HOOK集合----SSDT Hook Anti(X86 win7)

于 2020-05-09 23:18:13 发布
阅读量215 收藏
点赞数 2
分类专栏: Hook集合
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42021840/article/details/106029253
版权

介绍:

  前段时间写了SSDT  Hook,没来得及写SSDT Hook 的ANTI策略,今天来写一下。

  其实,ANTI SSDT Hook 也很简单,无非就是对比一下内存中加载的SSDT 表中的函数地址和原文件(ntkrnlpa.exe)中的SSDT表中函数地址是否一致即可。

(一)

⚪ 获取ntkrnlpa.exe模块的完整路径

⚪将文件读取到当前内存空间中

⚪将RVA转化为FOA,找到原文件读取到内存中的SSDT表位置。

⚪判断内存加载的SSDT表中的函数地址和原文件中的SSDT表中函数地址是否一致

⚪关闭写保护,覆盖FakeFunction函数地址。

⚪开启写保护,ANTI完成。

 

这些步骤当中其实还涉及到一些小细节去要介绍一下,比如说SSDT表中的存放的函数地址,都是Nt系列函数,那是如何找到的目标函数地址呢?这就要从Zw函数调用开始说起了,当你调用Zw函数的时候,Zw函数代码中会传入一个序列号,这个序列号就是Zw对应的Nt系列函数在SSDT表中的下标,所以我们在Zw函数中可以找到对应的序列号。

        2: kd> u 0x8485acd8
            nt!ZwOpenProcess:
            8485acd8 b8 be000000      mov     eax,0BEh
            8485acdd 8d542404        lea     edx,[esp+4]
            8485ace1 9c              pushfd
            8485ace2 6a08            push    8
            8485ace4 e8d5190000      call    nt!KiSystemService (8485c6be)
            8485ace9 c21000          ret     10h
            nt!ZwOpenProcessToken:
            8485acec b8bf000000      mov     eax,0BFh
            8485acf1 8d542404        lea     edx,[esp+4]

注意红色部分!!!!

在我通过Windbg中找出ZwOpenProcess函数的反汇编的时候,有一个0BEh的序列号传入,这就是我们要找的东西。具体为什么是这样,可以看我之前些的Zw和Nt系列函数的区别

 

(二)

#pragma once
#include<fltKernel.h>
#include"Common.h"
#include"SystemHelper.h"
#include<ntimage.h>

NTSTATUS SSDTHookANTI();
ULONG GetRawOffset(IN PVOID ImageBase, IN ULONG TableRVA, OUT PULONG FileImageBase);

VOID OnEnableWrite();   //关闭写保护 
VOID OnDisableWrite();  //开启写保护


#include"SSDTHook-ANTI.h"

extern PVOID __KernelModuleBase ;
extern ULONG __KernelModuleSize;
extern UNICODE_STRING __KernelModulePath ;
extern PSYSTEM_SERVICE_DESCRIPTOR_TABLE KeServiceDescriptorTable;


#define SSDT_INDEX(ZwFunctionAddress) * (PULONG)((PUCHAR)ZwFunctionAddress +1)
NTSTATUS SSDTHookANTI()
{
	NTSTATUS Status = STATUS_UNSUCCESSFUL;
	HANDLE FileHandle = NULL;
	OBJECT_ATTRIBUTES ObjectAttributes;
	IO_STATUS_BLOCK IoStatusBlock;
	FILE_STANDARD_INFORMATION FileStandardInfo;
	char * BufferData = NULL;
	ULONG RawOffset = 0;
	UNICODE_STRING v1;
	LARGE_INTEGER Offset;
	ULONG FileImageBase = 0;  //优先加载地址
	ULONG SSDTRva = 0;
	PUCHAR ZwOpenProcessAddress = NULL;

	Status = MaGetKernelModuleInfo();
	if (!NT_SUCCESS(Status))
	{
		return Status;
	}


	RtlInitUnicodeString(&v1, L"ZwOpenProcess");

	
	ZwOpenProcessAddress = (PUCHAR)MmGetSystemRoutineAddress(&v1);




