SSDT_HOOK

最新推荐文章于 2023-06-22 21:49:59 发布
最新推荐文章于 2023-06-22 21:49:59 发布
阅读量222 收藏
点赞数
分类专栏: windows内核知识点学习 文章标签: 安全漏洞 pwn 堆栈
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36918532/article/details/123253084
版权

分别从静态,动态两种方法来hook
静态是直接根据openProcess的调用号0xbe
动态是防止地址发生改变或者其他,来动态函数索引进而HOOK的

#include<ntifs.h>
#include<ntimage.h> //提供 PE结构

PULONG g_PageMapMemory = NULL;

typedef struct _SSDTItem {
	PULONG FunAddressTable;
	ULONG Pknum;
	ULONG uIndexCount;
	PCHAR pcParam;
}SSDTItem,*PSSDTItem;

//代表两张表的
typedef struct _RKSSDT {
	SSDTItem KernelItem;
	SSDTItem  GuiItem;
}RLSSDT,*PRSSDT;


//x86情况下,是根据名字来找到这张表的
EXTERN_C PRSSDT KeServiceDescriptorTable;

typedef NTSTATUS (NTAPI *rkOpenProcess)(//hook用来替换原来的函数,hook之后要还原,所以要保存一下类型
	 PHANDLE            ProcessHandle,
	 ACCESS_MASK        DesiredAccess,
	 POBJECT_ATTRIBUTES ObjectAttributes,
	 PCLIENT_ID         ClientId
);

rkOpenProcess NtOpenProcessOldFunAddr = NULL;

NTSTATUS NtOpenProcess(
	PHANDLE            ProcessHandle,
	ACCESS_MASK        DesiredAccess,
	POBJECT_ATTRIBUTES ObjectAttributes,
	PCLIENT_ID         ClientId
) {
	DbgPrint("你已被hook\n");
	return NtOpenProcessOldFunAddr(ProcessHandle, DesiredAccess, ObjectAttributes, ClientId);
}

//ntdll pe ssdt index
ULONG GetSSDTIndex(UNICODE_STRING usDllFileName,PCHAR pcFunctionName) {
	NTSTATUS ntStatus = STATUS_SUCCESS;
	HANDLE hFile = NULL;
	HANDLE hSection = NULL;//解析PE
	OBJECT_ATTRIBUTES objectAttr = { 0 };
	IO_STATUS_BLOCK ioStatus = { 0 };
	PVOID pBaseAddress = NULL;
	SIZE_T viewSize = 0;
	ULONG ulFunctionIndex = 0;
	//初始化对象
	InitializeObjectAttributes(&objectAttr, &usDllFileName, OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE, NULL, NULL);
	//打开对象
	ntStatus = ZwOpenFile(&hFile, GENERIC_READ, &objectAttr, &ioStatus, FILE_SHARE_READ, FILE_SYNCHRONOUS_IO_NONALERT);
	if (!NT_SUCCESS(ntStatus))
	{
		DbgPrint("ZwOpenFile error\n");
		return 0;
	}
	ntStatus = ZwCreateSection(&hSection, SECTION_MAP_READ | SECTION_MAP_WRITE, NULL, 0, PAGE_READWRITE, 0x1000000, hFile);
	if (!NT_SUCCESS(ntStatus))
	{
		DbgPrint("ZwCreateSection error\n");
		return 0;
	}
	//例程将部分视图映射到主题进程的虚拟地址空间。
	ntStatus = ZwMapViewOfSection(hSection, NtCurrentProcess(), pBaseAddress, 0, 1024, 0, &viewSize, ViewShare, MEM_TOP_DOWN, PAGE_READWRITE);
	if (!NT_SUCCESS(ntStatus))
	{
		DbgPrint("ZwMapViewOfSection error\n");
		return 0;
	} 
	PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)pBaseAddress;
	PIMAGE_NT_HEADERS pNtHeader = (PIMAGE_NT_HEADERS)((PUCHAR)pDosHeader + pDosHeader->e_lfanew);
	PIMAGE_EXPORT_DIRECTORY pExportTable = (PIMAGE_EXPORT_DIRECTORY)((PUCHAR)pDosHeader + pNtHeader->OptionalHeader.DataDirectory[0].VirtualAddress);
	ULONG ulNameberForNames = pExportTable->NumberOfNames;
	PULONG lpNameAddressArray = (PULONG)((PUCHAR)pDosHeader + pExportTable->AddressOfNames);
	PCHAR lpFunName = NULL;
	for (size_t i = 0; i < ulNameberForNames; i++)
	{
		lpFunName = (PCHAR)((PUCHAR)pDosHeader + lpNameAddressArray[i]);
		if (_strnicmp(pcFunctionName, lpFunName, strlen(pcFunctionName)) == 0) {
			USHORT uHint =*(USHORT *)(pDosHeader + pExportTable->AddressOfNameOrdinals + 2 * i);
			ULONG ulFUNAddr = *(ULONG*)((PUCHAR)pDosHeader + pExportTable->AddressOfFunctions + 4*i);
			PVOID lpFuncAddr = (PVOID)((PUCHAR)pDosHeader + ulFUNAddr);
			ulFunctionIndex = *(ULONG*)((PUCHAR)lpFuncAddr + 1);
			break;
		}	
	}
	ZwClose(hSection);
	ZwClose(hFile);
	
