Hook集合----SSDTHook(x86 Win7)

最新推荐文章于 2022-08-01 03:25:33 发布
最新推荐文章于 2022-08-01 03:25:33 发布
阅读量222 收藏
点赞数 1
分类专栏: Hook集合
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42021840/article/details/105782507
版权

      最近在学习Ring0层Hook的一些知识点,很久就写完SSDTHook的代码了,但是一直没有整理成笔记,最近有时间也就整理整理。

介绍:

     SSDTHook 实质是利用Ntoskrnl.exe 中全局导出的SSDT来进行Hook,SSDT(SystemServiceDescriptorTable,系统服务描述表),为什么要去用到SSDT表呢?

     我们看一下ZwOpenProcess实现就明白了。为什么不用Nt系列函数,可以看我之前的文章。

 

kd> u 0x8485acd8
            nt!ZwOpenProcess:
            8485acd8 b8 be000000      mov     eax,0BEh
            8485acdd 8d542404        lea     edx,[esp+4]
            8485ace1 9c              pushfd
            8485ace2 6a08            push    8
            8485ace4 e8d5190000      call    nt!KiSystemService (8485c6be)
            8485ace9 c21000          ret     10h
            nt!ZwOpenProcessToken:
            8485acec b8bf000000      mov     eax,0BFh
            8485acf1 8d542404        lea     edx,[esp+4]

 

    KiSystemService是系统调用的内核入口,也是从Ring3陷入Ring0的关键点。在第一句中mov eax,0BEh 中的BEh在我看来就是一个序号,相当于中断向量表中的中断类型号一样,在SSDT表中通过这序号,才找到真正的NtOpenProcess函数的代码出。很容易就能理解,我们为什么要找这个。原因在于:我们要把SSDT表中相应位置的函数地址替换掉,就实现了Hook。

 (一)

 

     ⚪首先找到全局导出的KeServiceDescriptorTable。

     ⚪然后从MmGetSystemRoutineAddress函数中获取ZwOpenProcess函数地址。

     ⚪从ZwOpenProcess中获取序号。

     ⚪将SSDT表所在页属性改为可读可写的状态。

     ⚪将自己写好的Fake函数地址替换进去即可。

 

Hook之前:                                                                               Hook之后:

 

 

             

 

 

 

 

(二)

 

/*
typedef struct _SYSTEM_SERVICE_DESCRIPTOR_TABLE_     
{
    PVOID ServiceTableBase; //这个指向系统服务函数地址表
    PULONG ServiceCounterTableBase;
    ULONG NumberOfService; //服务函数的个数
    ULONG ParamTableBase;
}SYSTEM_SERVICE_DESCRIPTOR_TABLE, *PSYSTEM_SERVICE_DESCRIPTOR_TABLE;

0x84988b00 struct _SYSTEM_SERVICE_DESCRIPTOR_TABLE_ *
ServiceTableBase         0x8489d43c
ServiceCounterTableBase  0x00000000
NumberOfService          0x191
ParamTableBase           0x8489da84
*/
extern PSYSTEM_SERVICE_DESCRIPTOR_TABLE KeServiceDescriptorTable;
PUCHAR __ZwOpenProcess = NULL;
PMDL __MDL = NULL;
PVOID *__ServiceTableBase = NULL;
LPFN_NTOPENPROCESS __NtOpenProcess = NULL;
BOOLEAN __IsHook = FALSE;


#define SSDT_INDEX(ZwFunctionAddress) * (PULONG)((PUCHAR)ZwFunctionAddress +1)
#define SSDT_HOOK(ZwFunctionAddress,FakeFunctionAddress,OriginalFunctionAddress)\
                 OriginalFunctionAddress = (PVOID) InterlockedExchange((PLONG)&__ServiceTableBase[SSDT_INDEX(ZwFunctionAddress)],(LONG)FakeFunctionAddress)
#define SSDT_UNHOOK(ZwFunctionAddress,OriginalFunctionAddress)\
                   (PVOID) InterlockedExchange((PLONG)&__ServiceTableBase[SSDT_INDEX(ZwFunctionAddress)],(LONG)OriginalFunctionAddress)
NTSTATUS SSDTHook(BOOLEAN IsOk)
{
    NTSTATUS Status = STATUS_UNSUCCESSFUL;
    UNICODE_STRING v1;
    RtlInitUnicodeString(&v1, L"ZwOpenProcess");
    
    if (IsOk)
    {
        __ZwOpenProcess = (PUCHAR)MmGetSystemRoutineAddress(&v1);
        /*
        2: kd> u 0x8485acd8
            nt!ZwOpenProcess:
            8485acd8 b8 be000000      mov     eax,0BEh
            8485acdd 8d542404        lea     edx,[esp+4]
            8485ace1 9c              pushfd
            8485ace2 6a08            push    8
            8485ace4 e8d5190000      call    nt!KiSystemService (8485c6be)
            8485ace9 c21000          ret     10h
            nt!ZwOpenProcessToken:
            8485acec b8bf000000      mov     eax,0BFh
            8485acf1 8d542404        lea     edx,[esp+4]

