二探win10 x64 SSDT(驱动学习笔记六)

最新推荐文章于 2022-04-28 09:29:00 发布
最新推荐文章于 2022-04-28 09:29:00 发布
阅读量3k 收藏 13
点赞数 5
分类专栏: 驱动学习笔记 文章标签: SSDT 学习笔记 问题探讨
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41655422/article/details/102531163
版权

二探win10 x64 SSDT

0x0 C0000082的通解

背景介绍

在上一篇学习笔记中,我们曾说过,在win10 x64 1809专业版上

通过C0000082 MSR寄存器,我所得到的地址并非是nt!KiSystemCall64,而是nt!KiSystemCall64Shadow。
因此,我的权宜之计是读取地址后取一个偏移量将开始进行特征码搜索的位置重新定位到合理的位置,再在其中进行搜索,当然,这显然不是一个有效的方式,待后续解决。

详见上篇文章:初探win10 x64 SSDT(驱动学习笔记五)
为此,我们在此篇文章中来解决这个问题。

寻找SSDT

  1. 首先我们还是通过c0000082找到nt!KiSystemCall64的地址,并查看其反汇编,在其中并没有直接找到SSDT的地址。
1: kd> rdmsr c0000082
msr[c0000082] = fffff804`2f7e2140

1: kd> u fffff804`2f7e2140 
nt!KiSystemCall64Shadow:
fffff804`2f7e2140 0f01f8          swapgs
fffff804`2f7e2143 654889242510700000 mov   qword ptr gs:[7010h],rsp
fffff804`2f7e214c 65488b242500700000 mov   rsp,qword ptr gs:[7000h]
fffff804`2f7e2155 650fba24251870000001 bt  dword ptr gs:[7018h],1
fffff804`2f7e215f 7203            jb      nt!KiSystemCall64Shadow+0x24 (fffff804`2f7e2164)
fffff804`2f7e2161 0f22dc          mov     cr3,rsp
fffff804`2f7e2164 65488b242508700000 mov   rsp,qword ptr gs:[7008h]
nt!KiSystemCall64ShadowCommon:
fffff804`2f7e216d 6a2b            push    2Bh
fffff804`2f7e216f 65ff342510700000 push    qword ptr gs:[7010h]
fffff804`2f7e2177 4153            push    r11
fffff804`2f7e2179 6a33            push    33h
fffff804`2f7e217b 51              push    rcx
fffff804`2f7e217c 498bca          mov     rcx,r10
fffff804`2f7e217f 4883ec08        sub     rsp,8
fffff804`2f7e2183 55              push    rbp
fffff804`2f7e2184 4881ec58010000  sub     rsp,158h
...
fffff804`2f7e236a 4883c408        add     rsp,8
fffff804`2f7e236e e8eeffffff      call    nt!KiSystemCall64ShadowCommon+0x1f4 (fffff804`2f7e2361)
fffff804`2f7e2373 4883c408        add     rsp,8
fffff804`2f7e2377 0faee8          lfence
fffff804`2f7e237a 65c604255308000000 mov   byte ptr gs:[853h],0
fffff804`2f7e2383 e9e35ce9ff      jmp     nt!KiSystemServiceUser (fffff804`2f67806b)
fffff804`2f7e2388 c3              ret
fffff804`2f7e2389 0000            add     byte ptr [rax],al
fffff804`2f7e238b 0000            add     byte ptr [rax],al
...
  1. 通过对反汇编的观察,我们发现了一个找到SSDT的途径,即我们可以通过nt!KiSystemCall64ShadowCommon中的KiSystemServiceUser找到SSDT,我们查看其反汇编如下:
1: kd> u KiSystemServiceUser
nt!KiSystemServiceUser:
fffff804`2f67806b c645ab02        mov     byte ptr [rbp-55h],2
fffff804`2f67806f 65488b1c2588010000 mov   rbx,qword ptr gs:[188h]
fffff804`2f678078 0f0d8b90000000  prefetchw [rbx+90h]
fffff804`2f67807f 0fae5dac        stmxcsr dword ptr [rbp-54h]
fffff804`2f678083 650fae142580010000 ldmxcsr dword ptr gs:[180h]
