关于windows内核SSDT HOOK的一点思考

最新推荐文章于 2023-06-22 21:49:59 发布
最新推荐文章于 2023-06-22 21:49:59 发布
阅读量865 收藏
点赞数
分类专栏: windows内核 文章标签: 内核 安全 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tiaotiaolong99234/article/details/46717975
版权

                                                        关于windows内核SSDT HOOK的一点思考

                                                                                                ----------------TTL

    关于windows内核,一直是众多OS黑客所喜欢又不敢触及的地方,确实,内核的知识实在是隐晦,又生涩难懂。我觉得OS hacker和WEB hacker确实存在差别。一般来讲,OS hacker的难度要很大。因为二进制的漏洞相比于web漏洞难度大,主要是无源。web有源码,挖掘漏洞自然相对就很简单(但也需要扎实的基本功和良好的知识基础)。

      那么关于什么是SSDT呢?我有一点自己的思考。

     首先百度百科也说了SSDT的含义。SSDT就是windows内核的一个十分庞大的地址索引表,在这个地址索引表上,有内核服务的地址。这些地址组成了一个线性的地址序列,也就是数组,每个数组元素就是一个指针。这个指针就是内核中的系统服务的地址。

     在不同的操作系统上,SSDT也是不一样的。所以SSDT HOOK 的代码要做到兼容难度也是不小。其实用户层的程序在执行的过程中,首先调用win32平台上的API,然后进入内核,在SSDT的庞大地址索引表中寻找对应的内核服务的地址。这样就将上层的API和内核的服务对应了起来。

     接下来,看一下代码,代码是我学习梦老大的。在这里,感谢梦老大。

   #pragma pack(1)
typedef struct ServiceDescriptorEntry {
unsigned int *ServiceTableBase;
unsigned int *ServiceCounterTableBase; //仅适用于checked build版本
unsigned int NumberOfServices;
unsigned char *ParamTableBase;
} ServiceDescriptorTableEntry_t, *PServiceDescriptorTableEntry_t;
#pragma pack()

__declspec(dllimport) ServiceDescriptorTableEntry_t KeServiceDescriptorTable;

        首先我声明一个ServiceDescriptorTableEntry_t结构体。这个结构体来管理SSDT,也就是SSDT都在这个表中指向。

 void PageProtectOn()
{
__asm{//恢复内存保护  
mov  eax,cr0
or   eax,10000h
mov  cr0,eax
sti
}
}


void PageProtectOff()
{
__asm{//去掉内存保护
cli
mov  eax,cr0
and  eax,not 10000h
mov  cr0,eax
}
}

       首先谢了两个内存保护开启和关闭的函数,论坛上很多大神都采用这种风格,我也就延续大大们的风格。

       首先,在Windbg中,查看了eProcess这个数据结构。后面的代码中我会用到。



        可看到,在我的系统中,偏移0x174是ImageFileName。

        然后利用XueTr查看了SSDT。



         从表中可以看出,NtOpenProcess被腾讯的程序在内核被HOOK了,不仅仅是腾讯,像360,百度的一些安全软件,在底层也是疯狂的HOOK。这也是病毒对抗越来越趋向于底层化的原因。从图看到,NtOpenProcess在SSDT中是122号。

          主要代码:

NTSTATUS NewNtOpenProcess (
    __out PHANDLE ProcessHandle,
    __in ACCESS_MASK DesiredAccess,
    __in POBJECT_ATTRIBUTES ObjectAttributes,
    __in_opt PCLIENT_ID ClientId
    )
{
        KdPrint(("NewNtOpenProcess"));

KdPrint(("%s",(char*)PsGetCurrentProcess()+0x174));

           return ((NTOPENPROCESS)g_ntopenprocess)(ProcessHandle,DesiredAccess,ObjectAttributes,ClientId);
}


NTSTATUS HookNtOpenProcess()
{
NTSTATUS status;


status = STATUS_SUCCESS;

PageProtectOff();


g_ntopenprocess = KeServiceDescriptorTable.ServiceTableBase[122];

KeServiceDescriptorTable.ServiceTableBase[122] = (unsigned int)NewNtOpenProcess;


