SSDT Hook的妙用-对抗ring0 inline hook

最新推荐文章于 2020-05-16 09:39:55 发布
最新推荐文章于 2020-05-16 09:39:55 发布
阅读量349 收藏
点赞数
分类专栏: hacker/cracker 文章标签: hook service table system attributes struct

*******************************************************
*标题:【转载】SSDT Hook的妙用-对抗ring0 inline hook
*作者:堕落天才
*日期:2007年3月10号
*声明:本文章的目的仅为技术交流讨论
*******************************************************

1、SSDT
SSDT即系统服务描述符表,它的结构如下(参考《Undocument Windows 2000 Secretes》第二章):
typedef struct _SYSTEM_SERVICE_TABLE
{
PVOID ServiceTableBase; //这个指向系统服务函数地址表
PULONG ServiceCounterTableBase;
ULONG NumberOfService; //服务函数的个数,NumberOfService*4 就是整个地址表的大小
ULONG ParamTableBase;
}SYSTEM_SERVICE_TABLE,*PSYSTEM_SERVICE_TABLE;

typedef struct _SERVICE_DEscrīptOR_TABLE
{
SYSTEM_SERVICE_TABLE ntoskrnel; //ntoskrnl.exe的服务函数
SYSTEM_SERVICE_TABLE win32k; //win32k.sys的服务函数,(gdi.dll/user.dll的内核支持)
SYSTEM_SERVICE_TABLE NotUsed1;
SYSTEM_SERVICE_TABLE NotUsed2;
}SYSTEM_DEscrīptOR_TABLE,*PSYSTEM_DEscrīptOR_TABLE;

内核中有两个系统服务描述符表,一个是KeServiceDescrīptorTable(由ntoskrnl.exe导出),一个是KeServieDescrīptorTableShadow(没有导出)。两者的区别是,KeServiceDescrīptorTable仅有ntoskrnel一项,KeServieDescrīptorTableShadow包含了ntoskrnel以及win32k。一般的Native API的服务地址由KeServiceDescrīptorTable分派,gdi.dll/user.dll的内核API调用服务地址由KeServieDescrīptorTableShadow分派。还有要清楚一点的是win32k.sys只有在GUI线程中才加载,一般情况下是不加载的,所以要Hook KeServieDescrīptorTableShadow的话,一般是用一个GUI程序通过IoControlCode来触发(想当初不明白这点,蓝屏死机了N次都想不明白是怎么回事)。

2、SSDT HOOK
SSDT HOOK 的原理其实非常简单,我们先实际看看KeServiceDescrīptorTable是什么样的。
lkd> dd KeServiceDescriptorTable
8055ab80 804e3d20 00000000 0000011c 804d9f48
8055ab90 00000000 00000000 00000000 00000000
8055aba0 00000000 00000000 00000000 00000000
8055abb0 00000000 00000000 00000000 00000000
在windbg.exe中我们就看得比较清楚,KeServiceDescriptorTable中就只有第一项有数据,其他都是0。其中804e3d20就是
KeServiceDescriptorTable.ntoskrnel.ServiceTableBase,服务函数个数为0x11c个。我们再看看804e3d20地址里是什么东西:
lkd> dd 804e3d20
804e3d20 80587691 805716ef 8057ab71 80581b5c
804e3d30 80599ff7 80637b80 80639d05 80639d4e
804e3d40 8057741c 8064855b 80637347 80599539
804e3d50 8062f4ec 8057a98c 8059155e 8062661f
如上,80587691 805716ef 8057ab71 80581b5c 这些就是系统服务函数的地址了。比如当我们在ring3调用OpenProcess时,进入sysenter的ID是0x7A(XP SP2),然后系统查KeServiceDescrīptorTable,大概是这样KeServiceDescrīptorTable.ntoskrnel.ServiceTableBase(804e3d20) + 0x7A * 4 = 804E3F08,然后804E3F08 ->8057559e 这个就是OpenProcess系统服务函数所在,我们再跟踪看看:
lkd> u 8057559e
nt!NtOpenProcess:
8057559e 68c4000000 push 0C4h
805755a3 6860b54e80 push offset nt!ObReferenceObjectByPointer+0x127 (804eb560)
805755a8 e8e5e4f6ff call nt!InterlockedPushEntrySList+0x79 (804e3a92)
805755ad 33f6 xor esi,esi
原来8057559e就是NtOpenProcess函数所在的起始地址。
嗯,如果我们把8057559e改为指向我们函数的地址呢?比如 MyNtOpenProcess,那么系统就会直接调用MyNtOpenProcess,而不是原来的NtOpenProcess了。这就是SSDT HOOK 原理所在。

