SSTD HOOK

已于 2023-05-06 17:44:23 修改
阅读量173 收藏 1
点赞数
文章标签: c语言 windows
于 2023-05-06 17:43:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50242229/article/details/130532330
版权
文章讲述了如何通过钩子(Hook)技术修改系统服务描述表(SSDT)来阻止除自身之外的进程调用TerminateProcess函数关闭目标进程。通过编写驱动程序,作者实现了监控并保护特定进程不被其他程序关闭的功能,主要涉及NtTerminateProcess函数的替换以及页面保护机制的使用。
摘要由CSDN通过智能技术生成

实现进程只能通过自己关闭,不能通过他人调用关闭,也就是实现所谓的SSDT Hook,打开一个记事本,只能通过点击关闭按钮或者菜单退出可以,而不能通过其他程序调用TerminateProcess关闭它。首先我们得找到TerminateProcess真正调用的内核函数的函数编号(不知道函数编号的去看看SSTD : SystemServiceTable篇

// 自行IDA找到
; BOOL __stdcall TerminateProcess(HANDLE hProcess, UINT uExitCode)
                public _TerminateProcess@8
_TerminateProcess@8 proc near           ; CODE XREF: .text:7C839AB2↓j
                                        ; ConsoleIMERoutine(x)+102↓p
                                        ; DATA XREF: ...

.
.
.
.
.
.


; __stdcall ZwTerminateProcess(x, x)
                public _ZwTerminateProcess@8
_ZwTerminateProcess@8 proc near         ; CODE XREF: LdrpGenericExceptionFilter(x,x)+9107↓p
                                        ; ___report_gsfailure+E1↓p ...
                mov     eax, 101h       ; NtTerminateProcess //这里我们可以看到函数编号是 0x101
                mov     edx, 7FFE0300h
                call    dword ptr [edx]
                retn    8
_ZwTerminateProcess@8 endp

所以我们需要修改编号101H的函数的地址,更新为我们自己的函数地址

//自定义结构
struct ssdt_item
{
	PULONG funcTable;//函数地址表 
	ULONG count;//访问次数
	ULONG limit;//函数个数
	PUCHAR paramTable;//函数参数个数
};

//结束进程的函数的编号
#define TerminateProcessIndex 0x101

//SSDT位置 dd KeServiceDescriptorTable
extern struct ssdt_item* KeServiceDescriptorTable;

但是,我们去修改该地址的值,有可能修改失败,页有可能是只读的,所以我们可以去修改该地址的PDPTE\PDE\PTE的属性,或者可以直接修改CR0寄存器的WP位


void PageProtectOn()
{
	__asm
	{
		mov eax, cr0;
		or eax, 10000h;
		mov cr0, eax;
		sti;
	}
}

void PageProtectOff()
{
	__asm
	{
		cli;
		mov eax, cr0;
		and eax, not 10000h;
		mov cr0, eax;
	}
}

驱动代码

#include <ntifs.h>
#include <wdm.h>
#include <ntddk.h>


//操作码:0x0-0x7FF 被保留,0x800-0xFFF 可用
#define HOOK CTL_CODE(FILE_DEVICE_UNKNOWN,0x800,METHOD_BUFFERED,FILE_ANY_ACCESS)
#define NOHOOK CTL_CODE(FILE_DEVICE_UNKNOWN,0x801,METHOD_BUFFERED,FILE_ANY_ACCESS)

struct ssdt_item
{
	PULONG funcTable;//函数地址表 
	ULONG count;//访问次数
	ULONG limit;//函数个数
	PUCHAR paramTable;//函数参数个数
};

//结束进程的函数的编号
#define TerminateProcessIndex 0x101

//SSDT位置
extern struct ssdt_item* KeServiceDescriptorTable;

//保护的进程
HANDLE protectedProcess = NULL;

//系统结束进程的函数
typedef  NTSTATUS(__stdcall* NtTerminateProcess)(HANDLE ProcessHandle, NTSTATUS ExitStatus);
NtTerminateProcess oldNtTerminateProcess = NULL;

typedef NTSTATUS(__stdcall* _PspTerminateProcess)(PEPROCESS pEprocess, NTSTATUS ExitCode);
_PspTerminateProcess pspTerminateProcess = NULL;

//设备对象
PDEVICE_OBJECT devObj;
//符号链接
UNICODE_STRING symbolLink;