fffff804`2f67808c 807b0300        cmp     byte ptr [rbx+3],0
fffff804`2f678090 66c785800000000000 mov   word ptr [rbp+80h],0
...
fffff804`2f678154 48898b88000000  mov     qword ptr [rbx+88h],rcx
fffff804`2f67815b 898380000000    mov     dword ptr [rbx+80h],eax
fffff804`2f678161 666666666666660f1f840000000000 nop word ptr [rax+rax]
nt!KiSystemServiceStart:
fffff804`2f678170 4889a390000000  mov     qword ptr [rbx+90h],rsp
fffff804`2f678177 8bf8            mov     edi,eax
fffff804`2f678179 c1ef07          shr     edi,7
fffff804`2f67817c 83e720          and     edi,20h
fffff804`2f67817f 25ff0f0000      and     eax,0FFFh
nt!KiSystemServiceRepeat:
fffff804`2f678184 4c8d15f5663900  lea     r10,[nt!KeServiceDescriptorTable (fffff804`2fa0e880)]
fffff804`2f67818b 4c8d1deee73700  lea     r11,[nt!KeServiceDescriptorTableShadow (fffff804`2f9f6980)]
fffff804`2f678192 f7437880000000  test    dword ptr [rbx+78h],80h
fffff804`2f678199 7413            je      nt!KiSystemServiceRepeat+0x2a (fffff804`2f6781ae)
fffff804`2f67819b f7437800002000  test    dword ptr [rbx+78h],200000h
fffff804`2f6781a2 7407            je      nt!KiSystemServiceRepeat+0x27 (fffff804`2f6781ab)
fffff804`2f6781a4 4c8d1d55e83700  lea     r11,[nt!KeServiceDescriptorTableFilter (fffff804`2f9f6a00)]
fffff804`2f6781ab 4d8bd3          mov     r10,r11
fffff804`2f6781ae 413b443a10      cmp     eax,dword ptr [r10+rdi+10h]
fffff804`2f6781b3 0f832c050000    jae     nt!KiSystemServiceExitPico+0x160 (fffff804`2f6786e5)
fffff804`2f6781b9 4d8b143a        mov     r10,qword ptr [r10+rdi]
fffff804`2f6781bd 4d631c82        movsxd  r11,dword ptr [r10+rax*4]
fffff804`2f6781c1 498bc3          mov     rax,r11
fffff804`2f6781c4 49c1fb04        sar     r11,4
fffff804`2f6781c8 4d03d3          add     r10,r11
fffff804`2f6781cb 83ff20          cmp     edi,20h
fffff804`2f6781ce 7550            jne     nt!KiSystemServiceGdiTebAccess+0x49 (fffff804`2f678220)
fffff804`2f6781d0 4c8b9bf0000000  mov     r11,qword ptr [rbx+0F0h]
nt!KiSystemServiceGdiTebAccess:
fffff804`2f6781d7 4183bb4017000000 cmp     dword ptr [r11+1740h],0
...
  1. 由此,我们可以得到了一个获取SSDT的思路
C0000082
KiSystemCall64Shadow
KiSystemServiceUser
SSDT/SSDTShadow

代码实现

由于目前C0000082会出现两种情况,我们有必要观察下这二者的区别:
KiSystemCall64的汇编代码如下:

1: kd> u KiSystemCall64
nt!KiSystemCall64:
fffff804`2f677e40 0f01f8          swapgs
fffff804`2f677e43 654889242510000000 mov   qword ptr gs:[10h],rsp
fffff804`2f677e4c 65488b2425a8010000 mov   rsp,qword ptr gs:[1A8h]
fffff804`2f677e55 6a2b            push    2Bh
fffff804`2f677e57 65ff342510000000 push    qword ptr gs:[10h]
fffff804`2f677e5f 4153            push    r11
fffff804`2f677e61 6a33            push    33h
fffff804`2f677e63 51              push    rcx
...

