SSDT HOOK

最新推荐文章于 2024-04-17 11:45:00 发布
最新推荐文章于 2024-04-17 11:45:00 发布
阅读量417 收藏 1
点赞数
分类专栏: 驱动编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq125096885/article/details/53202846
版权 
#include <ntifs.h>
#include <ntddk.h>

NTKERNELAPI UCHAR * PsGetProcessImageFileName(__in PEPROCESS Process);


#pragma  pack(1) 
typedef  struct  _SystemServiceEntry 
{
	ULONG  *ServiceTableBase;         
	ULONG  *ServiceCounterTableBase;  
	ULONG  NumberOfServices;          
	ULONG  *ParamTableBase;
} KSERVICE_TABLE_DESCRIPTOR, *PKSERVICE_TABLE_DESCRIPTOR;
#pragma   pack()
extern  PKSERVICE_TABLE_DESCRIPTOR  KeServiceDescriptorTable;


#define   GetServiceIndex(_Function) (*(PULONG)((PUCHAR)_Function+1))

#define   HOOK_SSDT(_Function, _Hook,_MappedSSDTBase)\
InterlockedExchange ((PLONG)&_MappedSSDTBase [GetServiceIndex(_Function)], (LONG)_Hook)

#define  UNHOOK_SSDT(_Function, _Orig, _MappedSSDTBase)\
	InterlockedExchange((PLONG) &_MappedSSDTBase[GetServiceIndex(_Function)], (LONG)_Orig)

NTSTATUS  MyOpenProcess(OUT PHANDLE ProcessHandle, ACCESS_MASK DesiredAccess, POBJECT_ATTRIBUTES ObjectAttributes, PCLIENT_ID ClientId);
typedef  NTSTATUS(*_NtOpenProcess)(PHANDLE ProcessHandle, ACCESS_MASK DesiredAccess, POBJECT_ATTRIBUTES ObjectAttributes, PCLIENT_ID ClientId);
_NtOpenProcess  Old_ZwOpenProcess;

//获取进程ProcesId
ULONG GetProcesId(char* pProcessName);


NTSTATUS  Hook_SSDT_MDL(ULONG_PTR HookFunAddr, ULONG_PTR NewFunAddr, PULONG_PTR pOldFunAddr);
NTSTATUS  Resume_SSDT_MDL(ULONG_PTR src, ULONG_PTR OldFunAdd);
ULONG g_pid;

VOID DriverUnload(IN PDRIVER_OBJECT DriverObject)
{
	Resume_SSDT_MDL(ZwOpenProcess, Old_ZwOpenProcess);
	return;
}




NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath)
{

	DriverObject->DriverUnload = DriverUnload;

	//请先运行notepad.exe在加载驱动  explorer.exe
	g_pid = GetProcesId("explorer.exe");
	if (g_pid == 0)g_pid = 1234;

	Hook_SSDT_MDL(ZwOpenProcess, MyOpenProcess, &Old_ZwOpenProcess);
	return STATUS_SUCCESS;
}


NTSTATUS  MyOpenProcess(OUT PHANDLE ProcessHandle, ACCESS_MASK DesiredAccess, POBJECT_ATTRIBUTES ObjectAttributes, PCLIENT_ID ClientId)
{
	NTSTATUS  Status = STATUS_SUCCESS;

	if (ClientId->UniqueProcess == (HANDLE)g_pid)
	{
		ProcessHandle = NULL;
		return  STATUS_ACCESS_DENIED;
	}

	return   Old_ZwOpenProcess(ProcessHandle, DesiredAccess, ObjectAttributes, ClientId);
}


NTSTATUS  Hook_SSDT_MDL(ULONG_PTR HookFunAddr, ULONG_PTR NewFunAddr, PULONG_PTR pOldFunAddr)
{
	//定义变量
	PMDL   pMdlSSDT = NULL;      // 用来创建原始的 SSDT 地址, 映射到我们的域中, 来达到解除页面保护
	PVOID  *MappedSSDTBase = 0;  // 存放解除页面保护后指向的 SSDT 首地址的指针

								 //参数效验
	if (KeServiceDescriptorTable == NULL || pOldFunAddr == NULL || HookFunAddr == NULL || NewFunAddr == NULL)return STATUS_UNSUCCESSFUL;



