SSDT HOOK

最新推荐文章于 2021-04-30 08:42:41 发布
最新推荐文章于 2021-04-30 08:42:41 发布
阅读量392 收藏 1
点赞数
分类专栏: 驱动编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq125096885/article/details/53202846
版权 
#include <ntifs.h>
#include <ntddk.h>

NTKERNELAPI UCHAR * PsGetProcessImageFileName(__in PEPROCESS Process);


#pragma  pack(1) 
typedef  struct  _SystemServiceEntry 
{
	ULONG  *ServiceTableBase;         
	ULONG  *ServiceCounterTableBase;  
	ULONG  NumberOfServices;          
	ULONG  *ParamTableBase;
} KSERVICE_TABLE_DESCRIPTOR, *PKSERVICE_TABLE_DESCRIPTOR;
#pragma   pack()
extern  PKSERVICE_TABLE_DESCRIPTOR  KeServiceDescriptorTable;


#define   GetServiceIndex(_Function) (*(PULONG)((PUCHAR)_Function+1))

#define   HOOK_SSDT(_Function, _Hook,_MappedSSDTBase)\
InterlockedExchange ((PLONG)&_MappedSSDTBase [GetServiceIndex(_Function)], (LONG)_Hook)

#define  UNHOOK_SSDT(_Function, _Orig, _MappedSSDTBase)\
	InterlockedExchange((PLONG) &_MappedSSDTBase[GetServiceIndex(_Function)], (LONG)_Orig)

NTSTATUS  MyOpenProcess(OUT PHANDLE ProcessHandle, ACCESS_MASK DesiredAccess, POBJECT_ATTRIBUTES ObjectAttributes, PCLIENT_ID ClientId);
typedef  NTSTATUS(*_NtOpenProcess)(PHANDLE ProcessHandle, ACCESS_MASK DesiredAccess, POBJECT_ATTRIBUTES ObjectAttributes, PCLIENT_ID ClientId);
_NtOpenProcess  Old_ZwOpenProcess;

//获取进程ProcesId
ULONG GetProcesId(char* pProcessName);


NTSTATUS  Hook_SSDT_MDL(ULONG_PTR HookFunAddr, ULONG_PTR NewFunAddr, PULONG_PTR pOldFunAddr);
NTSTATUS  Resume_SSDT_MDL(ULONG_PTR src, ULONG_PTR OldFunAdd);
ULONG g_pid;

VOID DriverUnload(IN PDRIVER_OBJECT DriverObject)
{
	Resume_SSDT_MDL(ZwOpenProcess, Old_ZwOpenProcess);
	return;
}




NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath)
{

	DriverObject->DriverUnload = DriverUnload;

	//请先运行notepad.exe在加载驱动  explorer.exe
	g_pid = GetProcesId("explorer.exe");
	if (g_pid == 0)g_pid = 1234;

	Hook_SSDT_MDL(ZwOpenProcess, MyOpenProcess, &Old_ZwOpenProcess);
	return STATUS_SUCCESS;
}


NTSTATUS  MyOpenProcess(OUT PHANDLE ProcessHandle, ACCESS_MASK DesiredAccess, POBJECT_ATTRIBUTES ObjectAttributes, PCLIENT_ID ClientId)
{
	NTSTATUS  Status = STATUS_SUCCESS;

	if (ClientId->UniqueProcess == (HANDLE)g_pid)
	{
		ProcessHandle = NULL;
		return  STATUS_ACCESS_DENIED;
	}

	return   Old_ZwOpenProcess(ProcessHandle, DesiredAccess, ObjectAttributes, ClientId);
}


NTSTATUS  Hook_SSDT_MDL(ULONG_PTR HookFunAddr, ULONG_PTR NewFunAddr, PULONG_PTR pOldFunAddr)
{
	//定义变量
	PMDL   pMdlSSDT = NULL;      // 用来创建原始的 SSDT 地址, 映射到我们的域中, 来达到解除页面保护
	PVOID  *MappedSSDTBase = 0;  // 存放解除页面保护后指向的 SSDT 首地址的指针