KiSystemCall64Shadow的汇编代码如下

1: kd> u KiSystemCall64Shadow
nt!KiSystemCall64Shadow:
fffff804`2f7e2140 0f01f8          swapgs
fffff804`2f7e2143 654889242510700000 mov   qword ptr gs:[7010h],rsp
fffff804`2f7e214c 65488b242500700000 mov   rsp,qword ptr gs:[7000h]
fffff804`2f7e2155 650fba24251870000001 bt  dword ptr gs:[7018h],1
fffff804`2f7e215f 7203            jb      nt!KiSystemCall64Shadow+0x24 (fffff804`2f7e2164)
fffff804`2f7e2161 0f22dc          mov     cr3,rsp
fffff804`2f7e2164 65488b242508700000 mov   rsp,qword ptr gs:[7008h]
nt!KiSystemCall64ShadowCommon:
fffff804`2f7e216d 6a2b            push    2Bh
...

不难发现,这两个函数的特征区别比较明显,KiSystemCall64是将rsp放在了gs段偏移为10h的位置上,而 KiSystemCall64Shadow是将rsp放在了gs段偏移为7010h的位置,通过这个特征,我们可以很容易判断从msr寄存器上获取到的地址到底是KiSystemCall64的地址还是是KiSystemCall64Shadow的地址,核心代码如下:

PUCHAR msr = (PUCHAR)__readmsr(0xC0000082);
if (*(msr + 0x9) == 0x00)
{
	PUCHAR pKiSystemCall64 = msr;
	PUCHAR EndSearchAddress = pKiSystemCall64 + 0x500;//通常搜索范围在500字节就够了
	KeServiceDescriptorTable = SearchforKeSeriviceDescriptorTable(pKiSystemCall64, EndSearchAddress);
	return KeServiceDescriptorTable;
}
else if (*(msr + 0x9) == 0x70)
{
	PUCHAR pKiSystemCall64Shadow = msr;
	PUCHAR EndSearchAddress = pKiSystemCall64Shadow + 0x500;
	PUCHAR i = NULL;
	INT Temp = 0; 
	for (i = pKiSystemCall64Shadow; i < EndSearchAddress; i++)
	{
		//fffff804`3fb46383 e9e35ce9ff      jmp     nt!KiSystemServiceUser (fffff804`3f9dc06b)
		//fffff804`3fb46388 c3              ret
		if (MmIsAddressValid(i) && MmIsAddressValid(i + 5))
		{
			if (*i==0xe9&&*(i+5)==0xc3)
			{
				memcpy(&Temp, i + 1, 4);
				PUCHAR pKiSystemServiceUser = Temp + (i + 5); //计算pKiSystemServiceUser的地址
				PUCHAR EndSearchAddress = pKiSystemServiceUser + 0x500;
				KeServiceDescriptorTable = SearchforKeSeriviceDescriptorTable(pKiSystemServiceUser, EndSearchAddress);
				return KeServiceDescriptorTable;
			}
		}
	}
}

至此,我们完成了上一篇文章所说的相对来说较为通用的寻找SSDT的后续方案。但需要注意的是,不同版本的操作系统仍然可能存在差异,本文的方法适用于win10 1809 x64专业版,其他版本仍需测试验证。但是最重要的仍然是寻找SSDT的思路,这也是写下此片文章的初衷,欢迎大家讨论勘误,也请大神轻喷。
To be continue…