	//调用 MmCreateMdl 创建一个映射 SSDT 的 MDL 结构的虚拟内存空间
	pMdlSSDT = MmCreateMdl(NULL, KeServiceDescriptorTable->ServiceTableBase, KeServiceDescriptorTable->NumberOfServices * 4);
	if (pMdlSSDT == NULL)return STATUS_UNSUCCESSFUL;
	MmBuildMdlForNonPagedPool(pMdlSSDT);

	//改变 MDL 的标记来实现可读写
	pMdlSSDT->MdlFlags = pMdlSSDT->MdlFlags | MDL_MAPPED_TO_SYSTEM_VA;

	//锁定此 MDL 的虚拟内存空间, 以防止其他进程来访问, 并返回指向此 MDL 首地址的指针
	MappedSSDTBase = (PVOID *)MmMapLockedPages(pMdlSSDT, KernelMode);

	//检测返回首地址的指针是否成功, 成功便对 SSDT 进行 Hook
	if (MappedSSDTBase == 0)return STATUS_UNSUCCESSFUL;


	//HOOK
	*pOldFunAddr = KeServiceDescriptorTable->ServiceTableBase[GetServiceIndex(HookFunAddr)];
	HOOK_SSDT(HookFunAddr, NewFunAddr, MappedSSDTBase);

	// 对 MDL 分配的内存空间进行释放
	if (pMdlSSDT != NULL)
	{
		MmUnmapLockedPages(MappedSSDTBase, pMdlSSDT);
		IoFreeMdl(pMdlSSDT);
	}

	return STATUS_SUCCESS;

}


// 用于解除 SSDT 的页面保护. 并恢复 被 Hook 的 SSDT
NTSTATUS  Resume_SSDT_MDL(ULONG_PTR src, ULONG_PTR OldFunAdd)
{

	PMDL   pMdlSSDT = NULL;      // 用来创建原始的 SSDT 地址, 映射到我们的域中, 来达到解除页面保护
	PVOID  *MappedSSDTBase = 0;  // 存放解除页面保护后指向的 SSDT 首地址的指针

								 //参数效验
	if (KeServiceDescriptorTable == NULL || src == NULL || OldFunAdd == NULL)return STATUS_UNSUCCESSFUL;

	//调用 MmCreateMdl 创建一个映射 SSDT 的 MDL 结构的虚拟内存空间
	pMdlSSDT = MmCreateMdl(NULL, KeServiceDescriptorTable->ServiceTableBase, KeServiceDescriptorTable->NumberOfServices * 4);
	if (pMdlSSDT == NULL)return STATUS_UNSUCCESSFUL;

	//将上面创建的 MDL 分配在非分页内存中, 因为 SSDT 在非分页内存中
	MmBuildMdlForNonPagedPool(pMdlSSDT);

	//改变 MDL 的标记来实现可读写
	pMdlSSDT->MdlFlags = pMdlSSDT->MdlFlags | MDL_MAPPED_TO_SYSTEM_VA;


	//锁定此 MDL 的虚拟内存空间, 以防止其他进程来访问, 并返回指向此 MDL 首地址的指针
	MappedSSDTBase = (PVOID *)MmMapLockedPages(pMdlSSDT, KernelMode);
	if (MappedSSDTBase == NULL)
	{
		IoFreeMdl(pMdlSSDT);
		return STATUS_UNSUCCESSFUL;
	}

	UNHOOK_SSDT(src, OldFunAdd, MappedSSDTBase);

	// 对 MDL 分配的内存空间进行释放
	if (pMdlSSDT != NULL)
	{
		MmUnmapLockedPages(MappedSSDTBase, pMdlSSDT);
		IoFreeMdl(pMdlSSDT);
	}

	return STATUS_SUCCESS;
}

//获取进程ProcesId
ULONG GetProcesId(char* pProcessName)
{
	//参数效验
	if (pProcessName == NULL)return NULL;
	if (MmIsAddressValid(pProcessName) == FALSE)return NULL;


