HOOK钩子技术4 SSDT HOOK

最新推荐文章于 2023-07-19 11:13:27 发布
最新推荐文章于 2023-07-19 11:13:27 发布
阅读量2.5k 收藏 3
点赞数 1
分类专栏: hook 恶意代码分析 rootkit binary 文章标签: hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bugmeout/article/details/45700843
版权
本文深入探讨了Windows系统中的SSDT(System Service Dispatch Table)Hook技术,详细介绍了API调用过程,从RING3到RING0的转换,并通过示例展示了如何在SSDT中找到并替换原始API函数地址,以实现Hook。内容涵盖了SSDT技术原理、Ring3和Ring0的调试方法以及Hook的实战应用。
摘要由CSDN通过智能技术生成

API 调用过程

以一个demo测试为例,本测试查看OpenProcessR3-R0 下的调用。

// test.cpp : Defines the entry point for the console application.
//

#include "stdafx.h"
#include <windows.h>
#include <stdio.h>


int main(int argc, char* argv[])
{
//  __asm int 3
    HANDLE handle = OpenProcess(PROCESS_ALL_ACCESS,FALSE,2548);
    printf("handle=%08x",handle);
    return 0;
}

RING3

载入OD具体分析调用。

ring3 application space
00401028  |.  8BF4          mov esi, esp
0040102A  |.  68 F4090000   push 0x9F4       ; /ProcessId = 9F4
0040102F  |.  6A 00         push 0x0         ; |Inheritable = FALSE
00401031  |.  68 FF0F1F00   push 0x1F0FFF    ; |Access = PROCESS_ALL_ACCESS
00401036  |.  FF15 4CA14200 call dword ptr ds:[<&KERNEL32.OpenProcess>]  ; \OpenProcess

此时由测试进程模块 进入到kernel32 模块

--kernel32.dll (OpenProcess)
7C830A0B    8975 E8         mov dword ptr ss:[ebp-0x18], esi
7C830A0E    8975 F0         mov dword ptr ss:[ebp-0x10], esi
7C830A11    8975 F4         mov dword ptr ss:[ebp-0xC], esi
7C830A14    FF15 1C11807C   call dword ptr ds:[<&ntdll.NtOpenProcess>]; ntdll.ZwOpenProcess

----ntdll.dll(NtOpenProcess (or ZWOpenProcess))
7C92D5E0 >  B8 7A000000     mov eax, 0x7A
7C92D5E5    BA 0003FE7F     mov edx, 0x7FFE0300
7C92D5EA    FF12            call dword ptr ds:[edx]                            ; ntdll.KiFastSystemCall

7C92E4F0 >  8BD4            mov edx, esp
7C92E4F2    0F34            sysenter                                           ; ring3->ring0
7C92E4F4 >  C3              retn

在R3下的函数调用过程:本地模块->kernel32(openprocess)->ntdll(zwOpenProcess)->ntdll(sysenter)

ring3级别的函数调用栈回朔
地址       堆栈       函数过程 / 参数                       调用来自                      结构
........   ........        sysenter                          ntdll.KiFastSystemCall+0xC(7C92E4F2) ...
0012FEE0   7C92D5EC   包含ntdll.KiFastSystemCall              ntdll.7C92D5EA                0012FF1C
0012FEE4   7C830A1A   ntdll.ZwOpenProcess                   kernel32.7C830A14             0012FF1C
0012FF20   0040103C   kernel32.OpenProcess                  test.00401036                 0012FF1C
0012FF24   001F0FFF     Access = PROCESS_ALL_ACCESS
0012FF28   00000000     Inheritable = FALSE
0012FF2C   000009F4     ProcessId = 9F4
0012FF84   00401239   test.00401005                         test.<模块入口点>+0E4              0012FF80

