SSDT Hook 还原 (恢复)

最新推荐文章于 2021-04-30 08:42:41 发布
最新推荐文章于 2021-04-30 08:42:41 发布
阅读量229 收藏 2
点赞数
文章标签: 操作系统
原文链接:http://www.cnblogs.com/hhuai/archive/2010/03/01/1675389.html
版权

 

网上其实有很多介绍ssdt还原的文章,看起来也确实是一个很简单,套用一句网友的话,就是菜B才用的技术。但我着实也费了一番工夫,也可能真是我自己的理解能力太差。一个人搞了两三天才弄出来,其实真的很简单,只是有些文章说得很含糊。

下面我说几个要点:

1. ssdt已存在于原始pe文件中。(具体是ntoskrnl.exe、ntkrnlpa.exe、ntkrnlmp.exe、ntkrpamp.exe 自已想法确定)

操作系统根据是否是多处理器平台和是否支持PAE(Physical Address Extension)来选择合适的系

Picasa Content

统文件。

ntoskrnl.exe

单x86处理器,使用不超过4GB的物理内存。

ntkrnlpa.exe

单x86处理器,支持PAE。

ntkrnlmp.exe

多处理器,使用不超过4GB的物理内存。

ntkrpamp.exe

多处理器,支持PAE。

  
//如何确定系统的内核是ntoskrnl.exe还是ntkrnlpa.exe? 这里没有考虑多核
int nPaeOpen = 0;
WCHAR* kernelName= NULL;
__asm{
    _emit 0x0f
        _emit 0x20
        _emit 0xe0
        mov  edx, 0x1
        shl  edx, 5
        and  eax, edx
        shr  eax, 5
        mov nPaeOpen,eax
}
kernelName = nPaeOpen?L"ntoskrnl.exe":L"ntkrnlpa";

 

 

2. 位置的计算牵涉到几个地址:

    a. ssdt现存地址,可以通过windbg演示一下. (0x80504960 中存放地址表)

    image

   b. 找出当前内核基址 (804d8000)

   image

关于这里为什么是ntkrpamp.exe,我找了点资料:

  c. 有了这两个地址之后就可以算出RVA = 0x80504960 – 0x804d8000 = 0x2C960

  d.我们再去ntkrnlpa.exe中寻找对应的File offset (2BF60)

   image

e. 拿UE找出实际值 (04 C1 4C 00  也就是 0x004CC104)

image

f. 搞定,最后验证一下, 0x004CC104 – ImageBase + 内核基址

  0x004CC104 – 0x00400000 + 0x804d8000 = 805A4104

在windbg中看一下,地址符合,不符的话,肯定就是被 hook掉了。

image

帖点实现代码:

//根据RVA获取原始PE文件中的SSDT表
void GetSSDTFromPE(const SSDT_PARAM& ssdt_param ){
    gvSSDTList.clear();
    const DWORD rva = ssdt_param.ServiceTableBase-ssdt_param.nKernelImageBase;
    HANDLE hMapFile =NULL;
    HANDLE hFile =NULL;
    SIZE_T size = 0;
    int ECode = 0;
    PVOID pLoadBase =NULL;
    __try{
        __try{
            hFile = CreateFile(ssdt_param.kernelpath,
                FILE_ALL_ACCESS,
                FILE_SHARE_READ|FILE_SHARE_WRITE,
                NULL,
                OPEN_EXISTING,
                FILE_ATTRIBUTE_NORMAL,
                NULL);
            if( hFile ==  INVALID_HANDLE_VALUE){
                DisplayError(_T("CreateFile"),GetLastError());
                RaiseException(1,         // 抛?出?异?常?码?为?的?SEH异?常?
                    0,
                    0, NULL);               // 没?有?参?数?
                __leave;
            }
            DWORD dwBytesInBlock = GetFileSize(hFile,NULL); //文?件?长?度?

            hMapFile = CreateFileMapping(
                hFile,    // use paging file
                NULL,                    // default security 
                PAGE_READWRITE,
                0,                       // max. object size 
                dwBytesInBlock,          // buffer size  
                NULL);                 // name of mapping object