	InitializeObjectAttributes(&ObjectAttributes, &__KernelModulePath, OBJ_CASE_INSENSITIVE, NULL, NULL);
	Status = ZwCreateFile(&FileHandle,
		SYNCHRONIZE,
		&ObjectAttributes,
		&IoStatusBlock,
		NULL,
		FILE_ATTRIBUTE_NORMAL,
		FILE_SHARE_READ,
		FILE_OPEN,
		FILE_SYNCHRONOUS_IO_NONALERT,
		NULL,
		0);
	if (!NT_SUCCESS(Status))
	{
		return Status;
	}
	Status = ZwQueryInformationFile(FileHandle,
		&IoStatusBlock,
		&FileStandardInfo,
		sizeof(FILE_STANDARD_INFORMATION),
		FileStandardInformation);
	if (!NT_SUCCESS(Status))
	{
		ZwClose(FileHandle);
		return Status;
	}
	BufferData = ExAllocatePool(PagedPool, FileStandardInfo.EndOfFile.LowPart);
	if (BufferData == NULL)
	{
				
		ZwClose(FileHandle);
		return STATUS_INSUFFICIENT_RESOURCES;
	}
	Status = ZwReadFile(FileHandle,
		NULL,
		NULL,
		NULL,
		&IoStatusBlock,
		BufferData,
		FileStandardInfo.EndOfFile.LowPart,
		&Offset,
		NULL);
	if (!NT_SUCCESS(Status))
	{
		ExFreePool(BufferData);
		ZwClose(FileHandle);
		return STATUS_UNSUCCESSFUL;
	}
	//SSDT表在内存的偏移   内存粒度0x1000对齐的
	SSDTRva = (ULONG_PTR)(KeServiceDescriptorTable->ServiceTableBase) - (ULONG)__KernelModuleBase;
	//SSDT表在文件中的偏移 内存粒度0x200对齐的
	RawOffset = GetRawOffset(BufferData, SSDTRva, &FileImageBase);

	//判断是否HOOK

	if (((PULONG_PTR)(KeServiceDescriptorTable->ServiceTableBase))[SSDT_INDEX(ZwOpenProcessAddress)] !=
		(((PULONG_PTR)(RawOffset + (ULONG_PTR)BufferData))[SSDT_INDEX(ZwOpenProcessAddress)]
			- (ULONG_PTR)FileImageBase + (ULONG_PTR)__KernelModuleBase))
	{
		OnEnableWrite();

		((PULONG_PTR)(KeServiceDescriptorTable->ServiceTableBase))[SSDT_INDEX(ZwOpenProcessAddress)] =
			((PULONG_PTR)(RawOffset+(ULONG_PTR)BufferData))[SSDT_INDEX(ZwOpenProcessAddress)] -
			(ULONG_PTR)FileImageBase + (ULONG_PTR)__KernelModuleBase;

		OnDisableWrite();

	}

	if (FileHandle != NULL)
	{
		ZwClose(FileHandle);
		FileHandle = NULL;
	}
	if (BufferData != NULL)
	{
		ExFreePool(BufferData);
		BufferData = NULL;
	}
	RtlFreeUnicodeString(&__KernelModulePath);
	return Status;
}

ULONG GetRawOffset(IN PVOID ImageBase, IN ULONG TableRVA, OUT PULONG FileImageBase)
{
	PIMAGE_DOS_HEADER ImageDosHeader = NULL;
	PIMAGE_NT_HEADERS ImageNtHeader = NULL;
	PIMAGE_FILE_HEADER ImageFileHeader = NULL;
	PIMAGE_SECTION_HEADER ImageSectionHeader = NULL;
	PIMAGE_OPTIONAL_HEADER ImageOptionHeader = NULL;
	ULONG SectionNumber = 0;
	ULONG RawOffset = 0;
	ULONG i;


	ImageDosHeader = (PIMAGE_DOS_HEADER)ImageBase;
	ImageNtHeader = ImageDosHeader->e_lfanew + (ULONG_PTR)ImageDosHeader;
	ImageFileHeader = &ImageNtHeader->FileHeader;
	ImageOptionHeader = &ImageNtHeader->OptionalHeader;
	ImageSectionHeader = (PIMAGE_SECTION_HEADER)((PUCHAR)ImageNtHeader+sizeof(ULONG)+sizeof(IMAGE_FILE_HEADER)+
		ImageFileHeader->SizeOfOptionalHeader);