NTSTATUS DEVICE_CONTROL_Dispatch(PDEVICE_OBJECT pDevObj, PIRP pIrp);
NTSTATUS DEVICE_CREATE_Dispatch(PDEVICE_OBJECT pDevObj, PIRP pIrp);
NTSTATUS DEVICE_CLOSE_Dispatch(PDEVICE_OBJECT pDevObj, PIRP pIrp);


void PageProtectOn()
{
	__asm
	{
		mov eax, cr0;
		or eax, 10000h;
		mov cr0, eax;
		sti;
	}
}

void PageProtectOff()
{
	__asm
	{
		cli;
		mov eax, cr0;
		and eax, not 10000h;
		mov cr0, eax;
	}
}

NTSTATUS __stdcall HookNtTerminateProcess(HANDLE ProcessHandle, NTSTATUS ExitStatus)
{
	if (protectedProcess != NULL)
	{
		PEPROCESS pro = IoGetCurrentProcess();
		PEPROCESS p;
		if (ObReferenceObjectByHandle(ProcessHandle, NULL, *PsProcessType, KernelMode, &p, NULL) == STATUS_SUCCESS)
		{
			//只有自己才可以关闭自己
			if (p == protectedProcess && pro != protectedProcess)
			{
				//拒绝
				return STATUS_ACCESS_DENIED;
			}
		}
	}
	return oldNtTerminateProcess(ProcessHandle, ExitStatus);
}

void HookTerminateProcess()
{
	PageProtectOff();
	oldNtTerminateProcess = KeServiceDescriptorTable->funcTable[TerminateProcessIndex];
	KeServiceDescriptorTable->funcTable[TerminateProcessIndex] = HookNtTerminateProcess;
	PageProtectOn();
}


VOID DriverUnload(PDRIVER_OBJECT pDriver)
{
	//删除符号链接
	IoDeleteSymbolicLink(&symbolLink);
	//删除设备
	IoDeleteDevice(devObj);
	if (oldNtTerminateProcess != NULL)
	{
		//还原函数
		KeServiceDescriptorTable->funcTable[TerminateProcessIndex] = oldNtTerminateProcess;
		DbgPrint("还原函数成功!!!\n");;
	}
	DbgPrint("卸载成功!!!\n");
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING pRegPath)
{

	try {
		//unload
		pDriver->DriverUnload = DriverUnload;

		//
		UINT32 shellcode[] = {
		0x0124a164,0x758b0000,0x44703b08,0x0db80775,
		0xebc00000,0xbe8d575a,0x00000248,0x200147f6,
		0x868d1274,0x00000174,0xca685650,0xe88062f0
		};

		UINT32 shellcodeLength = sizeof(shellcode);

		UINT32 base = NULL;
		UINT32 baseSize = NULL;
		UNICODE_STRING baseName;

		LIST_ENTRY* current_entry = (LIST_ENTRY*)pDriver->DriverSection;

		UNICODE_STRING ntName;
		RtlInitUnicodeString(&ntName, L"ntoskrnl.exe");

		while (1)
		{
			base = *(UINT32*)((UINT32)current_entry + 0x18);
			baseSize = *(UINT32*)((UINT32)current_entry + 0x20);
			baseName = *(PUNICODE_STRING)((UINT32)current_entry + 0x2c);
			if (RtlCompareUnicodeString(&ntName, &baseName, TRUE) == 0)
			{
				for (int i = base; i < base + baseSize - shellcodeLength; i++)
				{
					if (RtlCompareMemory(shellcode, i, shellcodeLength) == shellcodeLength)
					{
						pspTerminateProcess = (_PspTerminateProcess)(i - 0x6);
						break;
					}
				}
				break;
			}
			current_entry = current_entry->Blink;
		}

		DbgPrint("dllbase : %08x\n", base);
		DbgPrint("dllbaseName : %wZ\n", ntName);
		DbgPrint("_PspTerminateProcess address is  : %08x\n", pspTerminateProcess);
		/

		//创建设备和3环通信
		UNICODE_STRING deviceName;
		RtlInitUnicodeString(&deviceName,L"\\Device\\firstDevice");
		NTSTATUS status = IoCreateDevice(
			pDriver,
			0,
			&deviceName,
			FILE_DEVICE_UNKNOWN,
			FILE_DEVICE_SECURE_OPEN,
			FALSE,
			&devObj
		);

		DbgPrint("创建设备 : %d~~\n", status);


