Win64 驱动内核编程-22.SHADOW SSDT HOOK(宋孖健)

最新推荐文章于 2023-05-26 02:19:27 发布
最新推荐文章于 2023-05-26 02:19:27 发布
阅读量4.7k 收藏 12
点赞数 5
分类专栏: 驱动内核编程 文章标签: 驱动 SHADOW SSDT HOOK HOOK 宋孖健 13
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013761036/article/details/66473126
版权

SHADOW SSDT HOOK

    HOOK 和 UNHOOK SHADOW SSDT 跟之前的 HOOK/UNHOOK SSDT 类似,区别是查找SSSDT的特征码,以及根据索引计算函数地址的公式,还有一个就是吧跳转函数写在什么位置,SSDT的时候是写在蓝屏函数里了。

一、获得 w KeServiceDescriptorTableShadow的地址

    这个跟获得 KeServiceDescriptorTable 差不多,唯一不同就是特征码:

 

ULONGLONG GetKeServiceDescriptorTableShadow64()
{
PUCHAR StartSearchAddress = (PUCHAR)__readmsr(0xC0000082);
    PUCHAR EndSearchAddress = StartSearchAddress + 0x500;
PUCHAR i = NULL;
UCHAR b1=0,b2=0,b3=0;
ULONG templong=0;
ULONGLONG addr=0;
for(i=StartSearchAddress;i<EndSearchAddress;i++)
{
if( MmIsAddressValid(i) && MmIsAddressValid(i+1) && MmIsAddressValid(i+2) )
{
b1=*i;
b2=*(i+1);
b3=*(i+2);
if( b1==0x4c && b2==0x8d && b3==0x1d ) //4c8d1d
{
memcpy(&templong,i+3,4);
addr = (ULONGLONG)templong + (ULONGLONG)i + 7;
return addr;
}
}
}
return 0;
}

 

 

 

二、根据 X INDEX  获得 T SSSDT  函数在内核里的地址

    原理跟获得 SSDT 函数在在内核里的地址差不多,先获得 W32pServiceTable的地址,然后再获得每个函数的偏移地址,在把偏移地址与 W32pServiceTable相加。为什么下面的计算公式是 W32pServiceTable + 4 * (index-0x1000)呢?其实这只是个理解上的问题。SSDT 函数的起始 INDEX 是 0x0,SSSDT 函数的起始 INDEX 是 0x1000,但函数地址在 W32pServiceTable 是从基址开始记录

的(假设 W32pServiceTable 的地址是 0xfffff800~80000000,第 0 个函数的地址就记录在 0xfffff800~80000000,第 1 个函数的地址就记录在0xfffff800~80000004,第 2 个函数的地址就记录