								 //参数效验
	if (KeServiceDescriptorTable == NULL || pOldFunAddr == NULL || HookFunAddr == NULL || NewFunAddr == NULL)return STATUS_UNSUCCESSFUL;



	//调用 MmCreateMdl 创建一个映射 SSDT 的 MDL 结构的虚拟内存空间
	pMdlSSDT = MmCreateMdl(NULL, KeServiceDescriptorTable->ServiceTableBase, KeServiceDescriptorTable->NumberOfServices * 4);
	if (pMdlSSDT == NULL)return STATUS_UNSUCCESSFUL;
	MmBuildMdlForNonPagedPool(pMdlSSDT);

	//改变 MDL 的标记来实现可读写
	pMdlSSDT->MdlFlags = pMdlSSDT->MdlFlags | MDL_MAPPED_TO_SYSTEM_VA;

	//锁定此 MDL 的虚拟内存空间, 以防止其他进程来访问, 并返回指向此 MDL 首地址的指针
	MappedSSDTBase = (PVOID *)MmMapLockedPages(pMdlSSDT, KernelMode);

	//检测返回首地址的指针是否成功, 成功便对 SSDT 进行 Hook
	if (MappedSSDTBase == 0)return STATUS_UNSUCCESSFUL;


	//HOOK
	*pOldFunAddr = KeServiceDescriptorTable->ServiceTableBase[GetServiceIndex(HookFunAddr)];
	HOOK_SSDT(HookFunAddr, NewFunAddr, MappedSSDTBase);

	// 对 MDL 分配的内存空间进行释放
	if (pMdlSSDT != NULL)
	{
		MmUnmapLockedPages(MappedSSDTBase, pMdlSSDT);
		IoFreeMdl(pMdlSSDT);
	}

	return STATUS_SUCCESS;

}


// 用于解除 SSDT 的页面保护. 并恢复 被 Hook 的 SSDT
NTSTATUS  Resume_SSDT_MDL(ULONG_PTR src, ULONG_PTR OldFunAdd)
{

	PMDL   pMdlSSDT = NULL;      // 用来创建原始的 SSDT 地址, 映射到我们的域中, 来达到解除页面保护
	PVOID  *MappedSSDTBase = 0;  // 存放解除页面保护后指向的 SSDT 首地址的指针

								 //参数效验
	if (KeServiceDescriptorTable == NULL || src == NULL || OldFunAdd == NULL)return STATUS_UNSUCCESSFUL;

	//调用 MmCreateMdl 创建一个映射 SSDT 的 MDL 结构的虚拟内存空间
	pMdlSSDT = MmCreateMdl(NULL, KeServiceDescriptorTable->ServiceTableBase, KeServiceDescriptorTable->NumberOfServices * 4);
	if (pMdlSSDT == NULL)return STATUS_UNSUCCESSFUL;

	//将上面创建的 MDL 分配在非分页内存中, 因为 SSDT 在非分页内存中
	MmBuildMdlForNonPagedPool(pMdlSSDT);

	//改变 MDL 的标记来实现可读写
	pMdlSSDT->MdlFlags = pMdlSSDT->MdlFlags | MDL_MAPPED_TO_SYSTEM_VA;


	//锁定此 MDL 的虚拟内存空间, 以防止其他进程来访问, 并返回指向此 MDL 首地址的指针
	MappedSSDTBase = (PVOID *)MmMapLockedPages(pMdlSSDT, KernelMode);
	if (MappedSSDTBase == NULL)
	{
		IoFreeMdl(pMdlSSDT);
		return STATUS_UNSUCCESSFUL;
	}

	UNHOOK_SSDT(src, OldFunAdd, MappedSSDTBase);