rep_Su
关注
  • 5
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
高版本Windows下SSDT函数获取例子完整工程
10-23
在Windows10 高版本中 ,因为页表隔离补丁(?),__readmsr(0xC0000082) 返回KiSystemCall64Shadow,这玩意无法直接搜索到 KeServiceDescriptorTable,以前获取SystemServiceDescriptorTable的方法失效。
驱动开发:WinDBG 常用调试命令总结
最新发布
CSDN
11-02 1万+
Windbg是Microsoft公司免费调试器调试集合中的GUI的调试器,支持Source和Assembly两种模式的调试。Windbg不仅可以调试应用程序,还可以进行Kernel Debug。结合Microsoft的Symbol Server,可以获取系统符号文件,便于应用程序和内核的调试。Windbg支持的平台包括X86、I...
初探win10 x64 SSDT(驱动学习笔记五)
rep_Su的博客
10-11 3464
初探win10 x64 SSDT0x0 windbg中查看SSDT背景介绍查看SSDT0x1 代码获取SSDT表中的函数获取SSDT的地址 0x0 windbg中查看SSDT 背景介绍 学习驱动的过程中,由于涉及到SSDT HOOK相关的知识点,开始学习SSDT,关于SSDT的基本概念,这里省去,中文名是系统服务描述表,具体的理解可自行百度,由于是初步探讨,本篇只介绍方法。 查看SSDT x64系...
SSDT(系统服务描述符表 system services descriptor table)
weixin_30832143的博客
03-02 1067
SSDT表介绍 ntdll.dll模块中的函数有些以nt或zw开头的函数为了完成相应的功能需要进入内核,调用内核中以nt开头的函数来完成相应的功能。ntdll.dll里的函数在进入内核层之前首先将系统服务号传入eax寄存器中,然后调用KiSystemService函数进入内核层。进入内核后会根据eax值索引ssdt表里的函数进行执行相应地址的函数。 SSDT的每一项是一个系统服务函数的地址,可...
驱动开发:Win10中如何枚举所有SSDT
热门推荐
CSDN
04-28 1万+
SSDT表通过以前的文章可以找到,找到后我们可根据序号获取到该SSDT的地址,如果需要输出所有SSDT表信息,则可以定义字符串列表,以此循环得到,这个列表我已经提取出来了。这里提取出所有的SSDT表函数名称,并循环枚举所有SSDT表。
win7 64位 ssdthook
11-21
通过hook内核中ssdt表中的ntopenprocess函数,标号为35,可通过遍历ssdt表查找得知,可实现进程保护。 适用系统:win7 64,需关闭驱动签名保护 编程工具:vs2012+wdk8.0
win10系统64位驱动级防止进程关闭资源
01-20
在Windows 10 64位系统中,驱动级编程是一种深入操作系统内核的技术,它允许开发者编写程序来控制和管理系统的低级别功能。驱动级防止进程关闭资源是指通过驱动程序来保护特定进程,使其不被轻易结束或篡改。这种...
驱动SSDT未导出函数NtReadVirtualMemory.rtf
08-05
windows10获取SSDT未导出函数NtReadVirtualMemory详细步骤和代码,其他未导出函数同理
x64 ssdt shadowssdt inlinkhook
04-07
标题中的“x64 ssdt shadowssdt inlinkhook”涉及到的是Windows系统内核级的钩子技术,尤其是针对x64架构下的System Service Dispatch Table (SSDT)和Shadow SSDT的内联钩子(In-Process Hook)实现。SSDT是Windows...
x64加载驱动方法,x64驱动各类型hook教程
01-16
在IT领域,尤其是在系统编程和安全分析中,x64加载驱动技术和Hook技术是至关重要的。x64指的是64位版本的操作系统,而驱动程序是操作系统与硬件设备之间的桥梁,它提供了对硬件的直接控制。这篇教程可能包含了如何在...
开源64位全系统获取SSDT地址-易语言
06-12
哈喽大家好,这次分享获取ssdt当前地址的源码 获取ssdt地址 当然是用驱动编写的啦??驱动支持全系统获取(x64 )位? 易源码是有bug的??win7 获取真实的地址可以没啥问题??win10的就有问题 实在没时间去修了??驱动没啥问题 反复测试没蓝屏 (驱动已签名) 其他的问题后期在看着弄吧? ?提示驱动获取的ssdt地址是没问题的 原始地址是要从ntoskrnl.exe获取 (驱动源码不开源)
Windows内核情景分析学习笔记(五)
weixin_44356908的博客
08-15 387
