x64技术之SSDT_Hook

最新推荐文章于 2020-08-27 01:39:02 发布
最新推荐文章于 2020-08-27 01:39:02 发布
阅读量377 收藏 1
点赞数
文章标签: python 运维
原文链接:https://my.oschina.net/u/1777508/blog/1930940
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

测试环境:

虚拟机: Windows 7 64bit

过PG工具

驱动加载工具

PCHunter64

系统自带的计算器和任务管理器等

实现思路:

实际思路与win32的思路一样.都是替换SSDT表里边的函数地址.不过微软被搞怕了,所以在x64上做了一些手脚.

具体手脚就是x64通过SSDT得到的函数地址,不是真实的函数绝对地址了,而是加密了的.

HOOK

1.得到系统服务表基址

2.保存需要Hook的函数地址(实际为偏移)

3.使内存可写,把表中要Hook的地址替换成KeBugCheckEx的地址,还原内存属性

4.HookKeBugCheckEx函数,在其开始处jmp到我们自己的函数地址.

5.自己实现Hook的函数,在其中做处理.

注:

简单说一下,win10x64th2及之前的版本,原始地址的保存方式是八字节的,每个地址是需要重定向的绝对地址,但从win10x64rs1开始,原始地址保存方式是四字节的,每个地址是不需要重定向的相对地址。
简单说公式就是
original_address=image_base+address_read_from_file
其中original_address和image_base是八字节整形,address_read_from_file是四字节整形
之前的公式是:
original_address=image_base+(address_read_from_file-file_image_base)
这四个变量都是八字节整形,括号内计算的是重定向

Tesla.Angela 则给出了新的计算公式

VA = KiServiceTable - NtosBase + ReloadedNtosBase;
OriAddr = getdword(VA+Index*4) + NtosBase;

x64要Hook的函数地址是 ServiceTableBase[Index]>>4 + ServiceTableBase

此处Hook了NtOpenProcess,导出序号是35号.处理了结束计算器进程的时候,禁止结束.

还原Hook的时候不需要还原KeBugCheckEx,因为这个函数就是崩溃蓝屏需要执行的函数.

这篇文章不会讲述过PG.

关键代码:

获取服务表基址

 

  1. //获取服务表基址

  2. ULONGLONG GetKeServiceDescriptorTable64()

  3. {

  4. PUCHAR StartSearchAddress = (PUCHAR)__readmsr(0xC0000082);

  5. PUCHAR EndSearchAddress = StartSearchAddress + 0x500;

  6. PUCHAR i = NULL;

  7. UCHAR byte1 = 0, byte2 = 0, byte3 = 0;

  8. ULONG temp = 0;

  9. ULONGLONG addr = 0;

  10. //开始搜索

  11. for (i = StartSearchAddress;i < EndSearchAddress;i++)

  12. {

  13. if (MmIsAddressValid(i) && MmIsAddressValid(i + 1) && MmIsAddressValid(i + 2))

  14. {

  15. byte1 = *i;

  16. byte2 = *(i + 1);

  17. byte3 = *(i + 2);

  18. if (byte1 == 0x4c && byte2 == 0x8d && byte3 == 0x15) //4c8d15

  19. {

  20. memcpy(&temp, i + 3, 4);

  21. addr = (ULONGLONG)temp + (ULONGLONG)i + 7;

  22. return addr;

  23. }

  24. }

  25. }

  26. return 0;

  27. }

获取SSDT表中的函数地址

 

  1. //获取SSDT中的函数地址

  2. ULONGLONG GetSSDTFuncCurrentAddr(ULONG id)

  3. {

  4. LONG dwtemp = 0;

  5. PULONG ServiceTableBase = NULL;

  6. ServiceTableBase = (PULONG)KeServiceDescriptorTable->ServiceTableBase;

  7. dwtemp = ServiceTableBase[id];

  8. dwtemp = dwtemp >> 4;

  9. return (LONGLONG)dwtemp + (ULONGLONG)ServiceTableBase;

  10. }

开启Hook

 

  1. //开启Hook

  2. VOID HookSSDT()

  3. {

  4. KIRQL irql;

  5. ULONGLONG dwtmp = 0;

  6. PULONG ServiceTableBase = NULL;

  7. //获取老函数地址

  8. g_OldOpenProcess = (NTOPENPROCESS)GetSSDTFuncCurrentAddr(35);

  9. //HookKeBugCheckEx

  10. InlineHookKeBugCheckEx();

  11. //保存地址数据,替换数据

  12. ServiceTableBase = (PULONG)KeServiceDescriptorTable->ServiceTableBase;

  13. OldTpVal = ServiceTableBase[35]; //保存表中的偏移变量

  14. irql = WriteProtectOFFx64();

  15. ServiceTableBase[35] = GetOffsetAddress((ULONGLONG)KeBugCheckEx);

  16. WriteProtectONx64(irql);

  17. }

HookKeBugCheckEx作为跳转

 

  1. //InlineHook_KeBugCheckEx

  2. VOID InlineHookKeBugCheckEx()

  3. {

  4. KIRQL irql;

  5. ULONGLONG myfun;

  6. UCHAR jmp_code[] = "\x48\xB8\xFF\xFF\xFF\xFF\xFF\xFF\xFF\x00\xFF\xE0";

  7. myfun = (ULONGLONG)HookNtOpenProcess;//替换成自己的函数地址

  8. memcpy(jmp_code + 2, &myfun, 8);

  9. irql = WriteProtectOFFx64();

  10. memset(KeBugCheckEx, 0x90, 15);

  11. memcpy(KeBugCheckEx, jmp_code, 12);//拷贝12字节

  12. WriteProtectONx64(irql);

  13. }

测试效果:

过PG后,加载驱动,使用任务管理器结束"计算器"程序失败,提示"拒绝访问"

 

PCHunter64位查看,又看到驱动挂钩了NtOpenProcess函数

PS:博客的技术内容的宽度可是开的有点大了,感觉自己很难把这些坑都填完.尽力填吧,每一个技术方面都尽力去深究.不过也有自己的事要做,填坑的速度肯定是快不了的.

