读书笔记_windows下的混合钩子(HOOK)_part 4_使用MDL修改内存保护机制

最新推荐文章于 2024-05-28 07:50:42 发布
最新推荐文章于 2024-05-28 07:50:42 发布
阅读量2.1k 收藏 1
点赞数 1
分类专栏: 系统安全 文章标签: windows hook 读书 struct descriptor null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shifters/article/details/6875453
版权
 

MDL(Memory Descriptor List),指内存描述符表,它包含了该内存区域的起始地址、拥有者进程、字节数量以及标志。MDL结构定义在ntddk.h中,具体结构如下:

Typedef struct _MDL{

      Struct _MDL *Next;

      CSHORT Size;

      CSHORT MdlFlags;

      Struct _EPROCESS *Process;

      PVOID MappedSystemVa;

      PVOID StartVa;

      ULONG ByteCount;

      ULONG ByteOffset;

} MDL, *PMDL;

为了修改内存标志,需要声明一个结构,该结构用于强制转换由Windows内核导出的KeServiceDescriptorTable变量的类型。该结构如下:

typedef struct ServiceDescriptorEntry {

        unsigned int *ServiceTableBase;

        unsigned int *ServiceCounterTableBase; //Used only in checked build

        unsigned int NumberOfServices;

        unsigned char *ParamTableBase;

} ServiceDescriptorTableEntry_t, *PServiceDescriptorTableEntry_t;

 

 

《Rootkits》书中给的源码如下所示,尽管去能够在windows XP下编译过,并且能够执行,但其中的有些函数已经过时,已有新的函数替代了。下面分别描述:

g_pmdlSystemCall = MmCreateMdl(NULL, KeServiceDescriptorTable.ServiceTableBase, KeServiceDescriptorTable.NumberOfServices*4);

   if(!g_pmdlSystemCall)

      return STATUS_UNSUCCESSFUL;

   MmBuildMdlForNonPagedPool(g_pmdlSystemCall);

   // Change the flags of the MDL

   g_pmdlSystemCall->MdlFlags = g_pmdlSystemCall->MdlFlags | MDL_MAPPED_TO_SYSTEM_VA;

   MappedSystemCallTable = MmMapLockedPages(g_pmdlSystemCall, KernelMode);

 

 

MmCreateMdl函数的定义如下

PMDL 
  MmCreateMdl(
    IN PMDL  MemoryDescriptorList  OPTIONAL,
    IN PVOID  Base,
    IN SIZE_T  Length
    );

新的函数为

PMDL 
  IoAllocateMdl(
    __in_opt PVOID  VirtualAddress,
    __in ULONG  Length,
    __in BOOLEAN  SecondaryBuffer,
    __in BOOLEAN  ChargeQuota,
    __inout_opt PIRP  Irp  OPTIONAL
    );

 

IoAllocateMdl的作用是分配一个MDL结构,也就是将系统的一段内存空间映射到另外一个地方,然后修改这部分内存的保护属性,并修改其内容,以达到修改受保护内存的目的。第一参数为MDL内存的起始地址,第二个参数为MDL的长度。

由于IoAllocateMdl创建的MDL都是指向非分页的虚拟内存的buffer中的,所以需要MmBuildMdlForNonPagedPool函数来在物理内存上更新这个MDL。

 

MmMapLocakedPages函数的定义如下

PVOID 
  MmMapLockedPages(
    IN PMDL  MemoryDescriptorList,
    IN KPROCESSOR_MODE  AccessMode
    );

新的函数为MmMapLockedPagesSpecifyCache,它的定义为

PVOID
  MmMapLockedPagesSpecifyCache(
    __in PMDLX  MemoryDescriptorList,
    __in KPROCESSOR_MODE  AccessMode,
    __in MEMORY_CACHING_TYPE  CacheType,
    __in_opt PVOID  BaseAddress,
    __in ULONG  BugCheckOnFailure,
    __in MM_PAGE_PRIORITY  Priority
    );

它的作用是用来锁定内存中的MDL页,允许用户修改其属性。

 所以使用新函数后修改的代码如下:

//g_pmdlSystemCall = MmCreateMdl(NULL, KeServiceDescriptorTable.ServiceTableBase, //KeServiceDescriptorTable.NumberOfServices*4);

g_pmdlSystemCall = IoAllocateMdl(KeServiceDescriptorTable.ServiceTableBase, KeServiceDescriptorTable.NumberOfServices*4,FALSE, FALSE, NULL );

   if(!g_pmdlSystemCall)

      return STATUS_UNSUCCESSFUL;

   MmBuildMdlForNonPagedPool(g_pmdlSystemCall);

   // Change the flags of the MDL

   // MappedSystemCallTable = MmMapLockedPages(g_pmdlSystemCall, KernelMode);

   MappedSystemCallTable = MmMapLockedPagesSpecifyCache(g_pmdlSystemCall, KernelMode, MmWriteCombined, NULL, FALSE, 0);

   MappedSystemCallTable = MmMapLockedPages(g_pmdlSystemCall, KernelMode);

 

 

 

shifters
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MDL绕过SSDT内存保护
05-06
在写驱动保护进程时,通过修改SSDT是一个很有效的方法,但是系统对SSDT都是只读的,不能写。如果试图去写,肯定会很现实的给你蓝脸,当然这种保护很容易被绕过,其中一种就是MDL 绕过
MDL修改内核内存实现
haodawei123的博客
02-01 3035
NTSTATUS DriverEntry(PDRIVER_OBJECT driver,PUNICODE_STRING reg) { PMDL mdl; PVOID addrMm; ULONG addrKdEnterDebugger; ULONG addrKdEnteredDebugger; UNICODE_STRING func; ULONG addr = 0; RtlInitUnicodeStr...
标准MDL方法修改Page、NonPage内存的属性
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
12-24 1578
typedef struct _REPROTECT_CONTEXT   {       PMDL   Mdl;       PUCHAR LockedVa;   } REPROTECT_CONTEXT, * PREPROTECT_CONTEXT;       NTSTATUS   MmLockVaForWrite(       __in PVOID Va,       __in 
hook-api.zip_VC hook api_hook api_hook vc_钩子 api
09-20
Windows编程中,钩子是一种机制,允许开发者在系统消息传递过程中插入自己的代码,以便在特定事件发生时进行干预。这个【标题】"hook-api.zip_VC hook api_hook api_hook vc_钩子 api"暗示了资源是一个关于VC++ ...
mouse_hook.rar_hook_mouse_mouse hook_鼠标 钩子_鼠标钩子
09-20
Windows操作系统中,钩子Hook)是一种重要的机制,它允许开发者在系统或应用程序的关键点插入自定义代码,以便监控或改变系统的行为。本篇文章将围绕“mouse_hook.rar”这个压缩包中的示例程序,详细探讨Windows...
SSDT.rar_WINDOWS ssdt_hook_ssdt_ssdt hook_windows xp hook ss
09-21
4. **Hook技术原理**:讨论钩子函数的工作方式,包括如何捕获调用、修改参数、执行自定义逻辑以及恢复原始函数的调用流程。 5. **Windows XP Hook SSDT**:由于XP系统相对旧,可能需要特别处理兼容性和安全问题,这...
Class_Hook.rar_VB hook_hook_hook vb_子类化_钩子 vb
09-20
钩子Hooks)则是Windows API提供的一种机制,它允许程序设置监听器(hook)来捕获系统事件或特定类型的用户输入。钩子可以用来监控键盘、鼠标、消息队列等各种事件。在VB中,由于其内置的API调用能力有限,实现...
winceKBhook.rar_WinCE 键盘 钩子_hook_wince hook_winceKBhook.rar _钩子
09-22