	//预先加载的位置
	*FileImageBase = ImageOptionHeader->ImageBase;
	SectionNumber = ImageFileHeader->NumberOfSections;

	for (i = 0;i < SectionNumber;i++, ImageSectionHeader++)
	{
		if (TableRVA > ImageSectionHeader->VirtualAddress &&
			TableRVA < ImageSectionHeader->VirtualAddress + ImageSectionHeader->SizeOfRawData)
		{
			RawOffset = TableRVA - ImageSectionHeader->VirtualAddress + ImageSectionHeader->PointerToRawData;

			//RawOffset = (ULONG)ImageBase + RawOffset;
			return (ULONG)RawOffset;
		}
	}
	return 0;
}

VOID OnEnableWrite()
{
	__try
	{
		_asm
		{
			cli   //禁止中断发生
			mov eax,cr0
			and eax,not 10000h //cr0寄存器中第17位 WP位
			mov cr0,eax
	    }
	}
	__except (1)
	{
		
	}
}

VOID OnDisableWrite()
{
	__try
	{
		_asm
		{
		
			mov eax, cr0
			or eax, 10000h  //cr0寄存器中第17位 WP位
			mov cr0, eax

			sti        //恢复中断屏蔽
		} 
	}
	__except (1)
	{

	}
}

 

 

 

