64位下的SSDT HOOK 保护进程

于 2020-08-27 01:39:02 发布
阅读量1k 收藏 6
点赞数
分类专栏: 内核安全编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41490873/article/details/108251175
版权

64位下的SSDT HOOK与32位不同.由于SSDT服务表里面存放的只是函数的偏移,并且大小只有2的28次方.
无法直接跳转到指定的函数地址处,所以这里采用了先跳转到BugCheckEx函数,然后在BugCheckEx函数开头跳转到自己的处理函数中.
BugCheckEx充当了一个跳板的作用.
代码在WIN7 64 7600版本中测试通过,卸载函数没有还原BugCheckEx函数的12字节 有需要自己去还原一下吧.
注意在测试的时候点击进程,不要直接点应用程序图标.
在这里插入图片描述

#include<ntddk.h>
#include <ntstatus.h>
KIRQL WPOFF()
{
	KIRQL OldIrql = KeRaiseIrqlToDpcLevel();

	//ULONG_PTR 这个类型在x86上是32位  x64就是64位
	ULONG_PTR cr0 = __readcr0();
#ifdef _X86_
	cr0 &= 0xfffeffff;
#else
	cr0 &= 0xfffffffffffeffff;
#endif
	_disable();	//关闭中断
	__writecr0(cr0);			//关闭写保护位

	return OldIrql;
}


VOID WPON(KIRQL irql)
{

	ULONG_PTR cr0 = __readcr0();
	cr0 |= 0x10000;
	__writecr0(cr0);	//恢复写保护位
	_enable();	//恢复中断

	KeLowerIrql(irql);
}

typedef struct _KSYSTEM_SERVICE_TABLE {
	PULONG ServiceTableBase;   //函数表的基址
	PULONG ServiceCounterTableBase;
	ULONG  NumberOfServices;//系统服务表的limit
	PUCHAR ParamTableBase;  //函数参数的个数
} KSYSTEM_SERVICE_TABLE, *PKSYSTEM_SERVICE_TABLE;

//在64位系统下获取SSDT服务表的基址
PKSYSTEM_SERVICE_TABLE GetSSDT64Base()
{
	PKSYSTEM_SERVICE_TABLE pServiceTable = NULL;
	PCHAR Base;
	PCHAR FuncAddr;
	LONG offset;
	LONG funoffset;
	//读取KiSystemCall64的地址
	Base = (PCHAR)__readmsr(0xc0000082);

	//偏移313是dff9地址,-4就是服务表偏移
	Base += 313;
	//获得服务表偏移
	offset = *(PLONG)(Base - 4);
	//服务表的地址=base+offset  
	pServiceTable = (PKSYSTEM_SERVICE_TABLE)(Base + offset);
	return pServiceTable;
}

//定义函数指针
typedef NTSTATUS(_stdcall  *Real_ZwTerminateProcess)(
	HANDLE   ProcessHandle,
	NTSTATUS ExitStatus);

Real_ZwTerminateProcess  pReal_ZwTerminateProcess;
ULONG OriginalOffset;
VOID DriverUnload(PDRIVER_OBJECT pdriver) {
	PKSYSTEM_SERVICE_TABLE pServiceTable = GetSSDT64Base();
	KIRQL OldIrql = WPOFF();
	pServiceTable->ServiceTableBase[41] = OriginalOffset;
	WPON(OldIrql);
	DbgPrint("卸载成功");
}


NTKERNELAPI
PUCHAR
PsGetProcessImageFileName(
IN PEPROCESS Process
);

NTSTATUS _stdcall  MyZwTerminateProcess(
	IN HANDLE ProcessHandle OPTIONAL,
	IN NTSTATUS ExitStatus
	)
{
	
	PCHAR pStrProcName;
	PEPROCESS pEProcess;
	ANSI_STRING strProcName;
	// 通过进程句柄来获得该进程所对应的 FileObject 对象,由于这里是进程对象,自然获得的是 EPROCESS 对象
	NTSTATUS status = ObReferenceObjectByHandle(ProcessHandle, FILE_ALL_ACCESS, *PsProcessType, KernelMode,&pEProcess, NULL);
	if (!NT_SUCCESS(status))
	{
		KdPrint(("引用对象错误,错误码:%x\n",status));
		return status;
	}
	
	if (strcmp(PsGetProcessImageFileName(pEProcess), "calc.exe") == 0)
	{
		if (PsGetCurrentProcess()!=pEProcess)
		{
			// 如果该进程是所保护的的进程的话,则返回权限不够的异常即可
			ObDereferenceObject(pEProcess);
			return STATUS_ACCESS_DENIED;
		}
	}
	