PageProtectOn();


return status;
}


VOID UnHookNtOpenProcess()
{
PageProtectOff();

KeServiceDescriptorTable.ServiceTableBase[122] = (unsigned int)g_ntopenprocess;


PageProtectOn();
}


VOID MyUnload(PDRIVER_OBJECT pDriverObject)
{
UnHookNtOpenProcess();
}


NTSTATUS DriverEntry(PDRIVER_OBJECTpDriverObject,PUNICODE_STRING Reg_Path)
{
HookNtOpenProcess();
pDriverObject->DriverUnload = MyUnload;
return STATUS_SUCCESS;
}

        在新的NtOpenProcess我们什么也不做,只打印一条消息,和一条被哪个程序调用的名称。

        效果如图:



           从图中看到,NtOpenProcess已经被我们的sys所HOOK住,并不是之前的腾讯的程序了。

           HOOK成功



   

tiaotiaolong99234
关注
专栏目录
windows下通过更改SSDT表hook内核函数
10-02
通过更改SSDT表的内核函数跳转地址来实现对windows内核函数的hook,需要安装WDK来实现编译。 注:本例主要实现对内核函数ZwSetValueKey的hook,本程序仅用于学习用途,任何人不得利用该代码从事非法活动。
内核知识第12讲,SSDT表.以用户模式到系统模式的两种方式.
weixin_30287169的博客
01-25 125
           内核知识第12讲,SSDT表.以用户模式到系统模式的两种方式. 一丶IDT解析. 我们知道.IDT表中存放着各种中断信息.比如当我们调用int 3的时候,则会调用IDT表中的第三项来进行调用.而函数地址则是操作系统给的. 因为中断是CPU和操作系统通信的一种方式. 查看IDTR (IDT表)第三项. IDT首地址给出了,其中表项是7ff 我们每一项是...
Windows内核-系统描述符表与SSDT
qq_40712959的博客
12-08 461
以下参考自水滴教程及https://blog.csdn.net/weixin_42052102/article/details/83118255 SystemServiceTable SystemServiceTable,即系统服务表,在XP系统下有两个 SystemServiceTable,分别是Ntoskrl.exe(常用的系统服务)和Win32k.sys(与图形显示及用户界面相关的系统服务)...
win10驱动开发20——SSDT
qq_41610493的博客
12-18 867
什么是SSDT        SSDT全称为System Services Descriptor Table,中文为系统服务描述符表,SSDT表就是把ring3的Win32 API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。        SSDT通过修改此表的函数地址可以对常用windo
win下SSDT-Hook
weixin_34015336的博客
06-23 145
#include <ntifs.h> #pragma pack(1) //SSDTHook中,我们有2个关键问题: //1 怎么找到SSDT,这个表是导出的,所以直接声明就可以 //2 SSDT是只读的,怎么改 // 2.1 通过修改CR0 去掉内核层的页保护 // 2.2 可以通过MDL重映射的方式,去修改。 typedef struct _ServiceDesriptor...
SSDT.rar_WINDOWS ssdt_hook_ssdt_ssdt hook_windows xp hook ss
09-21
标题中的"SSDT.rar_WINDOWS ssdt_hook_ssdt_ssdt hook_windows xp hook ss"指的是在Windows XP操作系统中关于System Service Dispatch Table (SSDT)的Hook技术。SSDT是Windows内核中一个关键的数据结构,它存储了...
SSDT Hook_内核_x86_ssdthook_驱动_
10-03
本项目"SSDT Hook_内核_x86_ssdthook_驱动_"显然是一个针对32位(x86架构)系统的SSDT Hook实现示例,通过提供的文件名如"SSDT Hook.sln",我们可以推断这可能是一个Visual Studio解决方案文件,包含了项目的源代码...
SSDTHook_ssdt_SSDTHook_
10-01
