驱动编程-ssdt hook--系统服务表

最新推荐文章于 2024-06-03 10:45:07 发布
最新推荐文章于 2024-06-03 10:45:07 发布
阅读量600 收藏
点赞数
分类专栏: window驱动 文章标签: asm kernel
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_14972057/article/details/51316387
版权

整理下自己的驱动编程。

ssdt是系统服务表,每个window系统都会维护自己的系统服务表。我们可以使用kernel detective看下ssdt表。

以openProcess为例子:

开windbg

kd> u nt!ZwOpenProcess
nt!ZwOpenProcess:
804ff720 b87a000000      mov     eax,7Ah  //7A
804ff725 8d542404        lea     edx,[esp+4]
804ff729 9c              pushfd
804ff72a 6a08            push    8
804ff72c e850ed0300      call    nt!KiSystemService (8053e481)
804ff731 c21000          ret     10h
nt!ZwOpenProcessToken:
804ff734 b87b000000      mov     eax,7Bh
804ff739 8d542404        lea     edx,[esp+4]

ZwOpenPeocess的开头

mov     eax,7Ah

7A的十进制就是190对应的ssdt表的第190个。


现在来说下openProcess的hook方法

分为两种:

修改ssdt表:

修改ssdt表的第190地址,在修改之前先保存原来的ssdt地址,然后跳到自己定义的MyopenProcess,在MyOpenProcess结束跳回原来保存的地址。这种修改方法容易被检测出来。


inline hook:

第二种修改openProcess函数的入口使用jmp跳转到自己的函数上,据我所知,大部分保护驱动都是这样的。


代码献上:

miniddk.cpp

#include "miniDDK.h"
#include "SSDT.h"
#include "IDThook.h"

#pragma INITCODE 
extern "C" NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject,PUNICODE_STRING b){
	//=================Init============================

	//分开注册 派遣函数
	KdPrint(("\n\n驱动被加载----------\n"));
	pDriverObject->MajorFunction[IRP_MJ_CREATE]=ddk_DispatchRoutine_CREATE;
	pDriverObject->MajorFunction[IRP_MJ_CLOSE]=ddk_DispatchRoutine_CLOSE;
	pDriverObject->MajorFunction[IRP_MJ_READ]=ddk_DispatchRoutine_READ;
	pDriverObject->MajorFunction[IRP_MJ_WRITE]=ddk_DispatchRoutine_WRITE;
	pDriverObject->MajorFunction[ IRP_MJ_DEVICE_CONTROL]=ddk_DispatchRoutine_CONTROL;
	CreateMyDriver(pDriverObject);
	pDriverObject->DriverUnload = DDK_Unload;
	//=================Init============================

	