64位下 3环64位进程进行系统调用分析 以下将以ReadProcessMemory为例进行分析 kernel32.dll sub rsp, 38h; mov rax, [rsp+38h+lpNumberOfBytesRead]; mov [rsp+38h+var_18], rax ; 这是将第五个参数(存放以读数据字节数的地址)保存到一个局部变量中 call <JMP.&ReadProcessMemory>;调用kernelbase.
Win7 64位的SSDTHOOK(1)---SSDT表的寻找
whatday的专栏
09-14 3258
最近在学习64位驱动,涉及到了SSDT的知识,结果发现64位下的SSDT和32位下的SSDT有所不同。 开始发现64位下的KeServiceDescriptorTable是未导出的函数。首先要找到KeServiceDescriptorTable的地址。 方法1: 读取c0000082寄存器 [cpp] view plain copy  
系统服务调用与异常分发
Returns' Station
05-18 4860
系统服务的调用过程 一、CPU的内部支持 1. int 0x2e 进入 iret返回 (中断门切换) ★.利用中断进入内核,0x2e对应的是KiSystemService ★.每个处理器有一个任务环境,初始化时系统会给CPU在GDT中构造TSS段,并且记录在KPCR中,其中记录着内核栈的地址。线程切换的时候会把处理器的TSS.ESP0 设置为当前的内核栈地址    所以r
win10驱动开发20——SSDT
qq_41610493的博客
12-18 802
什么是SSDT        SSDT全称为System Services Descriptor Table,中文为系统服务描述符表,SSDT表就是把ring3的Win32 API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。        SSDT通过修改此表的函数地址可以对常用windo
windows 驱动实现进程枚举
全栈胖叔叔
05-08 976
因为最近有需求写windows平台下的发外挂模块,需要实现对进程的监控,其中一个线程需要匹配进程名,那么问题来了,这就需要获取所有进程名称。 在用户层ring3下,枚举进程的方法主要有: 1.CreateToolhelp32Snapshot 通过快照枚举,x86和x64,winxp-win10 均可获取到进程名称。 2.通过 Psapi.dll,LoadLibrary(“PSAPI.DLL”),调用其EnumProcesses()枚举进程,x86和x64,winxp-win10 均可获取到进程名称,但是这个
64位使用windbg获取Shadow SSDT
weixin_30508309的博客
01-14 384
首先选择一个带界面的程序explorer.exe进行附加 kd> !process 0 0 explorer.exe PROCESS ffff86893dd075c0 SessionId: 1 Cid: 0d48 Peb: 00d50000 ParentCid: 0d30 DirBase: 42d9a000 ObjectTable: ffffe28598bb1800 Hand...
系统调用002 KiSystemService函数逆向分析
鬼手的博客
12-22 1784
文章目录前言保存现场_KTRAP_FRAMEKRPCExceptionList_KTHREAD结构体先前模式抬高堆栈判断当前权限更新_KTRAP_FRAME保存三环的寄存器环境判断调试状态 前言 之前我们详细了解了API从三环进到零环的过程,API会通过两种方式进入到零环,如果通过中断门的方式进入零环,最终会进入到KiSystemService这个函数。接下来就来分析KiSystemService...
CPU漏洞补丁修复导致KeServiceDescriptorTable获取变更
weixin_30784501的博客
01-11 632
  一、前言   2018年元旦,出现的cpu的漏洞,可以在windows环三直接读取内核数据,windows对该漏洞提供补丁,补丁增加了一个页表,对应的内核处理也增加了,接下来我们看下补丁修复的表象以及对KeServiceDescriptorTable获取的变更。   可参考https://bbs.kafan.cn/thread-2112833-1-1.html   二、补丁修...
SSDT:系统服务钩接与网络安全驱动开发关键技术
SSDT网络安全资料配置驱动开发环境的学习,不仅需要理解操作系统内部的工作机制,还需要掌握高级的编程和调试技术,这对于网络安全专业人员和驱动开发者来说是一项重要的技能。在这个领域深入研究,可以帮助人们发现...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值