也可以用windbg 去查看,更简单,但是调试就不能是local kernel 模式了,往windbg 中拖拽一个可执行文件后,查看结构

0:000> u kernel32!openprocess l30            //l30表示取30条指令,只求多,不求少
kernel32!OpenProcess:
7c8309d1 8bff            mov     edi,edi
7c8309d3 55              push    ebp
7c8309d4 8bec            mov     ebp,esp
7c8309d6 83ec20          sub     esp,20h
7c8309d9 8b4510          mov     eax,dword ptr [ebp+10h]
7c8309dc 8945f8          mov     dword ptr [ebp-8],eax
7c8309df 8b450c          <
最低0.47元/天 解锁文章
BugMeOut
关注
专栏目录
Rookit技术SSDT_Hook
Hades的博客
04-27 537
Rookit技术SSDT_Hook Rookit技术SSDT_Hook 0x0 SSDT简介 0x1 测试环境 0x2 达到目标 0x3 主要思路 0x4 关键代码 0x5 测试效果 0x0 SSDT简介 SSDT全称为System Services Descriptor Table,中文为系统服务描述符表,ssdt表就是把ring3的Win32 API和ring0的...
Hook SSDT恢复
01-07
恢复了inline hook 的NtReadVirtualMemory和NtWriteVritualMemory
SSDTHook实例--编写稳定的Hook过滤函数
Fly20141201. 的专栏
07-04 3165
讲解如何写Hook过滤函数,比如NewZwOpenProcess。打开进程。很多游戏保护都会对这个函数进行Hook。由于我们没有游戏保护的代码,无法得知游戏公司是如何编写这个过滤函数。   我看到很多奇形怪状的Hook过滤函数的写法。看得蛋痛无比。比如: http://bbs.pediy.com/showthread.php?t=126802 http://bbs.pediy.com/sh
SSDT-hook,IDT-hook原理
fun0526的专栏
08-04 2520
<br /><br />【详细过程】<br />这次主要说说核心层的hook。包括SSDT-hook,IDT-hook,sysenter-hook。欢迎讨论,指正!内核层需要驱动,有这方面的基础最好,如果不会,了解下其中的思路也可以的。<br /><br />II. SSDT-hook,IDT-hook,sysenter-hook<br />一.SSDT-hook<br />(一)一般思路:<br />1.先来了解一下,什么是SSDT<br />SSDT既System Service Dispath Tab
SSDT hook学习资料以及总结问题
duhaomin的专栏
10-24 1463
很想把调试后的代码发出来,但是由于是在公司写的,在此就不贴出来了,不过根据下边的这些资料,聪明的你一定可以把原理弄懂并且整出来的。 SSDT hook 的一点 疑问->获取服务地址用一句话就搞定 了,还用写个函数用内联汇编?KeServiceDescriptorTable.ServiceTableBase[122]   http://www.mengwuji.net/forum
如何区分ssdt hook和inline hook钩子
01-25
2. "HOOK钩子技术5 SSDT Inline Hook_Catch me if you can-CSDN博客":这篇博客文章可能详细讲解了SSDT Inline Hook的实现细节和技术要点。 3. "inline HOOKSSDT HOOK各自有啥特性的哦-_百度知道":这是一个问答...
SSDT.zip_hook_hook nt_hook ssdt_ssdt_ssdt hook
09-23
1. SSDT Hook:这是一种技术,用于修改SSDT中的函数指针,以便在调用原始系统服务之前或之后插入自定义代码。这种技术常被恶意软件或安全研究人员用于监控系统行为,或者在某些情况下,修改系统行为。SSDT Hook的...
SSDTHook_ssdt_SSDTHook_
10-01
标签“ssdt SSDTHook”进一步巩固了这个主题,表明内容将集中讨论SSDT和与其相关的Hooking技术。 在压缩包中的“SSDHook”文件,可能是实现SSDT Hooking的源代码、可执行文件、文档或教程。它可能包含了如何查找...
ssdt_hook.rar_ssdt_ssdt hook_ssdt_hook_struct.h
09-21