3、ring0 inline hook
ring0 inline hook 跟ring3的没什么区别了,如果硬说有的话,那么就是ring3发生什么差错的话程序会挂掉,ring0发生什么差错的话系统就挂掉,所以一定要很小心。inline hook的基本思想就是在目标函数中JMP到自己的监视函数,做一些判断然后再JMP回去。一般都是修改函数头,不过再其他地方JMP也是可以的。下面我们来点实际的吧:
lkd> u nt!NtOpenProcess
nt!NtOpenProcess:
8057559e e95d6f4271 jmp f199c500
805755a3 e93f953978 jmp f890eae7
805755a8 e8e5e4f6ff call nt!InterlockedPushEntrySList+0x79 (804e3a92)
...
同时打开“冰刃”跟“Rootkit Unhooker”我们就能在NtOpenProcess函数头看到这样的“奇观”,第一个jmp是“冰刃”的,第二个jmp是“Rootkit Unhooker”的。他们这样是防止被恶意程序通过TerminateProcess关闭。当然“冰刃”还Hook了NtTerminateProcess等函数。

**********************************************************************

好了,道理就说完了,下面就进入本文正题。
对付ring0 inline hook的基本思路是这样的,自己写一个替换的内核函数,以NtOpenProcess为例,就是MyNtOpenProcess。然后修改SSDT表,让系统服务进入自己的函数MyNtOpenProcess。而MyNtOpenProcess要做的事就是,实现NtOpenProcess前10字节指令,然后再JMP到原来的NtOpenProcess的十字节后。这样NtOpenProcess函数头写的JMP都失效了,在ring3直接调用OpenProcess再也毫无影响。

#include

typedef struct _SERVICE_DEscrīptOR_TABLE
 {
 PVOID ServiceTableBase ;
 PULONG ServiceCounterTableBase ;
 ULONG NumberOfService ;
 ULONG ParamTableBase ;
} SERVICE_DEscrīptOR_TABLE ,* PSERVICE_DEscrīptOR_TABLE ; //由于KeServiceDescrīptorTable只有一项,这里就简单点了
 extern PSERVICE_DEscrīptOR_TABLE KeServiceDescrīptorTable ; //KeServiceDescrīptorTable为导出函数

/
 VOID Hook ();
 VOID Unhook ();
 VOID OnUnload ( IN PDRIVER_OBJECT DriverObject );
 //
 ULONG JmpAddress ; //跳转到NtOpenProcess里的地址
 ULONG OldServiceAddress ; //原来NtOpenProcess的服务地址
//
 __declspec ( naked ) NTSTATUS __stdcall MyNtOpenProcess ( PHANDLE ProcessHandle ,
 ACCESS_MASK DesiredAccess ,
 POBJECT_ATTRIBUTES ObjectAttributes ,
 PCLIENT_ID ClientId )
{
 DbgPrint ( "NtOpenProcess() called" );
 __asm {
 push 0C4h
 push 804eb560h //共十个字节
 jmp [ JmpAddress ]
}
}
 ///
 NTSTATUS DriverEntry ( IN PDRIVER_OBJECT DriverObject , PUNICODE_STRING RegistryPath )
{
 DriverObject -> DriverUnload = OnUnload ;
 DbgPrint ( "Unhooker load" );
 Hook ();
 return STATUS_SUCCESS ;
}
 /
 VOID OnUnload ( IN PDRIVER_OBJECT DriverObject )
{
 DbgPrint ( "Unhooker unload!" );
 Unhook ();
}
 /
 VOID Hook ()
{
 ULONG Address ;
 Address = ( ULONG ) KeServiceDescrīptorTable -> ServiceTableBase + 0x7A * 4 ; //0x7A为NtOpenProcess服务ID
 DbgPrint ( "Address:0x%08X" , Address );