	// 对于非保护的进程可以直接调用原来 SSDT 中的 NtTerminateProcess 来结束进程
	ObDereferenceObject(pEProcess);
	return  pReal_ZwTerminateProcess(ProcessHandle, ExitStatus);
}





VOID HookBugCheckEx()
{
	KIRQL Irql;

	//反汇编是: mov rax,0xxxxxx 
	//			 jmp eax	  共12字节
	//JmpCode从第三字节开始是跳转地址
	char JmpCode[] = {"\x48\xb8\xff\xff\xff\xff\xff\xff\xff\x00\xff\xe0"};
	PVOID BugAddr;
	ULONGLONG JmpAddr = (ULONGLONG)MyZwTerminateProcess;
	//构造好跳转的地址  然后写入BugCheckEx函数
	RtlCopyMemory(&JmpCode[2], &JmpAddr, 8);

	Irql = WPOFF();
	//写入KeBugCheckEx函数的开头
	RtlCopyMemory(KeBugCheckEx, JmpCode, sizeof(JmpCode));
	WPON(Irql);
}

VOID  hOOKTerminateProcess64()
{
	PCHAR FuncAddr = (PCHAR)KeBugCheckEx;
	
	HookBugCheckEx();

	//获取服务表基址
	PKSYSTEM_SERVICE_TABLE pServiceBase = GetSSDT64Base();

	//函数地址-服务表的基址=偏移量
	LONG_PTR Offset = (LONG_PTR)(FuncAddr - (PCHAR)pServiceBase->ServiceTableBase);

	//偏移量左移4位 就是写入SSDT表的值
	Offset <<= 4;

	//保存原来的函数 SSDT表基址+对应的偏移右移4位
	ULONG_PTR TableBase =(ULONG_PTR) pServiceBase->ServiceTableBase;
	ULONG OldOffset = pServiceBase->ServiceTableBase[41];
	OriginalOffset = OldOffset;
	OldOffset >>= 4;
	pReal_ZwTerminateProcess =( Real_ZwTerminateProcess)(TableBase + OldOffset);

	
	KIRQL Irql = WPOFF();
	pServiceBase->ServiceTableBase[41] =(ULONG) Offset;
	WPON(Irql);
}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRING RegistryPath)
{
	NTSTATUS status =STATUS_SUCCESS;
	pDriverObject->DriverUnload=DriverUnload;
	hOOKTerminateProcess64();
	return status;