		//创建符号链接 (3环需要这个符号链接才可以找到)
		RtlInitUnicodeString(&symbolLink,L"\\??\\MYKILLTOOL");
		IoCreateSymbolicLink(&symbolLink,&deviceName);

		//设置通信方式
		pDriver->Flags |= DO_BUFFERED_IO;

		//设置派遣函数
		pDriver->MajorFunction[IRP_MJ_CREATE] = DEVICE_CREATE_Dispatch;
		pDriver->MajorFunction[IRP_MJ_CLOSE] = DEVICE_CLOSE_Dispatch;
		pDriver->MajorFunction[IRP_MJ_DEVICE_CONTROL] = DEVICE_CONTROL_Dispatch;

		//hook
		DbgPrint("TerminateProcess 的地址是 : %08x\n", KeServiceDescriptorTable->funcTable[TerminateProcessIndex]);
		HookTerminateProcess();
		DbgPrint("TerminateProcess 的地址是 : %08x\n", KeServiceDescriptorTable->funcTable[TerminateProcessIndex]);


	} __except(EXCEPTION_EXECUTE_HANDLER) {
		DbgPrint("run error~~\n");
		return STATUS_SUCCESS;
	}
	return STATUS_SUCCESS;
}

NTSTATUS DEVICE_CONTROL_Dispatch(PDEVICE_OBJECT pDevObj, PIRP pIrp)
{
	//从3环获取的PROCESS ID
	UINT32 DATA;
	NTSTATUS status = STATUS_INVALID_DEVICE_REQUEST;
	//获取PIRP的数据
	PIO_STACK_LOCATION psLocation = IoGetCurrentIrpStackLocation(pIrp);
	//获取控制码
	ULONG code = psLocation->Parameters.DeviceIoControl.IoControlCode;
	//获取缓冲区地址(输入和输出都是同一个)
	PVOID bufferAddress = pIrp->AssociatedIrp.SystemBuffer;
	//3环发送的数据字节数
	ULONG threeLength = psLocation->Parameters.DeviceIoControl.InputBufferLength;
	//0环发送的数据字节数
	ULONG zeroLength = psLocation->Parameters.DeviceIoControl.OutputBufferLength;

	switch (code) 
	{
	case HOOK :
		RtlMoveMemory(&DATA, bufferAddress,4);
		if (PsLookupProcessByProcessId((HANDLE)DATA,&protectedProcess) == STATUS_SUCCESS) //通过PID获取EPROCESS的地址
		{
			DbgPrint("PID : %d ,目前 EPROCESS 地址为:%08x\n", DATA,protectedProcess);
		}
		else
		{
			status = STATUS_INVALID_HANDLE;
		}
		break;
	case NOHOOK :
		protectedProcess = NULL;
		break;
	default:
		break;
	}


	DbgPrint("3环发送的数据长度 %d~~\n", threeLength);
	DbgPrint("0环发送的数据长度 %d~~\n", zeroLength);
	DbgPrint("关闭进程 : %08x~~\n", DATA);

	//设置返回状态,默认是失败的哦
	pIrp->IoStatus.Status = status;
	//返回给3环多少字节数据,没有填0
	pIrp->IoStatus.Information = 0;
	IoCompleteRequest(pIrp, IO_NO_INCREMENT);
	return STATUS_SUCCESS;

}


NTSTATUS DEVICE_CREATE_Dispatch(PDEVICE_OBJECT pDevObj, PIRP pIrp)
{
	DbgPrint("CREATE  SUCCESS~~\n");

	//设置返回状态
	pIrp->IoStatus.Status = STATUS_SUCCESS;
	//返回给3环多少字节数据,没有填0
	pIrp->IoStatus.Information = 0;
	IoCompleteRequest(pIrp,IO_NO_INCREMENT);
	return STATUS_SUCCESS;
}


NTSTATUS DEVICE_CLOSE_Dispatch(PDEVICE_OBJECT pDevObj, PIRP pIrp)
{
	DbgPrint("CLOSE  SUCCESS~~\n");

	//设置返回状态
	pIrp->IoStatus.Status = STATUS_SUCCESS;
	//返回给3环多少字节数据,没有填0
	pIrp->IoStatus.Information = 0;
	IoCompleteRequest(pIrp, IO_NO_INCREMENT);
	return STATUS_SUCCESS;
}

3环代码

在这里插入代码片// SSTDHOOK.cpp : Defines the entry point for the console application.
//

