
    if (paramCount>4)  
    {  
        paramCount = paramCount - 4;  
    }  
    else  
    {  
        paramCount = 0;  
    }  
    memcpy(&b,&dwtmp,1);  
    for (i=0;i<4;i++)  
    {  
        bits[i] = GETBIT(paramCount,i);  
        if (bits[i])  
        {  
            SETBIT(b,i);  
        }  
        else  
        {  
            CLRBIT(b,i);  
        }  
    }  
    memcpy(&dwtmp,&b,1);  
    return dwtmp;  
}  
  
//内核中用不到的方法,二次跳转用(自己的NtOpenProcess跳到KeBugCheckEx函数,然后再KeBugCheckEx函数跳到要Hook的NtOpenProcess)  
VOID FuckKeBugCheckEx()  
{  
    KIRQL irql;  
    ULONGLONG myfun;  
    UCHAR jmp_code[]="\xFF\x25\x00\x00\x00\x00\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF";  
    myfun=(ULONGLONG)Fake_NtOpenProcess;  
    memcpy(jmp_code+6,&myfun,8);  
    irql=WPOFFx64();  
    memset(KeBugCheckEx,0x90,15);  
    memcpy(KeBugCheckEx,jmp_code,14);  
    WPONx64(irql);  
}  
  
//Hook ssdt  
VOID HookSSDT()  
{  
    KIRQL irql;  
    LONG dwtmp = 0;  
    PULONG stb = NULL;  
    //1.get old address  
    OldOpenProcess = (NTOPENPROCESS)GetFuncAddr(35);  
    DbgPrint("Old_NtOpenProcess:%llx",(ULONGLONG)OldOpenProcess);  
    //2.show new address  
    stb = GetSSDTBaseAddress();  
    //3.get offset value  
    dwtmp = GetOffsetAddress((ULONGLONG)KeBugCheckEx,4);  
    //set kebugcheckex  
    FuckKeBugCheckEx();  
    //4.record  old offset  value  
    OldTpVal = stb[35];  
    irql = WPOFFx64();  
    stb[35] = GetOffsetAddress((ULONGLONG)KeBugCheckEx,2);  
    WPONx64(irql);  
    DbgPrint("KeBugCheckEx:%llx",(ULONGLONG)KeBugCheckEx);  
    DbgPrint("New_NtOpenProcess:%llx",GetFuncAddr(35));  
}  
  
//UN hook  
VOID UnhookSSDT()  
{  
    KIRQL irql;  
    PULONG stb=NULL;  
    stb = GetSSDTBaseAddress();  
    //老函数的地址复制回来  
    irql=WPOFFx64();  
    stb[35]=OldTpVal;  
    WPONx64(irql);  
}  

相关解释:

1.为什么要二次跳转?

WIN64内核里的每个驱动都不在同一个4GB里,4字节的整数只能表示4GB的范围,所以不管怎么修改这个4字节都不会跳到你的代理函数,因为你的驱动不可能跟NTOSKRNL在同一个4GB里面。

2.参数的处理:

函数地址的低四位存放了函数参数个数减4的数字,如果参数为5,那么低四位的数字为1,如果参数个数小于等于4个,低四位的数位0,可以再WINDBG里面查看到。

明卿
关注
专栏目录
64位驱动SSDTHOOK教程
10-02
完整的64位驱动SSDTHOOK文档资料,学习win7 64位驱动很好的
win 64 SSDT HOOK
weixin_30815469的博客
10-01 260
以下内容参考黑客防线2012合订本第294页 其实没什么好说的,直接上代码: ssdt的结构,和win32差不多,但是要注意这里的指针类型不能用ULONG替代,如果要非要替代应该用ULONGLONG,原因就不说了. //SSDT的结构 typedef struct _SystemServiceDescriptorTable { PVOID ServiceT...
64位下的SSDT HOOK 保护进程
qq_41490873的博客
08-27 1024
64位下的SSDT HOOK与32位不同.由于SSDT服务表里面存放的只是函数的偏移,并且大小只有2的28次方. 无法直接跳转到指定的函数地址处,所以这里采用了先跳转到BugCheckEx函数,然后在BugCheckEx函数开头跳转到自己的处理函数中. BugCheckEx充当了一个跳板的作用. 代码在WIN7 64 7600版本中测试通过,卸载函数没有还原BugCheckEx函数的12字节 有需要自己去还原一下吧. 注意在测试的时候点击进程,不要直接点应用程序图标. #include<ntddk
win7 64位 ssdthook
11-21
通过hook内核中ssdt表中的ntopenprocess函数,标号为35,可通过遍历ssdt表查找得知,可实现进程保护。 适用系统:win7 64,需关闭驱动签名保护 编程工具:vs2012+wdk8.0
src_过pg_过windowspg_64位SSDThook实现方法_过PG_
09-30
标题中的“src_过pg_过windowspg_64位SSDThook实现方法_过PG_”似乎是指一个关于在64位Windows系统下绕过Process Guard (PG)并通过修改System Service Dispatch Table (SSDT)实现hook的技术教程。描述中的“WINDOWS ...
WIN64_SSDTHOOK.rar_64 ssdT_64 ssdt c_TDL_win64 ssdt hook_win7 SS
07-15
在32位版本的Windows(即WIN32)中,SSDT是通过全局描述符表(GDT)中的一个条目来访问的,而64位版本的Windows(即WIN64)引入了一些显著的变化,使得原有的SSDT挂钩技术不再适用。本篇文章将深入探讨这些变化以及...
ssdt-hook.rar_4 3 2 1_hook_hook ssdt_ssdt_ssdt hook
09-19
1。获取ssdt函数个数 2。获取ssdt函数表中的所有函数 3。hook ZwQuerySystemInformation 4。unhook ZwQuerySystemInformation 5。根据用户给定的函数地址和ssdt表中的索引,修改ssdt表。
Win7 64位SSDTHOOK(1)---SSDT表的寻找
zfdyq
05-21 6806
最近在学习64位驱动,涉及到了SSDT的知识,结果发现64位下的SSDT和32位下的SSDT有所不同。 开始发现64位下的KeServiceDescriptorTable是未导出的函数。首先要找到KeServiceDescriptorTable的地址。 方法1: 读取c0000082寄存器     kd> rdmsr c0000082   msr[c0000082] = fffff800
win7 x64中寻找SSDT
吾无法无天的博客
01-06 1257
win32位的SSDT表是导出的,根本不用找.但x64的就不导出了 win7x64下: 要得到SSDT的地址,首先找到KiSystemCall64的地址,在它的下面就有SSDT的线索 找的KiSystemCall64只需要读出MSR(特别模块寄存器)c0000082的值,便是KiSystemCall64的地址: 以下使用Windbg调试: 3: kd> rdmsr c0000...
WIN7 X64 SSDT函数获得
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-14 2120
曾经在网上看到一片文章, 在早期64位系统,内核函数开头地址的低四位一般是0,形如:xxxxxxxx`xxxxxxx0,这一特征在SSDT表中有很强大的引用,SSDT表在64位系统于32位系统有较大的差别。以下是在64位系统下的KeServiceDescriptorTable: kd> dp KeServiceDescriptorTable fffff800`0117bb80  fffff8
32位/64位WINDOWS驱动之 遍历+HOOK_SSDT_NtOpenProcess函数_w7_w10通用系统版本
最新发布
a756598009的博客
01-21 1051
KIRQL WPOFF()//关闭写保护//ULONG_PTR 这个类型在x86上是32位 x64就是64位#else#endif_disable();//关闭中断//关闭写保护位VOID WPON(KIRQL irql)//打开写保护//恢复写保护位_enable();//恢复中断/*aria v1.0*在易编程学院发布。*版权所有 2023*许可证:ybc-cn*修改时间:2024年1月21日17:42:26(中国标准时间)
x64技术之SSDT_Hook
weixin_33785108的博客
08-20 378
2019独角兽企业重金招聘Python工程师标准>>> ...
关于Win7 x64 Shadow SSDT 的探索和 Inline HOOK
fyfy
05-15 3932
http://bbs.pediy.com/thread-210481.htm 来看雪一年了,在这里面学到了很多知识,非常感谢各位前辈对知识的分享和不懈的研究,也非常感谢各位大神对我们这些小白的照顾,特别要感谢MaMy、hksoobe、luolinlove等大神的指导。我也一直非常希望能为看雪贡献一点什么,但是小白的理解估计大神也看不上,这次也是注册看雪一周年,冲着这个也来发表一点自己的理
【原创】WINDOWS 64位SSDT定位思路
lziog的专栏
12-06 6024
在32位Windows中我们有很多定位SSDT的方法,最直接的就是利用导出符号来找到SSDT。再有就是通过在nt!KeAddSystemServiceTable函数中进行反汇编搜索。可是在64位WINDOWS中这两种方法都行不通。在64位Windows中不在导出SSDT了,同时nt!KeAddSystemServiceTable中也不再出SSDT了。这样要HOOK SSDT表就出现了第一个问题如何找到它?我想了三种思路。
如何动态定位SSDT表 Win10 64位 1903
被遗弃的庸才博客
10-19 1950
SSDT表有了解的朋友都知道在WIN64下的KeServiceDescriptorTable是没有被导出,所以我们只能动态的查找它的地址。 网上也有很多方法定位到ssdt表,其中较多的文章都是通过查找msr(c0000082)寄存器定位KiSystemCall64,然后通过搜索特诊码的方式找到KiSystemServiceRepeat,这里记录着KeServiceDescriptorTable...
SSDTinlinehook64位
weixin_34335458的博客
10-26 240
源码:https://github.com/haidragon/SSDTHOOK_win7x64/tree/master/SSDTHOOK_win7x64SSDT表的查找:https://blog.csdn.net/zfdyq0/article/details/26515019https://bbs.pediy.com/thread-249851.htm补充知识点:https://blog.csd...
Windows下Ring0级进程保护组件:SSDT HOOK技术实现
"基于SSDT HOOK 技术的Ring0级进程保护组件设计与实现" 在Windows操作系统中,实现进程保护通常需要深入到系统的核心层,即Ring0级别。这篇文档详细介绍了如何利用SSDT(System Service Descriptor Table,系统服务...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值