最低0.47元/天 解锁文章
TK13
关注
  • 5
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Win64 驱动内核编程-18.SSDT
天使也掉毛
03-19 2205
SSDT  学习资料:http://blog.csdn.net/zfdyq0/article/details/26515019  学习资料:WIN64内核编程基础 胡文亮      SSDT(系统服务描述表),刚开始接触什么进程保护XXX啥的,都是看到在说SSDT(虽然说目前很多杀软都已经采用稳定简单的回调姿势了)。这次就弄清楚两个问题:     如何在内核里动态获得 SSDT 的基址;
8.FindWindow(SSDT Shadow HOOK)
Mikasys的博客
11-05 874
待更。。
Windows内核新手上路2——挂钩shadow SSDT
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
08-15 1624
Windows内核新手上路2——挂钩shadow SSDT          文章核心内容:安全软件窗口保护、安全输入、截屏保护的一些思路。挂钩NtUserFindWindowEx、NtUserGetForegroundWindow、NtUserBuildHwndList、NtUserQueryWindow、NtUserWindowFromPoint、NtUserSetParent、NtUser
微波诱导胶束型pdi光催化讲解水环境中有机污染物的效能
m0_46297759的博客
05-26 724
标题:微波诱导胶束型PDI光催化降解水环境中有机污染物的效能 1 引言 1.1 研究背景 1.1.1 水污染问题 水是世界上最珍贵的自然资源,对于维持生态系统的平衡和人类的生存和发展具有至关重要的作用。水资源短缺是当前全球面临的严峻问题之一。然而,随着人类活动的不断增加和全球化进程的推进,日益严重的缺水和日益严重的水环境污染,已成为一个全球性的问题。人口的快速增长、城市化进程的加速、工业生产和农业用水的增加,都对水资源的供需平衡造成了压力。据联合国报告显示,全球40%人口面临水资源短缺,而在一些地区,这一
分析了一下360安全卫士的hook(zt)
lionzl的专栏
07-11 3347
分析了一下360安全卫士的hook(zt)2010-6-3 18:36阅读(12) 分析了一下360的HOOK,通过直接hook KiFastCallEntry实现以所有系统调用的过滤。 我分析的版本如下: 主程序版本: 6.0.1.1003 HookPort.sys版本: 1, 0, 0, 1005 HookPort.sys的TimeStamp: 4A8D4AB8 简
WPF自定义控件——顶级控件
weixin_30892037的博客
12-25 609
作为一个WPF程序员,我最希望看到的是WPF的应用,或者更确切的说是绚丽的应用,虽然限于自身的实力还不能拿出成绩来,但看到别人的作品时,心里还是有很大的宽慰——WPF是可以做出更加动人地产品的,只要你坚定的走下去,带着不满现状的追求走下去。 下图是Telerik的WPF控件,我相信很多人也下过他的DEMO,研究过他的代码,并由此激起对WPF的信心。今天我们就来仿造他的Drag...
SSDTFunction_64_Test_Windows编程_ssdthook_
10-02
标题“SSDTFunction_64_Test_Windows编程_ssdthook_”暗示了这是一个关于在Windows 7系统中实现SSDT(System Service Dispatch Table)钩子函数的项目。SSDT是Windows内核的一个核心组件,它包含了操作系统对外提供...
WIN64驱动编程基础教程
12-06
|-WIN64内核编程的基本规则 |-驱动程序与应用程序通信 |-内核里使用内存 |-内核里操作字符串 |-内核里操作文件 |-内核里操作注册表 |-内核里操作进线程 |-驱动里的其它常用代码 ---------------------------...
易语言Shadow ssdt HOOK恢复
05-19
在IT安全领域,"Shadow SSDT HOOK"是一个重要的概念,尤其在逆向工程和系统保护技术中扮演着关键角色。 SSDT(System Service Dispatch Table)是Windows操作系统中的一个核心组件,它存储了系统服务的入口点,这些...
x64 ssdt shadowssdt inlinkhook
04-07
标题中的“x64 ssdt shadowssdt inlinkhook”涉及到的是Windows系统内核级的钩子技术,尤其是针对x64架构下的System Service Dispatch Table (SSDT)和Shadow SSDT的内联钩子(In-Process Hook)实现。SSDT是Windows...
R0层获取ShadowSSDT函数原始地址实例
11-20
本实例由VS2008开发,在提供了一套驱动开发框架的同时,又演示了如何获取Shadow SSDT表函数原始地址的办法。 主要函数:ULONG GetShadowSSDT_Function_OriAddr(ULONG index); 原理说明: 根据特征码搜索导出函数KeAddSystemServiceTable来获取Shadow SSDT基址,以及通过ZwQuerySystemInformation()函数获取win32k.sys基址,然后解析PE定位到Shadow SSDT在win32k.sys的偏移地址,并通过进一步计算来得到Shadow SSDT表函数的原始地址。 这里只测试了三个函数:(460)NtUserMessageCall、(475)NtUserPostMessage和(502)NtUserSendInput,具体使用时可以举一反三,网上完整的源代码实例并不太多,希望可以帮到真正有需要的朋友。 