            CloseHandle(hFile);
            if( hMapFile ==  NULL){
                RaiseException(2,
                    0,
                    0, NULL);
                __leave;
            }
            pLoadBase = MapViewOfFile(hMapFile,FILE_MAP_ALL_ACCESS,0,0,dwBytesInBlock);
            if(pLoadBase == NULL){
                RaiseException(3,
                    0,
                    0, NULL);
                __leave;
            }
            //_tprintf(_T("ImageBase = 0x%x\n"),pLoadBase);
            PIMAGE_NT_HEADERS pImageNtHeader = ImageNtHeader(pLoadBase);
            if(pImageNtHeader == NULL){
                RaiseException(3,
                    0,
                    0, NULL);
                __leave;
            }
            DWORD ImageBase = pImageNtHeader->OptionalHeader.ImageBase;
            DWORD* VaAddr = (DWORD*)ImageRvaToVa(pImageNtHeader,pLoadBase,rva,NULL);
            if(VaAddr == NULL){
                RaiseException(4,
                    0,
                    0, NULL);
                __leave;
            }
            //_tprintf(_T("Index\tAddress\n"));
            for(DWORD i = 1; i <= ssdt_param.nCount; ++i,++VaAddr){
                //_tprintf(TEXT("0x%x\t[0x%x]\n"),i,*VaAddr-ImageBase+ssdt_param.nKernelImageBase);
                gvSSDTList.push_back(*VaAddr-ImageBase+ssdt_param.nKernelImageBase);
            }
        }
        __except(ECode=GetExceptionCode()) {
            DisplayError(_T(" "),GetLastError());
        }
    }
    __finally{
        if(pLoadBase) UnmapViewOfFile(pLoadBase);
        if(hMapFile) CloseHandle(hMapFile);
        if(hFile) CloseHandle(hFile);
    }
    return ;
}

 