	// 对 MDL 分配的内存空间进行释放
	if (pMdlSSDT != NULL)
	{
		MmUnmapLockedPages(MappedSSDTBase, pMdlSSDT);
		IoFreeMdl(pMdlSSDT);
	}

	return STATUS_SUCCESS;
}

//获取进程ProcesId
ULONG GetProcesId(char* pProcessName)
{
	//参数效验
	if (pProcessName == NULL)return NULL;
	if (MmIsAddressValid(pProcessName) == FALSE)return NULL;


	//定义变量
	PEPROCESS pEprocess = NULL;
	NTSTATUS ntstatus = STATUS_SUCCESS;
	UCHAR *szProcessName = NULL;

	for (int i = 4; i < 10000; i = i + 4) //一般来说没有超过100000的PID和TID
	{
		//进程ID和返回一个引用指针的过程EPROCESS结构
		ntstatus = PsLookupProcessByProcessId((HANDLE)i, &pEprocess);
		if (NT_SUCCESS(ntstatus))//STATUS_INVALID_CID
		{
			ObfDereferenceObject(pEprocess);
			if (pEprocess != NULL)
			{
				//比较进程名
				szProcessName = PsGetProcessImageFileName(pEprocess);
				if (szProcessName)
				{
					if (_stricmp((char*)szProcessName, pProcessName) == 0)
					{
						return (HANDLE)i;
					}
				}
			}
		}
	}

	return NULL;