}
qq_857305819
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
64位驱动SSDTHOOK教程
10-02
完整的64位驱动SSDTHOOK文档资料,学习win7 64位驱动很好的
Win7 64位SSDTHOOK(2)---64位SSDT hook的实现
whatday的专栏
09-14 3981
Hook之前要干掉PG:http://www.m5home.com/bbs/thread-5893-1-1.html 上篇文章知道了寻找SSDT表的方法,这篇记录一下如何实现SSDT表的Hook。 下面以Hook NtOpenProcess为例,之前我查SSDT表发现NtOpenProcess函数的标号为35,用XT等工具也能查看。 废话不多说,上代码。 [
x64技术之SSDT_Hook
weixin_33785108的博客
08-20 370
2019独角兽企业重金招聘Python工程师标准>>> ...
win 64 SSDT HOOK
weixin_30815469的博客
10-01 259
以下内容参考黑客防线2012合订本第294页 其实没什么好说的,直接上代码: ssdt的结构,和win32差不多,但是要注意这里的指针类型不能用ULONG替代,如果要非要替代应该用ULONGLONG,原因就不说了. //SSDT的结构 typedef struct _SystemServiceDescriptorTable { PVOID ServiceT...
ssdt_hook.rar_SSDT 进程保护_ssdt_ssdt hook_进程保护
09-22
进程保护方面,SSDT Hook能够有效地防止恶意代码篡改或劫持系统服务,从而保护目标进程的正常运行。例如,它可以监测并阻止试图关闭或修改受保护进程的行为。此外,通过hook关键的系统服务,如进程创建、线程注入...
src_过pg_过windowspg_64位SSDThook实现方法_过PG_
09-30
标题中的“src_过pg_过windowspg_64位SSDThook实现方法_过PG_”似乎是指一个关于在64位Windows系统下绕过Process Guard (PG)并通过修改System Service Dispatch Table (SSDT)实现hook的技术教程。描述中的“WINDOWS ...
Hook ssdt.rar_HookSSDT_hook_ssdt_进程保护_驱动保护
最新发布
09-25
《驱动层Hook SSDT:进程与驱动保护技术详解》 在信息安全领域,Hook SSDT(System Service Dispatch Table)是一种常见的技术手段,它涉及到操作系统内核、驱动程序以及进程管理等多个核心概念。Hook SSDT允许...
SSDTHook实现进程保护
06-29
SSDTHook是一种技术,主要用于实现进程保护,它涉及到Windows操作系统内部的系统服务描述表(System Service Dispatch Table,简称SSDT)的hook机制。在Windows系统中,SSDT是内核模式下的一个关键数据结构,它存储...
win7 64位 ssdthook
11-21
通过hook内核中ssdt表中的ntopenprocess函数,标号为35,可通过遍历ssdt表查找得知,可实现进程保护。 适用系统:win7 64,需关闭驱动签名保护 编程工具:vs2012+wdk8.0
win7 x64 进程保护
05-10
win7 64位系统下驱动保护进程不被读写与关闭的三种实例。
Win7 64位SSDTHOOK(1)---SSDT表的寻找
zfdyq
05-21 6789
最近在学习64位驱动,涉及到了SSDT的知识,结果发现64位下的SSDT和32位下的SSDT有所不同。 开始发现64位下的KeServiceDescriptorTable是未导出的函数。首先要找到KeServiceDescriptorTable的地址。 方法1: 读取c0000082寄存器     kd> rdmsr c0000082   msr[c0000082] = fffff800
64位 驱动 保护进程
编程论坛
06-11 7616
环境:win7 64  win8 win 10SSDT HOOK NtOpenProcess //这一路径上的代码点 in line hookObRegisterCallbacks     //注册回调函数 过滤NTSTATUS  ObRegisterCallbacks (      _In_ POB_CALLBACK_REGISTRATION CallbackRegistration,     ...
ring0 SSDTHook 实现x64/x86
aijuzhou1959的博客
08-25 193
#include "HookSSDT.h" #include <ntimage.h> #define SEC_IMAGE 0x001000000 ULONG32 __NtOpenProcessIndex = 0; PVOID __ServiceTableBase = NULL; ULONG32 __OldNtOpenProcessOffse...
64位内核第二讲,进程保护.
xuq09的专栏
06-10 531
原址:https://www.cnblogs.com/iBinary/p/8401469.html
对于X64 驱动 SSDT hook不能超过4GB的原因?
u012129783的博客
05-09 304
fffff80000ba1000 fffff80000bcb000 kdbazis (deferred) fffff80003e17000 fffff800043f4000 nt (pdb symbols) c:\symbols\ntkrnlmp.pdb\F8E2A8B5C9B74BF4A6E4A48F180099942\ntkrnlmp.pdb f...
普及X64 ssdtshadow inline HOOK
落笔飞花笑百生的博客
09-22 3059
序: 我只想说~~再不发帖老大就 不搭理我了~~~ 原因:玩保护玩到了 XINGCODE3 就他的各种检测就让我不得不重视这个问题了:o: 各种窗口 各种X 我的工具 让我忍无可忍,就决定先HOOK了在说其他 最开始我用TA 的代码里面的 HOOK 方法 在 挂钩 NT 内核中的函数算是无往不利 在SHADOWSSDT中就蛋疼菊花紧了~~ 于是 开始自己搞:mad::mad:
如何找SSDT中精准的
weixin_34235135的博客
08-24 214
2019独角兽企业重金招聘Python工程师标准>>> ...
Windows下Ring0级进程保护组件:SSDT HOOK技术实现
"基于SSDT HOOK 技术的Ring0级进程保护组件设计与实现" 在Windows操作系统中,实现进程保护通常需要深入到系统的核心层,即Ring0级别。这篇文档详细介绍了如何利用SSDT(System Service Descriptor Table,系统服务...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值