#include "stdafx.h"
#include <windows.h>
#include <stdlib.h>
#include <winioctl.h>

#define symbolLinkName L"\\\\.\\MYKILLTOOL"
//操作码:0x0-0x7FF 被保留,0x800-0xFFF 可用
#define HOOK CTL_CODE(FILE_DEVICE_UNKNOWN,0x800,METHOD_BUFFERED,FILE_ANY_ACCESS)
#define NOHOOK CTL_CODE(FILE_DEVICE_UNKNOWN,0x801,METHOD_BUFFERED,FILE_ANY_ACCESS)

int main(int argc, char* argv[])
{
	
	//create device link
	HANDLE device = CreateFileW(
		symbolLinkName,//创建或打开的文件或设备的名称
		GENERIC_READ | GENERIC_WRITE,//请求对文件或设备的访问权限
		0,//文件或设备请求的共享模式,参数为零且 CreateFile 成功,则文件或设备无法共享,并且无法在文件或设备的句柄关闭之前再次打开
		0,//确定返回的句柄是否可以由子进程继承
		OPEN_EXISTING,//仅当文件或设备存在时,才打开该文件或设备
		FILE_ATTRIBUTE_NORMAL,
		NULL);


	if (device == INVALID_HANDLE_VALUE)
	{
		printf("device open error ......");
		system("pause");
		return 0;
	}

	DWORD pid;
    DWORD outBuffer;
	DWORD lbret;//actually out buffer size

    printf("请输入需要保护的程序的 PID :");
    scanf("%d",&pid);