}

125096
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SSDTHook_ssdt_SSDTHook_
10-01
ssdt hooking for windows kernel
SSDT】SSDT hook技术
dr0op's blog
09-07 2073
通过修改此表的函数地址可以对常用Windows函数及API进行Hook,从而实现对一些关心的系统动作进行过滤、监控等目的。在NT4.0 以上的Windpws 操作系统中,默认存在两个系统服务描述表,两个调度表对应两类不同的系统服务。要Hook SSDT表,首选需要这个表是可写的,但是在XP之后的系统都是只读的,有三种方式修改内存保护机制。其中第1位叫做保护属性位,控制着页的读或写属性。如果为0,则只能读/执行。SSDT,IDT(中断描述符表)的页属性在默认情况下只读,可执行,但不能写。例如进程保护(驱动)
SSDT Hook技术详解与应用
flydragonhero的专栏
03-10 6218
SSDT Hook技术详解与应用SSDT Hook技术详解与应用 一SSDT简介 1什么是SSDT 2SSDT结构 3应用层调用 Win32 API 的完整执行流程 二SSDT Hook原理 1SSDT Hook原理简介 2进程隐藏与保护 3文件隐藏与保护 4端口隐藏一、SSDT简介1、什么是SSDT​ SSDT 的全称是 System Services Descriptor Table,系统服
SSDT Hook实现内核级的进程保护
曾是土木人
06-29 8201
SSDT Hook效果图 加载驱动并成功Hook  NtTerminateProcess函数: 当对 指定的进程进行保护后,尝试使用“任务管理器”结束进程的时候,会弹出“拒绝访问”的窗口,说明,我们的目的已经达到: SSDT简介 SSDT 的全称是 System Services Descriptor Table,系统服务描述符表。 这个表
内核编程之SSDTHook(3)Hook NtCreateSection监控所有可执行模块加载
zuishikonghuan的博客
03-18 5546
本博文由CSDN博主zuishikonghuan所作,版权归zuishikonghuan所有,转载请注明出处:http://blog.csdn.net/zuishikonghuan/article/details/50924829 在上两篇博文中,我介绍了SSDTHook的原理,并给出了一个实例--通过Hook NtOpenProcess来实现进程保护:http://blog.csdn.net/
ssdthook技术实现防止进程关闭
04-21
使用ssdthook技术实现进程防止关闭功能,包含完整代码,代码注释齐全。
src_过pg_过windowspg_64位SSDThook实现方法_过PG_
09-30
WINDOWS 过PG后可修改SSDT,实现SSDT hook,采用二次挑战方式实现
SSDTFunction_64_Test_Windows编程_ssdthook_
10-02
hook function for windows 7
win7 64位 ssdthook
11-21
通过hook内核中ssdt表中的ntopenprocess函数,标号为35,可通过遍历ssdt表查找得知,可实现进程保护。 适用系统:win7 64,需关闭驱动签名保护 编程工具:vs2012+wdk8.0
SSDTHook实现进程保护
06-29
SSDTHook实现进程保护:http://blog.csdn.net/php_fly/article/details/9202379
64位驱动SSDTHOOK教程
10-02
完整的64位驱动SSDTHOOK文档资料,学习win7 64位驱动很好的
Win7 64位的SSDTHOOK(2)---64位SSDT hook的实现
热门推荐
zfdyq
05-23 1万+
上篇文章知道了寻找SSDT表的方法,这篇记录一下如何实现SSDT表的Hook
win 64 SSDT HOOK
weixin_30815469的博客
10-01 243
以下内容参考黑客防线2012合订本第294页 其实没什么好说的,直接上代码: ssdt的结构,和win32差不多,但是要注意这里的指针类型不能用ULONG替代,如果要非要替代应该用ULONGLONG,原因就不说了. //SSDT的结构 typedef struct _SystemServiceDescriptorTable { PVOID ServiceT...
HOOK技术:SSDT HOOK(x86)
weixin_43742894的博客
04-02 478
在进行SSDT Hook之前我们要先了解SSDT的概念和作用。 SSDT: System Services Descriptor Table(系统服务描述符表),在内核中是KeServiceDescriptorTable。这个表就是一个把ring3的Win32 API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服...
转帖 SSDT HOOK拦截远线程的创建(上)
zhuerhua的专栏
06-01 923
<br />  在ring3的API HOOK中,怎样迫使目标进程调用我们的傀儡DLL是我们非常重视的一个问题。在多数情况下,我们都喜欢使用CreateRemoteThread在目标进程中创建一个远程线程来迫使它加载我们的DLL。<br /> 因为CreateRemoteThread的使用方法并不复杂,而且与其他方式相比,它可以称得上是一种相当“优雅”的做法。各种因素的汇集就导致了这种方法的泛滥,致使很多具备主动防御或行为监控的安全软件都加强了对这个函数的照顾。<br />      最近在自己的毕业设计中
检测和恢复SSDT HOOK,INLINE SSDT HOOK
lionzl的专栏
05-06 1296
检测和恢复SSDT HOOK,INLINE SSDT HOOK2008-09-25 来源:梦飞鸟( 投递新闻稿件 )<!--google_ad_client = "pub-3730291377033254";google_ad_slot = "7307761760";google_ad_width = 336;google_ad_height = 2
SSDT——框架编写与hook实例
qq_42882717的博客
04-30 408
SSDT——hook与框架SSDT框架综述SSDThook综述三级目录 SSDT框架综述 SSDT Hook 框架可不是大伙眼里的什么 .Net 框架啊,MVC 框架啊之类的,没那么复杂,算到底也就是一个 .cpp 和一个 .h 的文件而已,然后再在其中对外公开几个 API 即 OK 了 ~ SSDThook综述 ssdt竟然是一个数组,那么我们就需要先得到这个数组的首地址,于是这个结构就出来了。 typedef struct ServiceDescriptorEntry { unsigned in
基于matlab实现的一种新型的配电网潮流计算,基于前推回代法
最新发布
05-03
基于matlab实现的一种新型的配电网潮流计算,基于前推回代法,并附有10kv配电网数据,利用新的判别手段,成功解决配电网不收敛的问题.rar
Vt hook ssdt
12-31
Vt hook ssdt是一种技术,用于在操作系统内核中拦截和修改系统服务调用。通过Vt(Virtualization Technology)技术,可以在操作系统运行时对系统服务进行动态修改,从而实现对系统行为的控制和修改。 以下是一个Vt ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值