转载于:https://www.cnblogs.com/hhuai/archive/2010/03/01/1675389.html

weixin_30938149
关注
hook pte_菜鸟开始学习SSDT HOOK((附带源码)
weixin_35399893的博客
01-17 607
看了梦无极的ssdt_hook教程,虽然大牛讲得很细,但是很多细节还是要自己去体会,才会更加深入。在这里我总结一下我的分析过程,若有不对的地方,希望大家指出来。首先我们应该认识 ssdt是什么?从梦无极的讲解过程中,我联想到了这样一个场景:古时候有一户人家,姓李,住在皇宫外面,他们家有一个女儿进皇宫当宫女。有一天,李家的老大爷要送东西给他女儿,我们假定他可以进皇宫,于是就开始了这样一个过程。进皇宫...
Rookit技术之SSDT_Hook
Hades的博客
04-27 551
Rookit技术之SSDT_Hook Rookit技术之SSDT_Hook 0x0 SSDT简介 0x1 测试环境 0x2 达到目标 0x3 主要思路 0x4 关键代码 0x5 测试效果 0x0 SSDT简介 SSDT全称为System Services Descriptor Table,中文为系统服务描述符表,ssdt表就是把ring3的Win32 API和ring0的...
ring3恢复SSDTHOOK(易语言ssdthook恢复工具)V1.0.0绿色免费版
08-05
ring3恢复SSDT HOOK(易语言ssdt hook恢复工具)是一款易语言源码恢复辅助工具。他可以基于ring3恢复SSDTHOOK,一款很专业的工具。使用ZwSystemDebugControl,可以在ring3下读写内核空间虚拟内存,但是XP以上系统貌似就不支持写内核了,还有NtSystemDebugControl被SSDT HOOK之后也无法写进内核,有需要的朋友来下载ring3恢复S
HOOK地址还原
weixin_30675247的博客
09-09 212
H头文件 ////////////////////////////////////////////////////////////////////// ////////////////////////////////////////////////////////////////////// typedef struct _ServiceDescriptorTable { PVOID S...
32位hook还原
陈刚编程心得与知识集
01-10 886
很早之前写的一份代码,放在硬盘上都忘记了,整理的时候发现了。这些东西,看雪大牛很早前应该发过了。 inline hook恢复是直接读取硬盘上的文件对比进行恢复的,代码包括inline hook、IAT hook恢复。 代码似乎有点不是很稳定(主要是IAT恢复部分不稳定,单独测试恢复Inline hook没发现问题) 在我的win x64 sp1上恢复32位QQ程序莫名的会多出一个wshtcp
ring0 恢复SSDTHook
aijuzhou1959的博客
08-25 134
原理: 用ZwQuerySystemInformation 功能号为11(SystemModuleInformation) 得到所有系统模块的地址 遍历搜索得到ntos模块的基地址 读Ntos模块到System进程空间中 在ntos中找到函数真正地址 将地址转换为ssdt的索引 //X64版本#include "ResumeSSDTHook.h" #define ...
Hook SSDT恢复
01-07
恢复了inline hook 的NtReadVirtualMemory和NtWriteVritualMemory
SSDT——框架编写与hook实例
qq_42882717的博客
04-30 533
SSDT——hook与框架SSDT框架综述SSDThook综述三级目录 SSDT框架综述 SSDT Hook 框架可不是大伙眼里的什么 .Net 框架啊,MVC 框架啊之类的,没那么复杂,算到底也就是一个 .cpp 和一个 .h 的文件而已,然后再在其中对外公开几个 API 即 OK 了 ~ SSDThook综述 ssdt竟然是一个数组,那么我们就需要先得到这个数组的首地址,于是这个结构就出来了。 typedef struct ServiceDescriptorEntry { unsigned in
ssdt.rar_ssdt
09-21
6. **恢复原函数**:为了保持系统的正常运行,当不再需要hook时,应将备份的原始函数地址还原SSDT中。 理解并实践SSDT Hook,对于深入理解Windows操作系统的工作原理,以及进行系统级调试和安全研究都具有很高的...
ShadowSSDT的hook
weixin_42486644的博客
06-23 680
Windows X86下系统中一共有2个系统服务描述符表,保存在如下的结构体中: typedef struct _KSYSTEM_SERVICE_TABLE { PULONG ServiceTableBase; //服务表的基址 PULONG ServiceCounterTableBase; ULONG NumberService; ...
仿游戏检测被恢复SSDT Hook
08-24
模仿游戏HOOKSSDK
SSDT恢复工具
05-19
SSDT恢复工具
SSDT查看和恢复工具
07-01
SSDT查看和恢复SSDT查看和恢复SSDT查看和恢复,SSDT查看和恢复
详解恢复Inline Hook源码
03-30
详解恢复inline Hook的源代码
SSDTHook实现进程保护
06-29
SSDTHook实现进程保护:http://blog.csdn.net/php_fly/article/details/9202379
FSD HOOKSSDT HOOK恢复简单思路
weixin_34292924的博客
09-03 296
FSD 解释: File System Driver文件系统驱动程序,分为本地FSD和远程FSD。 (1) 本地FSD:允许用户访问本地计算机上的数据 ——本地FSD负责向I/O管理器注册自己,当开始访问某个卷时,I/O管理器调用FSD来进行卷识别。 ——完成卷识别后,本地FSD创建一个设备对象以表示所装载的文件系统。 ——I/O管理器通过卷参数块(VPB)在存...
ring3 恢复SSDT
KernelEx的专栏
08-19 1762
// IATHOOK.cpp : Defines the entry point for the console application.//#include "stdafx.h"#include #include #include #include #include #include using namespace std;#define STATUS_S
SSDT的检测与恢复
08-28 1473
为避免检测失效(rootkit惯用的hook,inline hook)一个有效的方法是,我们在进行每一项检测之前都确保自身所使用的函数没有被hook,这样就不得不涉及到ssdt恢复和一些inline hook恢复了.ssdt是啥?原理之类的网上很多,相信感兴趣的你肯定不缺乏这方面的知识.我这里提供个方便,放个片段,//枚举SSDT表typedef struct _tagSSDT {  
通过直接恢复SSDT(系统服务分派表)的方式解除核心原生API钩子
清风道的专栏
12-11 3016
简介WIN32核心RootKit通过挂钩核心原生API的方式改变了系统的行为.这项技术最典型的实现方式是更改内核的SSDT(系统服务分派表).这种更改保证了被rootkit安装的钩子函数可以预先调用初始原生API.钩子函数通常调用初始的原生API,然后在原生API将结果返回到用户态程序之前将其输出结果改变.这种技术可以使核心态rootkit隐藏文件,进程或者阻止恶意进程被结束.此篇论文会对
SSDT HOOK技术实现Ring0级进程保护
"最简单的进程保护(适合初学驱动者) - 使用SSDT HOOK技术进行Ring0级进程保护的组件设计与实现" 本文主要探讨了如何利用SSDT(System Service Descriptor Table)HOOK技术在Windows环境下实现Ring0级别的进程保护。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值