	//定义变量
	PEPROCESS pEprocess = NULL;
	NTSTATUS ntstatus = STATUS_SUCCESS;
	UCHAR *szProcessName = NULL;

	for (int i = 4; i < 10000; i = i + 4) //一般来说没有超过100000的PID和TID
	{
		//进程ID和返回一个引用指针的过程EPROCESS结构
		ntstatus = PsLookupProcessByProcessId((HANDLE)i, &pEprocess);
		if (NT_SUCCESS(ntstatus))//STATUS_INVALID_CID
		{
			ObfDereferenceObject(pEprocess);
			if (pEprocess != NULL)
			{
				//比较进程名
				szProcessName = PsGetProcessImageFileName(pEprocess);
				if (szProcessName)
				{
					if (_stricmp((char*)szProcessName, pProcessName) == 0)
					{
						return (HANDLE)i;
					}
				}
			}
		}
	}

	return NULL;

}

125096
关注
专栏目录
SSDT Hook实现内核级的进程保护
曾是土木人
06-29 8356
SSDT Hook效果图 加载驱动并成功Hook  NtTerminateProcess函数: 当对 指定的进程进行保护后,尝试使用“任务管理器”结束进程的时候,会弹出“拒绝访问”的窗口,说明,我们的目的已经达到: SSDT简介 SSDT 的全称是 System Services Descriptor Table,系统服务描述符表。 这个表
SSDTHook实现进程保护
06-29
SSDTHook实现进程保护:http://blog.csdn.net/php_fly/article/details/9202379
SSDTHook_ssdt_SSDTHook_
10-01
ssdt hooking for windows kernel
SSDTHook
dre4merp
05-16 343
准备学习一下Hook技术,从最简单的SSDT Hook开始。 关于SSDT是什么参考:SSDT知识 SSDT Hook的实现思路就是 将SST表中储存的函数地址换成我们的fake函数的地址,并保存原函数地址 执行我们的fake函数后再调用原函数 从而实现在调用指定函数前进行自定义的处理。 首先我们要找到要挂钩的函数的地址,并保存起来 UNICODE_STRING v1; RtlInitUnicodeString(&v1, L"ZwOpenProcess"); __ZwOpen
SSDTHOOK
落笔飞花笑百生的博客
04-27 529
 #include "ntddk.h" void PageProtectOff(); void PageProtectOn(); #pragma pack(1) typedef struct ServiceDescriptorEntry { unsigned int *ServiceTableBase; unsigned int *ServiceCounterTableBase;
SSDThook
93Storm
12-31 415
SSDT hook整个流程: 获取SSDT表,自定义函数替换表中函数地址。 通过以下的方式获取SSDT表的内容: typedef struct ServiceDescriptorTable { PVOID ServiceTableBase; PVOID ServiceCounterTable; unsigned int NumberOfSection;
SSDTHook实例--编写稳定的Hook过滤函数
Fly20141201. 的专栏
07-04 3175
讲解如何写Hook过滤函数,比如NewZwOpenProcess。打开进程。很多游戏保护都会对这个函数进行Hook。由于我们没有游戏保护的代码,无法得知游戏公司是如何编写这个过滤函数。   我看到很多奇形怪状的Hook过滤函数的写法。看得蛋痛无比。比如: http://bbs.pediy.com/showthread.php?t=126802 http://bbs.pediy.com/sh
src_过pg_过windowspg_64位SSDThook实现方法_过PG_
09-30
标题中的“src_过pg_过windowspg_64位SSDThook实现方法_过PG_”似乎是指一个关于在64位Windows系统下绕过Process Guard (PG)并通过修改System Service Dispatch Table (SSDT)实现hook的技术教程。描述中的“WINDOWS ...
ssdt_hook.rar_ssdt_ssdt hook_ssdt_hook_struct.h
09-21
标题“ssdt_hook.rar_ssdt_ssdt hook_ssdt_hook_struct.h”中提到了几个关键点: 1. **ssdt_hook.rar**:这是一个压缩包文件,可能包含了关于SSDT Hook的相关代码和资源。 2. **ssdt**:这是SSDT的缩写,表示我们要...