	//============
最低0.47元/天 解锁文章
健景
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SSDT——框架编写与hook实例
qq_42882717的博客
04-30 427
SSDT——hook与框架SSDT框架综述SSDThook综述三级目录 SSDT框架综述 SSDT Hook 框架可不是大伙眼里的什么 .Net 框架啊,MVC 框架啊之类的,没那么复杂,算到底也就是一个 .cpp 和一个 .h 的文件而已,然后再在其中对外公开几个 API 即 OK 了 ~ SSDThook综述 ssdt竟然是一个数组,那么我们就需要先得到这个数组的首地址,于是这个结构就出来了。 typedef struct ServiceDescriptorEntry { unsigned in
SSDTHook源代码
10-09
进程隐藏和防杀。包含调用应用程序、接口动态库、驱动程序。 VS2005编译和WinDDK(7600.16385.1)编译两种方式。
SSDT HOOK的代码段
kernweak的博客
05-23 159
单核x86下 //保存5字节代码的结构 #pragma pack(1) typedef struct _TOP5CODE { UCHAR instruction; //指令 ULONG address; //地址 }TOP5CODE,*PTOP5CODE; #pragma pack( ) //ssdt结构 typedef struct _ServiceDescrip...
驱动开发:内核实现SSDT挂钩与摘钩
最新发布
06-03 306
函数指针在调用结束后即可很容易的跳转回原函数上,保证流程被正确执行,如果需要Hook其他函数其编写模板也是如下所示;接着就是如何挂钩并让其中转到我们自己的代码流程中的问题,由于挂钩与恢复代码是一样的此处就以挂钩为例,首先调用。Hook核心代码如下所示,为了节约篇幅,如果您找不到程序中的核心功能,请看前面的几篇文章,这里就不在赘述了。挂钩的目的就是要为特定函数增加功能,挂钩的实现方式无非就是替换原函数地址,我们以内核函数。将新函数地址写出到内存中实现替换,最后释放MDL句柄即可,这段代码如下所示,看过。
SSDTHook原理和示例代码
06-25
csdn的排版不是特别好,特此上传SSDTHook原理文档和SSDK的Hook的示例代码。
SSDT_HOOK的学习
richard1230的博客
03-29 458
SSDT:system service descriptor table 系统服务描述符 1.什么是SSDT 2.怎么找SSDT a.以OpenProcess为例: b.首先要知道,这个调用号本身的结构 3.代码 前言: 使用vs自带的开发人员工具,可以使用dumpbin命令,查看pe文件的导入等信息 : 命令的意思: 使用dumpbin把 ntoskr...
SSDT.rar_SSDT-HOOK_ssdt
09-19
SSDT(System Service Dispatch Table,系统服务调度)是Windows操作系统中的一个重要概念,它是一个包含系统服务函数指针的,这些服务函数提供了操作系统内核与用户模式应用程序之间的接口。在Windows NT架构的...
SSDT.rar_hook 驱动_ssdt_ssdt hook
09-22
SSDT.rar_hook 驱动是针对系统服务描述(System Service Dispatch Table, SSDT)进行操作的一个技术,主要用于在Windows操作系统中实现钩子(hook)功能。SSDT是操作系统核心与用户模式应用程序之间交互的重要桥梁...
SSDTFunction_64_Test_Windows编程_ssdthook_
10-02
标题“SSDTFunction_64_Test_Windows编程_ssdthook_”暗示了这是一个关于在Windows 7系统中实现SSDT(System Service Dispatch Table)钩子函数的项目。SSDT是Windows内核的一个核心组件,它包含了操作系统对外提供...
SSDT Hook_内核_x86_ssdthook_驱动_
10-03
本项目"SSDT Hook_内核_x86_ssdthook_驱动_"显然是一个针对32位(x86架构)系统SSDT Hook实现示例,通过提供的文件名如"SSDT Hook.sln",我们可以推断这可能是一个Visual Studio解决方案文件,包含了项目的源代码...
SSDTHook_ssdt_SSDTHook_
10-01
SSDT(System Service Descriptor Table)是Windows内核中一个至关重要的数据结构,它是一个,包含了操作系统提供的系统服务入口点。这些服务涵盖了进程管理、内存管理、设备驱动交互等核心功能。SSDT Hooking是一...
读取物理内存恢复ssdt代码
12-04
这个是读取物理内存恢复ssd的delphi的源代码
windows下通过更改SSDThook内核函数
10-02
通过更改SSDT的内核函数跳转地址来实现对windows内核函数的hook,需要安装WDK来实现编译。 注:本例主要实现对内核函数ZwSetValueKey的hook,本程序仅用于学习用途,任何人不得利用该代码从事非法活动。
进程防杀hook openprocess[C]
06-01
进程防杀 hook openprocess hook openprocess
Windows简单驱动编程(三):SSDT HOOK
yan_star的博客
12-09 586
ssdt hook NtOpenProcess win7 32环境,注释已标明一些解释 #include <ntddk.h> #include <ntstatus.h> ULONG uOldNtOpenProcess; //定义system_service_table结构体 typedef struct _KSYSTEM_SERVICE_TABLE { PULO...
也谈SSDT Hook(二)
sea
01-02 2499
一、实战篇本不想摘代码,既然实战,就不多讲废话了,还是贴上吧,谁都有违背原则的时候:)。代码一:经典案例,替换NtQuerySystemInformation,列取所有查询到的进程名,我使用修改CR0寄存器的方法。#include  typedef struct _SYSTEM_THREADS {     LARGE_INTEGER KernelTime;    L
驱动开发:内核扫描SSDT挂钩状态
CSDN
06-06 8113
在笔者上一篇文章《驱动开发:内核实现SSDT挂钩与摘钩》中介绍了如何对SSDT函数进行Hook挂钩与摘钩的,本章将继续实现一个新功能,如何检测SSDT函数是否挂钩,要实现检测挂钩状态有两种方式,第一种方式则是类似于《驱动开发:摘除InlineHook内核钩子》文章中所演示的通过读取函数的前16个字节与原始字节做对比来判断挂钩状态,另一种方式则是通过对比函数的当前地址与起源地址进行判断,为了提高检测准确性本章将采用两种方式混合检测。
SSDTHook实现解析(x86)
bluemoon_0的博客
01-13 158
SSDTHook实现解析(x86)
Kernel下检测还原正确的SSDT
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
08-01 1044
Kernel下检测还原正确的SSDT  首先声明这个是菜鸟—我的学习日记,不是什么高深文章,高手们慎看. 都好久没写自己的博客了,玩游戏玩到好闷,突然想写一些东西.以前我见到www.rootkit.com上面有人写了怎么在ntkrnlpa.exe或ntoskrnl.exe搜索出正确的SSDT,不过他写的是在User Mode下进行的,那么我就想做到怎么在驱动中也能直接实现搜索正确SSDT.(已
ssdt-dnvme.aml
01-26
当计算机系统需要支持NVMe固态硬盘时,ssdt-dnvme.aml这个固件文件可以被加载到系统的固件(BIOS或UEFI)中,通过ACPI标准描述NVMe的硬件配置和功能,使得操作系统可以正确地识别和驱动NVMe固态硬盘。 在安装或使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值