系统环境: 在WinXP SP3系统 + 瑞星杀毒软件 打印输出: [ LemonInfo : Loading Shadow SSDT Original Address Driver... ] [ LemonInfo : 创建“设备”值为:0 ] [ LemonInfo : 创建“设备”成功... ] [ LemonInfo : 创建“符号链接”状态值为:0 ] [ LemonInfo : 创建“符号链接”成功... ] [ LemonInfo : 驱动加载成功... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP 开始... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP Enter IRP_MJ_DEVICE_CONTROL... ] [ LemonInfo : 获取ShadowSSDT表 (460)NtUserMessageCall 函数的“当前地址”为:0xB83ECFC4,“起源地址”为:0xBF80EE6B ] [ LemonInfo : 获取ShadowSSDT表 (475)NtUserPostMessage 函数的“当前地址”为:0xB83ECFA3,“起源地址”为:0xBF8089B4 ] [ LemonInfo : 获取ShadowSSDT表 (502)NtUserSendInput 函数的“当前地址”为:0xBF8C31E7,“起源地址”为:0xBF8C31E7 ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP_MJ_DEVICE_CONTROL 成功执行... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP 结束... ] [ LemonInfo : UnLoading Shadow SSDT Original Address Driver... ] [ LemonInfo : 删除“符号链接”成功... ] [ LemonInfo : 删除“设备”成功... ] [ LemonInfo : 驱动卸载成功... ]
win10系统64驱动级防止进程关闭资源
01-20
Windows 10 64位系统中,驱动编程是一种深入操作系统内核的技术,它允许开发者编写程序来控制和管理系统的低级别功能。驱动级防止进程关闭资源是指通过驱动程序来保护特定进程,使其不被轻易结束或篡改。这种...
驱动编程,通过驱动名获取驱动模块地址
追逐光芒,追随内心
10-28 479
//功能:模块名称,地址 ULONG64 GetDirverBase(char* drivername) { NTSTATUS status; ULONG size; char* pDrvName; PSYSTEM_MODULE_INFORMATION moduleinfo; PSYSTEM_MODULE_INFORMATION_ENTRY moduleinfoentry; status = NtQuerySystemInformation(11, &size, NULL, &amp..
Win64 驱动内核编程-19.HOOK-SSDT
天使也掉毛
03-19 4846
HOOK SSDT     在 WIN64 上 HOOK SSDT 和 UNHOOK SSDT 在原理上跟 WIN32 没什么不同,甚至说 HOOK 和 UNHOOK 在本质上也没有不同,都是在指定的地址上填写一串数字而已 (填写代理函数的地址时叫做 HOOK,填写原始函数的地址时叫做 UNHOOK)。不过实现起来还是很大不同的。 一 、 HOOK SSDT     要挂钩 SSDT,必然
获取SSDT,SSSDT原始函数地址
zhuhuibeishadiao
05-02 4528
SSDT 当前函数地址 = KiSeviceTable + *(KiServiceTalbe + index * 4); TableRVA = KiSeviceTable - 内核真实加载地址 ; ImageBase = 0x140000000;(理想加载地址) ImageKiSeviceTable = ImageBase + TableRVA; LoadDLLBase = LoadLi
用symbol来获得ShadowSSDT的原始地址和函数名
weixin_34005042的博客
08-14 325
在网上看了下,获得ShadowSSDT的函数名和原始地址的方法和文章不是很多。比较简单的应该算是设计张函数名表和用symbol的方法。 个人觉得用symbol来获得ShadowSSDT还是比较方便的,而且自己也不用去创建一张表,何乐而不为。^_^ 这办法简单的原因是我只需要一个win32.sys,win32.pdb,以及调用不到10个的API就能完成工作。 ...
VT笔记(2)突破patchguard保护完成X64Hook
kernweak的博客
06-24 8828
win10,2018新年版后好像不支持了? MSR hook MSR (Model Specific Registers)是CPU 的一组64 位寄存器,可以分别通过RDMSR 和WRMSR 两条指令进行读和写的操作,前提要在ECX 中写入MSR 的地址(MSR地址就像一个宏STAR,LSTAR,CSTAR,SFMASK)。对于RDMSR 指令,将会返回相应的MSR 中64bit 信息到(ED...
win 64 Shadow ssdt hook
weixin_30709929的博客
10-02 417
以下参考黑客防线2012合订本 339页 //下午调代码 搞了这个一天,总是蓝屏,不断检查代码,后来发现了很怪的现象. 自己写的代码不能读取shadow ssdt的偏移内容,但是通过和调试作者的代码输出发现地址确实是一模一样的,但是自己的读不出来,而作者的能 读出来,当直接使用windbg调试时也读不出来. 后来将作者的代码完全复制过来,发现能读取了, ,但是又找不到原因, 只能等以后再...
ssdt-pnlf-cfl.aml 下载
最新发布
01-31
ssdt-pnlf-cfl.aml是一个ACPI补丁文件,通常用于解决在黑苹果(Hackintosh)上使用Intel Coffee Lake处理器时的亮度调节问题。 在黑苹果上,由于苹果电脑硬件与非苹果电脑硬件存在差异,因此需要通过一些补丁文件来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值