`Nobody
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
180313 逆向-反调试技术(6)HookAntiHook
whklhhhh的博客
04-03 1245
1625-5 王子昂 总结《2018年3月13日》 【连续第528天总结】 A. 反调试技术(6) B. HookAntiHook 壳通过调用ThreadHideFromDebugger检测调试器,于是OD的HideOD插件就是通过对ThreadHideFromDebugger的Hook来对抗的 最早期直接在入口写入retn 10来直接返回,防止函数的调用 于是外壳也进行了改进:...
红队系列-shellcode AV bypass Evasion免杀合集
aming小老弟
11-13 1064
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加壳虽然对于特征码绕过有非常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件,文件通过杀软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png中的shellcode。
Anti Hook,Anti BreakPoint
c/c++、x86汇编、Win32汇编、逆向、破解
02-26 975
这段代码演示了如何让你的程序要保护的API函数不被下断。这段代码显示一个对话框,但Cracker在OD中是无法下MessageBoxA断点的。因为程序将要用到的MessageBoxA函数的DLL文件拷贝到了自己新申请的空间内,并执行的是新空间中MessageBoxA的代码。而Cracker下的断是系统DLL文件的断点,显然是无法拦截到我们的函数的。#include #include DWO
程序驱动防止消息钩子入侵
weixin_33672400的博客
04-28 287
PS:明天上午,非常郁闷,有很多简单基础的问题搞得我有些迷茫,哎,代码几天不写就忘。目前又不当COO,还是得用心记代码哦!     很久以前就道知可以应用LoadLibraryExW来避免全局钩子入侵,说实话直一很恶感消息钩子。经曾想过在驱动层通过过hook NtUserSetWindowsHookEx来避免,但是我们是不并很好分区钩子不是不意恶的,而且windows统系本身也会应用,还有就是驱...
HOOK集合----SSDTDPC Hook Anti(X86 win7)
qq_42021840的博客
05-09 395
介绍: 前几天写过一篇SSDT DPC Hook的文章,最近才想起来写一下如何来对抗SSDT DPC Hook,所以有了这篇文章,其实对抗原理也很简单,就是检测出来目标驱动创建的DPC,移除掉,然后进行普通的SSDT Hook 就可以了。 (一) ⚪获取目标驱动信息(模块基址和大小) ⚪获取DPC信息 判断目标驱动创建出的DPC ⚪移除DPC、销毁时钟 ⚪卸载SSDT Hook (二) #pragma once #include<fltKernel.h> #...
detours, x86 kernel hook 以及 x64 kernel hook [转自驱动开发网]
xiaoqiangvs007的专栏
06-13 5077
  HuYuguang 2007-02-09 14:08 我假设读者已经非常熟悉detours,阅读此文只是为了增强对detours的理解以及为了实现x64 hook。有关detours原理部分不再多讲。X86 Kernel Hook早些年,我把
从Ollydbg说起-----WinDbg用户态调试教程
ayang1986的专栏
04-25 1292
转载自:https://blog.csdn.net/haoxing168/article/details/4545762https://blog.csdn.net/Blue_Dream_/article/details/1760995【文章标题】: 【原创】从Ollydbg说起-----WinDbg用户态调试教程【文章作者】: 笨笨雄【作者邮箱】: nemo314@gmail.com【工具】:Wi...
A Catalog of Local Windows Kernel-mode Backdoor Techniques
07-24 2442
 skape & Skywing mmiller@hick.org & Skywing@valhallalegends.com        Abstract: This paper presents a detailed catalog of techniques that can beused to create local kernel-mode backdoors on Windows. 
SSDT.rar_SSDT-HOOK_ssdt
09-19
SSDT(System Service Dispatch Table,系统服务调度表)是Windows操作系统中的一个重要概念,它是一个包含系统服务函数指针的表,这些服务函数提供了操作系统内核与用户模式应用程序之间的接口。在Windows NT架构的...
react-hook-layout:React中的布局管理
05-01
import { defineSlots , useLayout } from "react-hook-layout" ; const Page = ( ) => { const { Content , Footer , Header , SidebarLeft , SidebarRight } = defineSlots ( "Content" , "Footer" , "Header...
ssdt.rar_SSDT DELPHI_SSDT-hook delphi_Table_delphi ssdt_ssdt
09-22
标题“ssdt.rar_SSDT DELPHI_SSDT-hook delphi_Table_delphi ssdt_ssdt”暗示了这是一个与Delphi编程语言相关的项目,它涉及到了SSDT的查看、检测以及挂钩(hooking)技术。Delphi是一种强大的面向对象的编程语言,...
emqx-lua-hook:EMQ X钩钩
02-03
在emqx-lua-hook-master文件中,可能包含了以下内容: 1. `src/` 目录:存放插件的Erlang源代码,其中可能有加载和管理Lua脚本的模块。 2. `priv/` 目录:存放Lua脚本,这些脚本会被插件加载并在适当的时候执行。 3...
react-hook-with-redux-hooks
05-04
用Redux HooksReactHook 该项目是一种研究形式,它使用了当今就业... 注意:要进行项目工作,需要使用此提供的api节点通过创建React App 通过Redux用于状态管理等,作者: Redux DevTools通过入门# clone it git clone ...
从Ollydbg说起-----WinDbg用户态调试教程(2)
FISH 的专栏
08-27 4761
 2.一般调试流程2.1  调试目标CTRL+E 相当于Ollydbg的菜单“文件=>打开”,WinDbg除了能设启动参数之外,还能设起始文件夹,还有一个调试子进程的额外选项。F6 相当于Ollydbg的“文件=>附加”CTRL+K 内核调试模式。分4种模式,分别是COM,1394,USB2.0和本地调试,头3种都是双机调试,最后一种调试需要XP以上版本。Ollydbg有3个入口点可以选择
8个Python小程序代码示例 新手小白也能实现-python小程序源代码
最新发布
07-20
python小程序代码: 8个Python小程序代码示例。新手小白也能实现_python小程序源代码
程序设计实习大作业基于C++面向对象实现的百练魔兽世界源代码
07-20
程序设计实习大作业基于C++面向对象实现的百练魔兽世界源代码
[课设项目]Java-SSM框架开发保险业务管理系统设计与实现+jsp+MySQL+前后端分离毕业论文和源码.zip
07-20
本项目是一个基于Java-SSM框架开发的保险业务管理系统,旨在帮助保险公司实现业务管理的自动化和信息化。系统采用前后端分离的设计模式,前端使用JSP技术进行页面展示和用户交互,后端则采用SSM框架进行业务逻辑处理和数据访问。数据库方面,项目使用MySQL作为存储和管理数据的工具。 项目实现了以下功能: 1. 用户登录与权限管理:系统提供用户登录功能,并根据用户角色分配不同的操作权限。 2. 保险业务管理:系统支持保险产品的增删改查操作,同时提供业务办理、理赔申请等功能。 3. 数据统计与分析:系统能够对保险业务数据进行统计和分析,为保险公司提供决策支持。 4. 报表生成与导出:系统可生成各类保险业务报表,并支持导出为Excel、PDF等格式。 本项目的源码、数据库脚本和开发说明等资源已经过精心整理,适合计算机相关专业的学生进行毕业设计或课程设计使用,同时也可作为Java学习者的实战练习项目。
AlphaWire连接线:适合各种应用的全方位Hook-Up Wire
"Hook-Up Wire /AL_1998_HUWbro_web" Hook-Up Wire是一种广泛应用于各种电气连接的电线,它具有多种特性和用途,适用于不同的环境和应用需求。这种电线通常由AlphaWire这样的专业制造商提供,确保了高质量和适用性...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值