SSDT Hook是一种技术,通过修改SSDT表中的函数指针,使得在调用原系统服务时,会先执行我们自定义的代码,然后再执行原本的服务。这种技术在系统调试、恶意软件分析和安全防御中都有广泛应用。 标题“ssdt_hook.rar...
SSDTHook实现进程保护
06-29
SSDTHook实现进程保护:http://blog.csdn.net/php_fly/article/details/9202379
SSDT-HOOK
qq_31507523的博客
04-17 491
SSDT-HOOK
SSDT Hook的妙用-对抗ring0 inline hook
lionzl的专栏
08-25 754
标 题: 【原创】SSDT Hook的妙用-对抗ring0 inline hook作 者: 堕落天才时 间: 2007-03-10,15:18链 接: http://bbs.pediy.com/showthread.php?t=40832********************************************************标题:【原创】SSDT Hook的妙用-对抗r
SSDT——框架编写与hook实例
qq_42882717的博客
04-30 514
SSDT——hook与框架SSDT框架综述SSDThook综述三级目录 SSDT框架综述 SSDT Hook 框架可不是大伙眼里的什么 .Net 框架啊,MVC 框架啊之类的,没那么复杂,算到底也就是一个 .cpp 和一个 .h 的文件而已,然后再在其中对外公开几个 API 即 OK 了 ~ SSDThook综述 ssdt竟然是一个数组,那么我们就需要先得到这个数组的首地址,于是这个结构就出来了。 typedef struct ServiceDescriptorEntry { unsigned in
SSDT】SSDT hook技术
dr0op's blog
09-07 2253
通过修改此表的函数地址可以对常用Windows函数及API进行Hook,从而实现对一些关心的系统动作进行过滤、监控等目的。在NT4.0 以上的Windpws 操作系统中,默认存在两个系统服务描述表,两个调度表对应两类不同的系统服务。要Hook SSDT表,首选需要这个表是可写的,但是在XP之后的系统都是只读的,有三种方式修改内存保护机制。其中第1位叫做保护属性位,控制着页的读或写属性。如果为0,则只能读/执行。SSDT,IDT(中断描述符表)的页属性在默认情况下只读,可执行,但不能写。例如进程保护(驱动)
SSDT hook完整版
weixin_34320159的博客
10-18 213
原理可以看:https://blog.csdn.net/zhuhuibeishadiao/article/details/51114107 在多核下用MDL方式修改内存 NTSTATUS RtlSuperCopyMemory(IN VOID UNALIGNED *Dst, IN CONST VOID UNALIGNED *Src, IN ULONG Length) { //...
HOOK技术SSDT HOOK(x86)
weixin_43742894的博客
04-02 501
在进行SSDT Hook之前我们要先了解SSDT的概念和作用。 SSDT: System Services Descriptor Table(系统服务描述符表),在内核中是KeServiceDescriptorTable。这个表就是一个把ring3的Win32 API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服...
API钩取技术研究(四)——SSDT Hook
最新发布
m0_55220082的博客
07-19 401
简单起见,我将要保护的进程PID硬性编码为cmd.exe的PID。自定义钩取函数MyZwOpenProcess()的实现思路类似于IAT Hook中自定义钩取函数的实现思路,通过修改进程参数Desired Access的值为0,然后再将修改的参数传入正常调用的原ZwOpenProcess() API即可实现进程保护。
【顶】详解HOOK SSDT
12-03 1019
hookprocess.rar我想大家都用过冰刃吧,因该对SSDT记忆犹新,但什么是SSDT,他是做什么的呢? SSDT的全称是System Services Descriptor Table,系统服务描述符表。这个表的作用就是把ring3的Win32 API和ring0的内核API联系起来。他通过对系统调用进行索引,然后定位函数的内存地址。当应用程序采用子系统调用系统服务时,他会
Windows下Ring0级进程保护组件:SSDT Hook技术实现
"基于SSDT HOOK技术的Ring0级进程保护组件设计与实现.pdf" 本文主要探讨了如何利用SSDT(System Service Descriptor Table)HOOK技术来设计和实现一个Ring0级别的进程保护组件。该组件旨在保护进程免受恶意攻击,如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值