	return ulFunctionIndex;
}

NTSTATUS SetHook(ULONG ulFuncAddr, PCHAR pcFunctionName) {
	LONG ulFunctionIndex = 0;
	NTSTATUS  status = STATUS_SUCCESS;
	UNICODE_STRING usDllFileName;
	RtlInitUnicodeString(&usDllFileName, L"\\??\\C:\\Windows\\System32\\ntdll.dll");
	ulFunctionIndex = GetSSDTIndex(usDllFileName, pcFunctionName);
	if (ulFunctionIndex == 0) {
		DbgPrint("GetSSDTIndex error!\n");
		return status;
	}
	DbgPrint("ulFunctionIndex is 0x%x\n", ulFunctionIndex);
	PHYSICAL_ADDRESS phyAddress = MmGetPhysicalAddress(KeServiceDescriptorTable->KernelItem.FunAddressTable);//获取物理地址
	g_PageMapMemory = MmMapIoSpace(phyAddress, PAGE_SIZE, MmCached);			//映射
	NtOpenProcessOldFunAddr = g_PageMapMemory[ulFunctionIndex];
	g_PageMapMemory[ulFunctionIndex] = NtOpenProcess;
	return status;
}

VOID DriverUnload(PDRIVER_OBJECT pDriverObject) {
	//关闭映射
	//g_PageMapMemory[0xbe] = NtOpenProcessOldFunAddr;//还原回去
	SetHook(NtOpenProcessOldFunAddr, "NtOpenProcess");//动态还原回去
	MmUnmapIoSpace(g_PageMapMemory, PAGE_SIZE);//解除hook
	DbgPrint("卸载成功!\n");
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject, PUNICODE_STRING pRegPath) {
	pDriverObject->DriverUnload = DriverUnload;
	//hook 调用号是0xbe
	//修改CR0寄存器
	//MDR
	//内存映射
	//获取物理地址
	//静态根据索引hook
	//PHYSICAL_ADDRESS phyAddress=  MmGetPhysicalAddress(KeServiceDescriptorTable->KernelItem.FunAddressTable);
	//映射
//	g_PageMapMemory = MmMapIoSpace(phyAddress, PAGE_SIZE, MmCached);
	//现在g_PageMapMemory和KeServiceDescriptorTable->KernelItem.FunAddressTable等值了
//	NtOpenProcessOldFunAddr = g_PageMapMemory[0xbe];
//	g_PageMapMemory[0xbe] = NtOpenProcess;
	//最后结束时候要结束映射,在驱动卸载函数里

	//动态获取索引号
	SetHook((ULONG)NtOpenProcess,"NtOpenProcess");