 ōldServiceAddress = *( ULONG *) Address ; //保存原来NtOpenProcess的地址
 DbgPrint ( "OldServiceAddress:0x%08X" , OldServiceAddress );

 DbgPrint ( "MyNtOpenProcess:0x%08X" , MyNtOpenProcess );

 JmpAddress = ( ULONG ) NtOpenProcess + 10 ; //跳转到NtOpenProcess函数头+10的地方,这样在其前面写的JMP都失效了
 DbgPrint ( "JmpAddress:0x%08X" , JmpAddress );

 __asm { //去掉内存保护
 cli
mov eax , cr0
 and eax , not 10000h
 mov cr0 , eax
 }

*(( ULONG *) Address ) = ( ULONG ) MyNtOpenProcess ; //HOOK SSDT

 __asm { //恢复内存保护
mov eax , cr0
 or eax , 10000h
 mov cr0 , eax
sti
 }
}
 //
 VOID Unhook ()
{
 ULONG Address ;
 Address = ( ULONG ) KeServiceDescrīptorTable -> ServiceTableBase + 0x7A * 4 ; //查找SSDT

 __asm {
 cli
mov eax , cr0
 and eax , not 10000h
 mov cr0 , eax
 }

*(( ULONG *) Address ) = ( ULONG ) OldServiceAddress ; //还原SSDT

 __asm {
mov eax , cr0
 or eax , 10000h
 mov cr0 , eax
sti
 }

 DbgPrint ( "Unhook" );
}


就这么多了,或许有人说,没必要那么复杂,直接恢复NtOpenProcess不就行了吗?对于象“冰刃”“Rookit Unhooker”这些“善良”之辈的话是没问题的,但是象NP这些“穷凶极恶”之流的话,它会不断检测NtOpenProcess是不是已经被写回去,是的话,嘿嘿,机器马上重启。这也是这种方法的一点点妙用。