ssdt.Recover.21yu3:绕过卡巴斯基主动防御,加载驱动,unhook所有ssdt hook及shadow ssdt hook
05-06
ssdt.Recover.21yu3 ...然后DLL加载驱动,unhook所有ssdt hook及shadow ssdt hook 威力非常大的一份代码,当年没有流出是非常明智的。 如今win10已经面世,希望能给后来人借鉴的价值。 我现在的blog:
SSDT.zip_hook_hook nt_hook ssdt_ssdt_ssdt hook
09-23
在本压缩包中,"SSDT.zip_hook_hook nt_hook ssdt_ssdt_ssdt hook" 提到了几个关键概念,包括SSDT Hooknt!zwReadVirtualMemory以及相关的hook技术。 1. SSDT Hook:这是一种技术,用于修改SSDT中的函数指针,以便...
64位驱动SSDTHOOK教程
10-02
完整的64位驱动SSDTHOOK文档资料,学习win7 64位驱动很好的
【顶】Rootkit技术之内核钩子原理
12-02 866
      我们知道,应用程序总是离不开系统内核所提供的服务,比如它要使用内存的时候,只要跟操作系统申请就行了,而不用自己操心哪里有空闲的内存空间等问题,实际上,这些问题是由操作系统的内核来代劳的。站在黑客的角度讲,如果能够控制内核,实际上就是控制了内核之上的各种应用程序。本文将向您介绍如何建立内核级钩子来控制操作系统向上提供的各种低级功能。有了内核级钩子,我们不但能够控制、监视其他程序并过滤有关
SSDT-hook,IDT-hook原理
fun0526的专栏
08-04 2537
<br /><br />【详细过程】<br />这次主要说说核心层的hook。包括SSDT-hook,IDT-hook,sysenter-hook。欢迎讨论,指正!内核层需要驱动,有这方面的基础最好,如果不会,了解下其中的思路也可以的。<br /><br />II. SSDT-hook,IDT-hook,sysenter-hook<br />一.SSDT-hook<br />(一)一般思路:<br />1.先来了解一下,什么是SSDT<br />SSDT既System Service Dispath Tab
win 64 SSDT HOOK
weixin_30815469的博客
10-01 279
以下内容参考黑客防线2012合订本第294页 其实没什么好说的,直接上代码: ssdt的结构,和win32差不多,但是要注意这里的指针类型不能用ULONG替代,如果要非要替代应该用ULONGLONG,原因就不说了. //SSDT的结构 typedef struct _SystemServiceDescriptorTable { PVOID ServiceT...
内核层 SSDT Hook
最新发布
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
04-17 190
31 30 29 28 19 18 17 16 15 6 5 4 3 2 1 0 PG CD NW AM WP NE ET TS EM MP PE 将WP位从1改为0来关闭写保护。可以通过将 ZwOpenProcess 的第二个参数改为0(访问权限为拒绝访问)来保护进程。2.在函数找SSDT表的路上jmp到新的SSDT表(360是这样的)SSDT表的物理页是只读的,想修改SSDT表需要先对寄存器进行操作。通过 SSDT Hook 保护进程。
API钩取技术研究(四)——SSDT Hook
m0_55220082的博客
07-19 451
简单起见,我将要保护的进程PID硬性编码为cmd.exe的PID。自定义钩取函数MyZwOpenProcess()的实现思路类似于IAT Hook中自定义钩取函数的实现思路,通过修改进程参数Desired Access的值为0,然后再将修改的参数传入正常调用的原ZwOpenProcess() API即可实现进程保护。
ssdt表通用hook 任意ssdthook
08-13 260
ULONG old_NtCreateDebugObject=0; ULONG ssdt_hook_quanbu_biaozhong(ULONG ssdt_i,ULONG newhanshu) { old_NtCreateDebugObject = KeServiceDescriptorTable.ServiceTableBase[ssdt_i]; __asm { cli m...
SSDTHook的原理
谢绝(无视)留言与私信
02-08 850
前言分析了一个cm, cm中释放了一个驱动, 进行了SSDTHook, 用于保护cm. IDA的伪码翻译的真渣, 直接编译都过不了(已经将数据类型改对了), 翻译的和反汇编代码也有点对不上, 从反汇编开始自己翻译. 从反汇编层面看SSDTHook时, 先复习一下SSDT原理, 用Windbg做下试验.记录 /** // SSDT的原理 // 假设要Hook ZwQu
SSDT HOOK技术实现Ring0级进程保护
"最简单的进程保护(适合初学驱动者) - 使用SSDT HOOK技术进行Ring0级进程保护的组件设计与实现" 本文主要探讨了如何利用SSDT(System Service Descriptor Table)HOOK技术在Windows环境下实现Ring0级别的进程保护。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值