        */
        if (__ZwOpenProcess)
        {
            if (__MDL == NULL)
            {
                __MDL = MmCreateMdl(NULL, KeServiceDescriptorTable->ServiceTableBase,
                    KeServiceDescriptorTable->NumberOfService * sizeof(PVOID));
                if (!__MDL)
                {
                    return Status;
                }
                MmBuildMdlForNonPagedPool(__MDL);
                //设置标志让内存变成读写
                __MDL->MdlFlags = __MDL->MdlFlags | MDL_MAPPED_TO_SYSTEM_VA;
                __ServiceTableBase = MmMapLockedPages(__MDL, KernelMode);
            }
            

            if (__ServiceTableBase)
            {
                if (!__IsHook)
                {
                    //开始HOOK
                    SSDT_HOOK(__ZwOpenProcess, FakeNtOpenProcess, __NtOpenProcess);
                    Status = STATUS_SUCCESS;
                    /*
                    2: kd> u 0x84a31ba1
                        nt!NtOpenProcess:
                        84a31ba1 8bff            mov     edi,edi
                        84a31ba3 55              push    ebp
                        84a31ba4 8bec            mov     ebp,esp
                        84a31ba6 51              push    ecx
                        84a31ba7 51              push    ecx
                        84a31ba8 64a124010000    mov     eax,dword ptr fs:[00000124h]
                        84a31bae 8a803a010000    mov     al,byte ptr [eax+13Ah]
                        84a31bb4 8b4d14          mov     ecx,dword ptr [ebp+14h]

                    */

                    __IsHook = TRUE;
                }
                
            }
        }
    }
    else
    {
        if (__IsHook)
        {
            SSDT_UNHOOK(__ZwOpenProcess, __NtOpenProcess);
            __IsHook = FALSE;
        }
        if (__MDL)
        {
            MmUnmapLockedPages(__ServiceTableBase, __MDL);
            IoFreeMdl(__MDL);
            __MDL = NULL;
            Status = STATUS_SUCCESS;

        }
        
    
    }
    

    return Status;
}

NTSTATUS FakeNtOpenProcess( PHANDLE ProcessHandle, ACCESS_MASK DesiredAccess, POBJECT_ATTRIBUTES ObjectAttributes, PCLIENT_ID ClientId)
{
    
    __try
    {
        PEPROCESS EProcess = PsGetCurrentProcess();
        if (EProcess != NULL && IsRealProcess(EProcess))
        {
            char * ProcessName = (ULONG_PTR)EProcess + x86_IMAGEFILENAME_OFFSET;
            if (strcmp(ProcessName, "HookRing3.exe")==0)
            {
                return STATUS_ACCESS_DENIED;
            }
        }
    }
    __except (1)
    {
        return GetExceptionCode();
    }
    return ((LPFN_NTOPENPROCESS)__NtOpenProcess)(ProcessHandle, DesiredAccess, ObjectAttributes, ClientId);

}

 

 

 