标题“SSDTHook_ssdt_SSDTHook_”暗示了这个压缩包可能包含了一个关于SSDT Hooking的工具或者教程。这个工具或教程可能是为了帮助用户理解和实践如何在Windows内核层面上进行系统服务的挂钩。 描述“ssdt hooking ...
src_过pg_过windowspg_64位SSDThook实现方法_过PG_
09-30
标题中的“src_过pg_过windowspg_64位SSDThook实现方法_过PG_”似乎是指一个关于在64位Windows系统下绕过Process Guard (PG)并通过修改System Service Dispatch Table (SSDT)实现hook的技术教程。描述中的“WINDOWS ...
ssdt_hook.rar_ssdt_ssdt hook_ssdt_hook_struct.h
09-21
SSDT(System Service Descriptor Table)是Windows操作系统中的一个重要概念,它是系统服务的入口点,用于在用户模式下调用内核模式的服务。SSDT Hook是一种技术,通过修改SSDT表中的函数指针,使得在调用原系统...
ssdthook-hook
11-27
ssdthook
64位驱动SSDTHOOK教程
10-02
完整的64位驱动SSDTHOOK文档资料,学习win7 64位驱动很好的
SSDt HOOK源码
11-20
SSDt HOOK的 源码 大家感兴趣的看看
SSDT HOOK
最新发布
qq_45844442的博客
06-22 303
1.首先通过MmCreateSection、MmMapViewInSystemSpace将ntdll加载到内存中,然后进行导出表搜索找到目标函数的服务号。2.然后通过内核导出的变量KeServiceDescriptorTable进而找到SSDT表。3.最后通过在SSDT表修改目标函数地址为自定义地址即可。
SSDT Hook
zhuhuibeishadiao
04-10 3287
看看大概的调用情况 左边是2000有的,右边是xp后走的 Ntdll.dll 中的 API 是一个简单的包装函数。 当 Kernel32.dll 中的 API 通过 Ntdll.dll 时,会完成参数的检查再调用一个中断(int 2Eh 或者 SysEnter 指令),从而实现从 Ring3 进入 Ring0 层 并且将所要调用的服务号(也就是在 S
win10 x64中inlineHook SSDT里面的函数
吾无法无天的博客
02-13 4686
inlineHook的原理: 为了方便好理解,一些变量名和函数名在这里使用中文命名,有些编译器不支持中文命名,在这里要注意(我的是VS2019) hook.h: #pragma once #include<ntifs.h> #include<ntddk.h> #pragma intrinsic(__readmsr) //SSDT表 typedef str...
初探win10 x64 SSDT(驱动学习笔记五)
rep_Su的博客
10-11 3695
初探win10 x64 SSDT0x0 windbg中查看SSDT背景介绍查看SSDT0x1 代码获取SSDT表中的函数获取SSDT的地址 0x0 windbg中查看SSDT 背景介绍 学习驱动的过程中,由于涉及到SSDT HOOK相关的知识点,开始学习SSDT,关于SSDT的基本概念,这里省去,中文名是系统服务描述表,具体的理解可自行百度,由于是初步探讨,本篇只介绍方法。 查看SSDT x64系...
Windows简单驱动编程(三):SSDT HOOK
yan_star的博客
12-09 629
ssdt hook NtOpenProcess win7 32环境,注释已标明一些解释 #include <ntddk.h> #include <ntstatus.h> ULONG uOldNtOpenProcess; //定义system_service_table结构体 typedef struct _KSYSTEM_SERVICE_TABLE { PULO...
win10 64位SSDT函数索引动态查找
weixin_34410662的博客
03-22 775
在win10 64位下SSDT是不导出的。同时如果你要hook某个函数时你要知道他的索引,以前都是调试或者网上找然后硬编码进去。这里动态找。原理是上层调用的所有函数都经过ntdll 然后进入0环,进入0时ntdll模块里面很定有索引啊,因此去ntdll找到对应函数的代码,就能找到对应的索引。第1步先把ntdll 读入内存。查看内存开始动态查找 进入GetFunctionAddress先找到ssdt...
Windows平台SSDT Hook技术示例教程
SSDT是Windows内核中一个用于管理系统服务调用的数据结构,它是一个服务索引与服务函数指针之间的映射表。通过SSDT,系统可以高效地将应用程序发出的服务请求映射到相应的内核函数。在安全性和软件开发领域,SSDT ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值