	if (DeviceIoControl(device,HOOK,&pid,sizeof(pid),&outBuffer,sizeof(outBuffer),&lbret,NULL))
	{
		printf("HOOK success , please test......\n");
	}
	system("pause");
	CloseHandle(device);
	return 0;
}
柠檬的泪是酸的@
关注
SSDT Hook_内核_x86_ssdthook_驱动_
10-03
"Debug"目录通常存放调试版本的可执行文件和相关资源,而"SSTD Hook"可能是项目的主要源代码文件夹,包含驱动程序的实现。"x64"目录虽然不在描述中提及,但通常用于存放64位版本的相关内容,可能是为了对比不同架构...
检测SSTD是否被hook
LoveQuietly
11-07 1567
我们知道在ssdt中可以被hook,那么如何检测出来自己的ssdt被hook了呢? 在内核文件中保留了一份原始的ssdt表,我们只要通过检测内核文件即可获取到原始的ssdt表即可首先先要确认自己的内核使用的文件是哪个? 是ntkrnlmp.exe还是ntkrnlpa.exe?这个可以通过ZwQuerySystemInformation传入SystemModuleInformation(11)得到
进程隐藏与进程保护(SSDT Hook 实现)(一)
weixin_34294649的博客
09-03 350
文章目录:                   1. 引子 – Hook 技术: 2. SSDT 简介: 3. 应用层调用 Win32 API 的完整执行流程: 4. 详解 SSDT: 5. SSDHook 原理: 6. 小结:            1. 引子 – Hook 技术:       前面一篇博文呢介绍了代码的注入技术(远程线程实现),博文地址如下: ...
vc++ hook 拦截自己进程指定的api函数_游戏辅助原理:过用户层HOOK 驱动层SSDT HOOK (之进程保护篇)...
weixin_39726873的博客
11-28 363
一、进程自我保护: HOOK windows 用户层api (用户层保护) 内核层api(驱动层保护) 1:用户层hook(简单例子) Hook OpenProcess(....,....,DWORD dwProcessId) 拦截函数 DWORD MyOpenProcess(...,....,DWORD dwProcessId) { // MydwProcessId 被保护进程id If(dwP...
(19)[系统调用]SSTD hook 阻止关闭
qq_50332504的博客
08-02 233
SSTD hook NtTerminateProcess函数
SSDT-HOOK
qq_31507523的博客
04-17 506
SSDT-HOOK
Hook_文件隐藏
08-08
在IT行业中,Hook_文件隐藏是一种技术,通常用于系统监控、调试或安全目的。这个话题主要涉及Windows操作系统,特别是涉及到内核级别的编程和系统调用。在这个场景中,`ZwQueryDirectoryFile`是一个关键的系统调用,...
upgrade_3Gcw_SSTD升级包.zip
04-13
《速达财务SSTD升级包详解》 在信息化管理日益重要的今天,财务软件扮演着至关重要的角色。速达SSTD(Speed Account SSTD)作为一款专业的企业级财务管理软件,为企业的财务工作提供了强大的支持。本文将针对...
速达财务SSTD3G_server_6.37.zip
04-13
《速达财务SSTD3G服务器端客户端安装详解》 速达财务SSTD3G是一款专为中小企业设计的财务管理软件,其服务器端客户端安装包"速达财务SSTD3G_server_6.37.zip"提供了全面的财务管理和业务运营支持。这款软件集成了...
速达3000SSTD 3G 8.61 10用户官方
04-13
速达3000SSTD 3G 8.61 10用户官方
SSDT表 hook 原理 教程源码
01-25
SSDT表 hook 原理 源码
ssdt HOOK截获指定进程检测API
05-31
目前来看绝无仅有的程序,原创!监控指定进程的详细操作 内涵三个文件夹,一个驱动注入工具,一个启动设备端,一个被监控程序。 五脏俱全!!不是像目前流行的监控所有进程的对某系统资源的监控! 同时因为分数少所有才多要了些分
SSDT Hook技术详解与应用
flydragonhero的专栏
03-10 6618
SSDT Hook技术详解与应用SSDT Hook技术详解与应用 一SSDT简介 1什么是SSDT 2SSDT结构 3应用层调用 Win32 API 的完整执行流程 二SSDT Hook原理 1SSDT Hook原理简介 2进程隐藏与保护 3文件隐藏与保护 4端口隐藏一、SSDT简介1、什么是SSDT​ SSDT 的全称是 System Services Descriptor Table,系统服
SSDT Hook实现内核级的进程保护
曾是土木人
06-29 8361
SSDT Hook效果图 加载驱动并成功Hook  NtTerminateProcess函数: 当对 指定的进程进行保护后,尝试使用“任务管理器”结束进程的时候,会弹出“拒绝访问”的窗口,说明,我们的目的已经达到: SSDT简介 SSDT 的全称是 System Services Descriptor Table,系统服务描述符表。 这个表
挂钩SSDT
yaozhu88的专栏
11-16 2005
一、原理篇1.            关于系统服务。系统服务是由操作系统提供一组函数,使得开发者能够通过APIs直接或间接的调用。一个API可以对应一个系统服务,也可以一个API依赖多个系统服务。比如,WriteFile API对应的系统服务是ntoskrnl.exe中的NtWriteFile。系统服务分发属于陷阱分发的范畴,更详细的资料可参考’Windows Internal(4th e
SSDT】SSDT hook技术
dr0op's blog
09-07 2315
通过修改此表的函数地址可以对常用Windows函数及API进行Hook,从而实现对一些关心的系统动作进行过滤、监控等目的。在NT4.0 以上的Windpws 操作系统中,默认存在两个系统服务描述表,两个调度表对应两类不同的系统服务。要Hook SSDT表,首选需要这个表是可写的,但是在XP之后的系统都是只读的,有三种方式修改内存保护机制。其中第1位叫做保护属性位,控制着页的读或写属性。如果为0,则只能读/执行。SSDT,IDT(中断描述符表)的页属性在默认情况下只读,可执行,但不能写。例如进程保护(驱动)
谈谈 通杀SSDT hook和Shadow SSDT hook的方法
cqyczj的专栏
04-25 1583
链 接: http://bbs.pediy.com/showthread.php?t=143987 有点纠结,不知道应不应该发,本来想多攒点东西,留着以后找工作。毕竟说空话被bs过。其实技术含量也不高,耐心研究下都能实现。发出来了,权当促进游戏保护和反保护事业的发展吧。大牛飘过吧,那些还没成为大牛就开始倚老卖老喜欢对刚入门的小菜指手画脚的,时不时的来一句“别瞎鼓捣了,你应该从这学起,你应该从
SSDT Hook的两种方式
倒计时
11-28 2410
#ifndef _SSDT_H_ #define _SSDT_H_ #include typedef struct _SERVICE_DESCRIPTOR_TABLE { PULONG ServiceTable; PULONG CounterTable; ULONG TableSize; PUCHAR ArgumentTable; }SERVICE_DESCRIPTOR_TABLE,
C++ sstd::string追加字符串
最新发布
06-03
你可以使用 `operator+=` 或者 `append` 方法来追加字符串到 `std::string` 对象中。例如: ```cpp std::string str = "Hello"; str += " World"; // 使用 operator+= 方法 str.append("!!...这样 `str` 对象就会变成 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值