`Nobody
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
更加稳定的HOOK SSDT(通过MDL方式)
10-27 4870
传说修改cr0寄存器后再写SSDT在多核CPU不稳定,因此提供一个更加稳定的写SSDT表的方式,代码如下//// 挂钩函数//BOOL HookSSDT()...{    PMDL pMdlSystemCall = NULL;    DWORD * MappedSystemCallTable = 0;       pMdlSystemCall = IoAllocateMdl(       
Win7 64位的SSDTHOOK(2)---64位SSDT hook的实现
whatday的专栏
09-14 3958
Hook之前要干掉PG:http://www.m5home.com/bbs/thread-5893-1-1.html 上篇文章知道了寻找SSDT表的方法,这篇记录一下如何实现SSDT表的Hook。 下面以Hook NtOpenProcess为例,之前我查SSDT表发现NtOpenProcess函数的标号为35,用XT等工具也能查看。 废话不多说,上代码。 [
Win7 64位的SSDTHOOK(1)---SSDT表的寻找
whatday的专栏
09-14 3238
最近在学习64位驱动,涉及到了SSDT的知识,结果发现64位下的SSDT和32位下的SSDT有所不同。 开始发现64位下的KeServiceDescriptorTable是未导出的函数。首先要找到KeServiceDescriptorTable的地址。 方法1: 读取c0000082寄存器 [cpp] view plain copy  
SSDT—Hook和MDL
kernweak的博客
09-03 1466
SSDT HOOK 首先要明白SSDTHOOK就是自己再写一份函数,替换了SSDT表中的地址替换掉 如何访问系统服务表呢? SSDT 的全称是 System Services Descriptor Table,系统服务描述符表 下面这个是个全局变量 kd> dd KeServiceDescriptorTable(SSDT) 这个导出的 声明一下就可以使用了 kd&g...
MDL 中实际包含的内容是什么?
weixin_34347651的博客
10-12 144
MDL 中实际包含的内容是什么? 更新日期: 2008年01月11日 内存描述符列表 (MDL) 是一个系统定义的结构,通过一系列物理地址描述缓冲区。执行直接 I/O 的驱动程序从 I/O 管理器接收一个 MDL 的指针,并通过 MDL 读写数据。一些...
使用MDL读写内存的SSDT HOOK
kernweak的博客
05-30 2253
X64下有patchguard,所以先讨论x86的 思路 首先找到函数地址,如果是导出函数,可以使用MmGetSystemRoutineAddress,如果未导出加载符号通过特征码 实现新新函数替换原函数 恢复函数 关于系统从应用层进入内核,xp前是int2e,之后32位是sysenter,64是syscall https://bbs.pediy.com/thread-226254.h...
SSDT.rar_SSDT-HOOK_ssdt
09-19
挂钩SSDT,通过驱动和hook函数进行进程控制。
X-Gorgon hook插件
03-03
使用xposed hook X-Gorgon加密参数以及开放接口,安装即可使用,端口8709,使用版本8.2
react-hook-layout:React中的布局管理
05-01
import { defineSlots , useLayout } from "react-hook-layout" ; const Page = ( ) => { const { Content , Footer , Header , SidebarLeft , SidebarRight } = defineSlots ( "Content" , "Footer" , "Header...
react-hook-with-redux-hooks
05-04
用Redux HooksReactHook 该项目是一种研究形式,它使用了当今就业... 注意:要进行项目工作,需要使用此提供的api节点通过创建React App 通过Redux用于状态管理等,作者: Redux DevTools通过入门# clone it git clone ...
react-hooks:React Hook集合
08-04
React钩子React Hooks 的集合。tl;博士通过执行npm install @wojtekmaj/react-hooks或yarn add @wojtekmaj/react-hooks 。 通过添加import { useTick } from '@wojtekmaj/react-hooks'来import { useTick } from '@...
钩住SSDT以及隐藏进程的代码HideProcessHookMDL
02-11
钩住SSDT以及隐藏进程的代码HideProcessHookMDL
学习笔记-SSDT_HOOK
a2a_66666的博客
08-31 230
0x00SSDT:   SSDT 的全称是 System Services Descriptor Table,系统服务描述符表。   内核中有两个系统服务描述符表,一个是KeServiceDescriptorTable,另一个是KeServieDescriptorTableShadow。   KeServiceDescriptorTable 主要是处理来自 Ring3 层得 Ke...
逆向基础-Windows驱动开发【SSDT HOOK
AppWhite_Star的博客
08-01 1685
驱动开发,SSDT HOOK
SSDT表函数Hook原理
墨鱼菜鸡
06-25 159
其实SSDTHook的原理是很简单的,我们可以知道在SSDT这个数组中呢,保存了系统服务的地址,比如对于Ring0下的NtQuerySystemInformation这个系统服务的地址,就保存在KeServiceDescriptorTable[105h]中(计算公式address...
x64技术之SSDT_Hook
Hades的博客
05-10 5550
x64技术之SSDT_Hook测试环境:虚拟机: Windows 7 64bit过PG工具驱动加载工具PCHunter64系统自带的计算器和任务管理器等实现思路:实际思路与win32的思路一样.都是替换SSDT表里边的函数地址.不过微软被搞怕了,所以在x64上做了一些手脚.具体手脚就是x64通过SSDT得到的函数地址,不是真实的函数绝对地址了,而是加密了的.HOOK1.得到系统服务表基址2.保存需...
SSDT Hook底层原理介绍以及如何实现进程保护
linuxguitu的博客
12-03 914
目录 SSDT Hook效果图 SSDT简介 SSDT结构 SSDT HOOK原理 Hook前准备 如何获得SSDT中函数的地址呢 SSDT Hook流程 SSDT Hook实现进程保护 SSDT Hook效果图 加载驱动并成功Hook NtTerminateProcess函数: 当对 指定的进程进行保护后,尝试使用“任务管理器”结束进程的时候,会弹出“拒绝访问”的窗口,说明,我们的目的已经达到: SSDT简介 SSDT 的全称是 System Services Descr.
如何找SSDT中精准的
weixin_34235135的博客
08-24 199
2019独角兽企业重金招聘Python工程师标准>>> ...
Win64 驱动内核编程-19.HOOK-SSDT
天使也掉毛
03-19 4840
HOOK SSDT     在 WIN64 上 HOOK SSDT 和 UNHOOK SSDT 在原理上跟 WIN32 没什么不同,甚至说 HOOK 和 UNHOOK 在本质上也没有不同,都是在指定的地址上填写一串数字而已 (填写代理函数的地址时叫做 HOOK,填写原始函数的地址时叫做 UNHOOK)。不过实现起来还是很大不同的。 一 、 HOOK SSDT     要挂钩 SSDT,必然
hook-gevent
最新发布
10-24
根据提供的引用内容,无法确定hook-gevent的具体含义。但是可以猜测,hook-gevent可能是一个Python模块或库,用于实现协程并发编程。协程是一种轻量级的线程,可以在单线程中实现并发执行,提高程序的效率和性能。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值