turbocc
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HOOK钩子技术5 SSDT Inline Hook
Catch me if you can
05-14 2380
r3下的inline Hook 在r0下的实现。 过ssdt保护检测。
普及X64 ssdtshadow inline HOOK
落笔飞花笑百生的博客
09-22 3055
序: 我只想说~~再不发帖老大就 不搭理我了~~~ 原因:玩保护玩到了 XINGCODE3 就他的各种检测就让我不得不重视这个问题了:o: 各种窗口 各种X 我的工具 让我忍无可忍,就决定先HOOK了在说其他 最开始我用TA 的代码里面的 HOOK 方法 在 挂钩 NT 内核中的函数算是无往不利 在SHADOWSSDT中就蛋疼菊花紧了~~ 于是 开始自己搞:mad::mad:
SSDT inlineHook
dre4merp
05-16 364
上一篇我们介绍了最简单的SSDT,这篇来写一下inlineHook。 所谓的inlineHook就是在内存中修改所需要挂钩函数的前几个字节,让其跳转到我们的fake函数,执行完毕后再跳回去执行原函数,这样的话我们就没有修改SST表里面的内容,而是对函数本身修改。 流程摘自:看雪aniquest 1. 获取服务函数地址: (1)通过全局变量KeServiceDescriptorTable获得SSDT表的起始地址; (2)映射ntdll.dll到ring0空间,获得要Hook的函数的服务索引号; (
HOOK集合----SSDT Inline Hook(X86 win7)
qq_42021840的博客
04-24 291
介绍: SSDT InlineHook是在SSDT Hook 基础上来进一步Hook的,SSDTHook 是直接将SSDT表中的 Nt*函数替换成Fake函数,而SSDT Inline Hook是将原函数代码的前五个字节改变为 E9 _ _ _ _ ,后面跟的是Offset,也就是我们Fake函数的偏移地址,这样当Ring3层函数,比如OpenProcess在Ring3 层被调用...
SSDTinlinehook(64位)
weixin_34335458的博客
10-26 237
源码:https://github.com/haidragon/SSDTHOOK_win7x64/tree/master/SSDTHOOK_win7x64SSDT表的查找:https://blog.csdn.net/zfdyq0/article/details/26515019https://bbs.pediy.com/thread-249851.htm补充知识点:https://blog.csd...
如何区分ssdt hookinline hook钩子
01-25
如何区分ssdt hookinline hook的区别
win 64 Shadow ssdt hook
weixin_30709929的博客
10-02 420
以下参考黑客防线2012合订本 339页 //下午调代码 搞了这个一天,总是蓝屏,不断检查代码,后来发现了很怪的现象. 自己写的代码不能读取shadow ssdt的偏移内容,但是通过和调试作者的代码输出发现地址确实是一模一样的,但是自己的读不出来,而作者的能 读出来,当直接使用windbg调试时也读不出来. 后来将作者的代码完全复制过来,发现能读取了, ,但是又找不到原因, 只能等以后再...
win10 x64中inlineHook SSDT里面的函数
吾无法无天的博客
02-13 4523
inlineHook的原理: 为了方便好理解,一些变量名和函数名在这里使用中文命名,有些编译器不支持中文命名,在这里要注意(我的是VS2019) hook.h: #pragma once #include<ntifs.h> #include<ntddk.h> #pragma intrinsic(__readmsr) //SSDT表 typedef str...
SSDT HOOK技术轻松让最新版冰刃、XueTr失效
laobobo999的专栏
05-22 1515
刚开始学驱动,成功HOOK NtOpenProces 现在本想试试HOOK NtQuerySystemInformation,没想打它的结构N多N长,也让我很惊讶,这个API居然能获取或者设置超过50多种的信息。        参考网上的一些代码,看的我晕头转向的..也没点解释,而且也没法编译...总算搞清楚 进程信息是以链表的形式存储数据的。虽然没学过链表,但也大概有所了解。在做实验过程中
SSDT Hook技术详解与应用
flydragonhero的专栏
03-10 6401
SSDT Hook技术详解与应用SSDT Hook技术详解与应用 一SSDT简介 1什么是SSDT 2SSDT结构 3应用层调用 Win32 API 的完整执行流程 二SSDT Hook原理 1SSDT Hook原理简介 2进程隐藏与保护 3文件隐藏与保护 4端口隐藏一、SSDT简介1、什么是SSDT​ SSDT 的全称是 System Services Descriptor Table,系统服
Win64 驱动内核编程-22.SHADOW SSDT HOOK(宋孖健)
天使也掉毛
03-26 4775
SHADOWSSDTHOOK HOOK和UNHOOKSHADOWSSDT跟之前的HOOK/UNHOOKSSDT类似,区别是查找SSSDT的特征码,以及根据索引计算函数地址的公式,还有一个就是吧跳转函数写在什么位置,SSDT的时候是写在蓝屏函数里了。 一、获得wKeServiceDescriptorTableShadow的地址 这个跟获得KeServi...
Windows下Ring0级进程保护组件:SSDT HOOK技术实现
"基于SSDT HOOK 技术的Ring0级进程保护组件设计与实现" 在Windows操作系统中,实现进程保护通常需要深入到系统的核心层,即Ring0级别。这篇文档详细介绍了如何利用SSDT(System Service Descriptor Table,系统服务...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值