	DbgPrint("加载成功!\n");
	return STATUS_SUCCESS;
}

结果
在这里插入图片描述

是脆脆啊
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SSDT】SSDT hook技术
dr0op's blog
09-07 2124
通过修改此表的函数地址可以对常用Windows函数及API进行Hook,从而实现对一些关心的系统动作进行过滤、监控等目的。在NT4.0 以上的Windpws 操作系统中,默认存在两个系统服务描述表,两个调度表对应两类不同的系统服务。要Hook SSDT表,首选需要这个表是可写的,但是在XP之后的系统都是只读的,有三种方式修改内存保护机制。其中第1位叫做保护属性位,控制着页的读或写属性。如果为0,则只能读/执行。SSDT,IDT(中断描述符表)的页属性在默认情况下只读,可执行,但不能写。例如进程保护(驱动)
API钩取技术研究(四)——SSDT Hook
最新发布
m0_55220082的博客
07-19 283
简单起见,我将要保护的进程PID硬性编码为cmd.exe的PID。自定义钩取函数MyZwOpenProcess()的实现思路类似于IAT Hook中自定义钩取函数的实现思路,通过修改进程参数Desired Access的值为0,然后再将修改的参数传入正常调用的原ZwOpenProcess() API即可实现进程保护。
SSDT Hook技术详解与应用
flydragonhero的专栏
03-10 6286
SSDT Hook技术详解与应用SSDT Hook技术详解与应用 一SSDT简介 1什么是SSDT 2SSDT结构 3应用层调用 Win32 API 的完整执行流程 二SSDT Hook原理 1SSDT Hook原理简介 2进程隐藏与保护 3文件隐藏与保护 4端口隐藏一、SSDT简介1、什么是SSDT​ SSDT 的全称是 System Services Descriptor Table,系统服
驱动开发:内核实现SSDT挂钩与摘钩
热门推荐
CSDN
06-05 1万+
接着就是如何挂钩并让其中转到我们自己的代码流程中的问题,由于挂钩与恢复代码是一样的此处就以挂钩为例,首先调用。Hook核心代码如下所示,为了节约篇幅,如果您找不到程序中的核心功能,请看前面的几篇文章,这里就不在赘述了。的目的只是为函数增加或处理新功能,则在执行完自定义函数后一定要跳回到原始函数上,此时定义一个。挂钩的目的就是要为特定函数增加功能,挂钩的实现方式无非就是替换原函数地址,我们以内核函数。将新函数地址写出到内存中实现替换,最后释放MDL句柄即可,这段代码如下所示,看过。函数可用来读取内核文件,
SSDT HOOK
qq_45844442的博客
06-22 184
1.首先通过MmCreateSection、MmMapViewInSystemSpace将ntdll加载到内存中,然后进行导出表搜索找到目标函数的服务号。2.然后通过内核导出的变量KeServiceDescriptorTable进而找到SSDT表。3.最后通过在SSDT表修改目标函数地址为自定义地址即可。
ssdt_hook.rar_ssdt_ssdt hook_ssdt_hook_struct.h
09-21
SSDT HOOK引擎,调用HookService()之前应该先调用InitServicesTalbe()来对SSDT进行一次性的保存,避免后面多次HOOK就要保存多次 !
SSDTHook_ssdt_SSDTHook_
10-01
ssdt hooking for windows kernel
ssdt_hook.rar_SSDT 进程保护_ssdt_ssdt hook_进程保护
09-22
ssdt hook,最简单的内核技术,多用于保护进程。
Hook ssdt.rar_HookSSDT_hook_ssdt_进程保护_驱动保护
09-25
驱动层hook系统服务表,可以用来保护自己的进程不被调速器进行调试,也可以保护进程不被其他进程杀死
SSDT.rar_WINDOWS ssdt_hook_ssdt_ssdt hook_windows xp hook ss
09-21
通过例子介绍了Windows系统服务调用的基本知识及Hook SSDT的方法
64位驱动SSDTHOOK教程
10-02
完整的64位驱动SSDTHOOK文档资料,学习win7 64位驱动很好的
SSDTHook实现进程保护
06-29
SSDTHook实现进程保护:http://blog.csdn.net/php_fly/article/details/9202379
SSDTHook实现解析(x86)
bluemoon_0的博客
01-13 154
SSDTHook实现解析(x86)
[内核安全2]内核态Rootkit之SSDT Hook
輚至消亡
12-06 603
/*++ * @Description * 主逻辑控制函数 * @Param * @Return * @Attention --*/ void Running(); /*++ * @Description * 不接收换行的从标准输入内收到键入,是一个安全函数 * * @Param * lpszBuf: 接受键盘输入的缓冲区 * uiSizeOfBuf: 描述lpszBuf的大小 * * @Return * 返回状态码 * * @Attention --*/ NTSTATUS kgets(OUT.
SSDT HOOK技术(1)——获得SSDT函数索引号
苞米地里捉小鸡的博客
08-19 772
1.SSDT是什么? SSDT全程是System Services Discriptor Table 翻译过来就是系统服务描述符表,那么系统服务描述符是什么呢?根据官方的解释ssdt表就是把ring3的Win32 API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。 那么我们可以理解为SSDT就是一个很庞大的数组,它被用来保存windows系统服务地址。 比如我们在R3层调用了CreateFile这个A
x64技术之SSDT_Hook
Hades的博客
05-10 5548
x64技术之SSDT_Hook测试环境:虚拟机: Windows 7 64bit过PG工具驱动加载工具PCHunter64系统自带的计算器和任务管理器等实现思路:实际思路与win32的思路一样.都是替换SSDT表里边的函数地址.不过微软被搞怕了,所以在x64上做了一些手脚.具体手脚就是x64通过SSDT得到的函数地址,不是真实的函数绝对地址了,而是加密了的.HOOK1.得到系统服务表基址2.保存需...
SSDT_HOOK的学习
richard1230的博客
03-29 447
SSDT:system service descriptor table 系统服务描述符表 1.什么是SSDT 2.怎么找SSDT a.以OpenProcess为例: b.首先要知道,这个调用号本身的结构 3.代码 前言: 使用vs自带的开发人员工具,可以使用dumpbin命令,查看pe文件的导入表等信息 : 命令的意思: 使用dumpbin把 ntoskr...
ssdt 表结构及hook的一般理解
weixin_34121282的博客
12-06 93
1       Ssdt表的基本结构 KeServiceDescriptorTable 首地址:8055D700 0: kd&gt; dd KeServiceDescriptorTable 8055d700  80505460 00000000 0000011c 805058d4 8055d710  00000000 00000000 00000000 00000000 8055d720...
alter table p_part_version Add column `ssdt_child_type_id` int(11) DEFAULT NULL after `is_get_sapno`;
06-12
这是一条 MySQL 数据库的语句,用于在表 `p_part_version` 中添加一个名为 `ssdt_child_type_id` 的列,其类型为 `int(11)`,默认值为 `NULL`,并且该列将会在 `is_get_sapno` 列后添加。这条语句的作用是修改数据库...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值