Windows CE(WinCE)操作系统环境下,开发人员有时需要对系统事件进行监控或者拦截,比如捕获键盘输入。"winceKBhook.rar"这个压缩包文件就提供了这样一个解决方案,它包含了一个WinCE键盘钩子Hook)程序。键盘...
SSDT Hook修改内存保护
Jack码•农的专栏
09-26 1068
Windows系统对部分内存写了保护,防止内存也被修改,比如xp 和 2003,它们使得SSDT变成只读的,以此来防止任何应用程序来修改这个。   有两种方法可以绕过写保护,一种是修改控制寄存器的CR0中的写保护位来绕过,另一种是利用MDL(Memory Descript
MDL 内存映射实现HOOK
Doub1's Blog
04-11 1126
简单的NT式驱动 typedef NTSTATUS (*REALZWQUERYDIRECTORYFILE)(IN HANDLE hFile, IN HANDLE hEvent OPTIONAL, IN PIO_APC_ROUTINE IoApcRoutine OPTIONAL, IN PVOID IoApcContext OPTIONAL, OUT PIO_STATUS_BLOCK pIoSt...
windows 驱动开发 MDL 内核层 用户层共享内存
11-01 305
参考资料 https://blog.csdn.net/wdykanq/article/details/7752909 http://blog.51cto.com/laokaddk/404584 内核层创建内存映射用户层 PVOID pShareMM_SYS; PMDL pShareMM_MDL; PVOID pShareMM_User; PKUANGKEEP...
使用MDL读写内存的SSDT HOOK
kernweak的博客
05-30 2311
X64下有patchguard,所以先讨论x86的 思路 首先找到函数地址,如果是导出函数,可以使用MmGetSystemRoutineAddress,如果未导出加载符号通过特征码 实现新新函数替换原函数 恢复函数 关于系统从应用层进入内核,xp前是int2e,之后32位是sysenter,64是syscall https://bbs.pediy.com/thread-226254.h...
驱动开发:内核MDL读写进程内存
最新发布
05-28 476
MDL内存读写是最常用的一种读写模式,通常需要附加到定进程空间内然后调用内存拷贝得到对端内存中的数据,在调用结束后再将其空间释放掉,通过这种方式实现内存读写操作,此种模式的读写操作也是最推荐使用的相比于CR3切换来说,此方式更稳定并不会受寄存器的影响。写入时与读取类似,只是多了锁定页面和解锁操作。
浅谈MDL(叁)--实例测试(Windows内核学习笔记)
KOOKNUT的博客
04-10 589
在我之前写SSDTHook时候,用到过MDL的相关知识,是对内核层的虚拟地址进行MDL映射,然后修改,实现SSDTHook。 原文链接: https://blog.csdn.net/qq_42253797/article/details/104352520 接下来看一下MDL的实现过程: 首先调用MmCreateMdl函数,对KeServiceDescriptorTable->Service...
MDL解析
qq_41490873的博客
04-07 373
// 1. 包含提供内核结构相关的头文件 #include <ntddk.h> PMDL mdl; // 驱动卸载的回调函数,会在卸载的时候被调用 VOID DriverUnload(PDRIVER_OBJECT DriverObject) { //释放MDL IoFreeMdl(mdl); UNREFERENCED_PARAMETER(DriverObject); } // 2. 提供驱动程序的入口函数 NTSTATUS DriverEntry( PDRIVER_OBJECT Dr
SSDT-hook,IDT-hook原理
fun0526的专栏
08-04 2513
<br /><br />【详细过程】<br />这次主要说说核心层的hook。包括SSDT-hook,IDT-hook,sysenter-hook。欢迎讨论,正!内核层需要驱动,有这方面的基础最好,如果不会,了解下其中的思路也可以的。<br /><br />II. SSDT-hook,IDT-hook,sysenter-hook<br />一.SSDT-hook<br />(一)一般思路:<br />1.先来了解一下,什么是SSDT<br />SSDT既System Service Dispath Tab
php怎么实现钩子,php 使用__call实现钩子方法
05-31
钩子Hook)是一种常见的编程技术,通常用于在程序执行某个操作前或后插入自定义代码,以实现对程序的扩展或调试等功能。在 PHP 中,可以使用魔术方法 `__call` 来实现钩子方法。 具体实现步骤如下: 1. 定义一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值