转载于:https://my.oschina.net/u/1777508/blog/1930940

weixin_33785108
关注
win7 64位 ssdthook
11-21
通过hook内核中ssdt表中的ntopenprocess函数,标号为35,可通过遍历ssdt表查找得知,可实现进程保护。 适用系统:win7 64,需关闭驱动签名保护 编程工具:vs2012+wdk8.0
64位驱动SSDTHOOK教程
10-02
完整的64位驱动SSDTHOOK文档资料,学习win7 64位驱动很好的
Win7 64位的SSDTHOOK(2)---64位SSDT hook的实现
whatday的专栏
09-14 3981
Hook之前要干掉PG:http://www.m5home.com/bbs/thread-5893-1-1.html 上篇文章知道了寻找SSDT表的方法,这篇记录一下如何实现SSDT表的Hook。 下面以Hook NtOpenProcess为例,之前我查SSDT表发现NtOpenProcess函数的标号为35,用XT等工具也能查看。 废话不多说,上代码。 [
64位下的SSDT HOOK 保护进程
qq_41490873的博客
08-27 1024
64位下的SSDT HOOK与32位不同.由于SSDT服务表里面存放的只是函数的偏移,并且大小只有2的28次方. 无法直接跳转到指定的函数地址处,所以这里采用了先跳转到BugCheckEx函数,然后在BugCheckEx函数开头跳转到自己的处理函数中. BugCheckEx充当了一个跳板的作用. 代码在WIN7 64 7600版本中测试通过,卸载函数没有还原BugCheckEx函数的12字节 有需要自己去还原一下吧. 注意在测试的时候点击进程,不要直接点应用程序图标. #include<ntddk
如何找SSDT中精准的
weixin_34235135的博客
08-24 216
2019独角兽企业重金招聘Python工程师标准>>> ...
SSDTHook_ssdt_SSDTHook_
10-01
标签“ssdt SSDTHook”进一步巩固了这个主题,表明内容将集中讨论SSDT和与其相关的Hooking技术。 在压缩包中的“SSDHook”文件,可能是实现SSDT Hooking的源代码、可执行文件、文档或教程。它可能包含了如何查找...
src_过pg_过windowspg_64位SSDThook实现方法_过PG_
09-30
标题中的“src_过pg_过windowspg_64位SSDThook实现方法_过PG_”似乎是指一个关于在64位Windows系统下绕过Process Guard (PG)并通过修改System Service Dispatch Table (SSDT)实现hook技术教程。描述中的“WINDOWS ...
SSDT Hook_内核_x86_ssdthook_驱动_
10-03
本项目"SSDT Hook_内核_x86_ssdthook_驱动_"显然是一个针对32位(x86架构)系统的SSDT Hook实现示例,通过提供的文件名如"SSDT Hook.sln",我们可以推断这可能是一个Visual Studio解决方案文件,包含了项目的源代码...
ring0 SSDTHook 实现x64/x86
aijuzhou1959的博客
08-25 193
#include "HookSSDT.h" #include <ntimage.h> #define SEC_IMAGE 0x001000000 ULONG32 __NtOpenProcessIndex = 0; PVOID __ServiceTableBase = NULL; ULONG32 __OldNtOpenProcessOffse...
x64加载驱动方法,x64驱动各类型hook教程
01-16
x64加载驱动方法过pg方法,x64驱动各类型hook教程和基础教程
对于X64 驱动 SSDT hook不能超过4GB的原因?
u012129783的博客
05-09 309
fffff80000ba1000 fffff80000bcb000 kdbazis (deferred) fffff80003e17000 fffff800043f4000 nt (pdb symbols) c:\symbols\ntkrnlmp.pdb\F8E2A8B5C9B74BF4A6E4A48F180099942\ntkrnlmp.pdb f...
普及X64 ssdtshadow inline HOOK
fyfy
11-21 347
https://bbs.pediy.com/thread-204323.htm
X64驱动:读取SSDT表基址
热门推荐
CSDN
10-09 1万+
前面的驱动编程相关内容都是在32位环境下进行的,驱动程序与应用程序不同,32位的驱动只能运行在32位系统中,64位驱动只能在64位系统中运行,在WIN32环境下,我们可以各种Hook挂钩各种系统函数,而恶意程序也可以通过加载驱动进行内核层面的破坏(Rootkit),大家都可以乱搞,把好端端的Windows系统搞得乱七八糟,严重影响了系统安全性与可靠性。1.这里我们可以通过MSR(特别模块寄存器),读取C0000082寄存器,从而得到KiSystemCall64的地址,在内核调试模式下直接输入。
x64内核hook
liuhaidon1992的博客
01-07 1513
x64中系统提供了api帮助我们进行hook,主要是如下三个函数 PsSetCreateProcessNotifyRoutineEx,这个函数的作用就是当进程创建的时候会通知你., PsSetCreateThreadNotifyRoutine,这个函数的作用是 当线程创建的时候会通知你。 PsSetLoadImageNotifyRoutine,这个函数的作用是 当模块加载的时候会通知你。 ...
win7 x64中寻找SSDT
吾无法无天的博客
01-06 1256
win32位的SSDT表是导出的,根本不用找.但x64的就不导出了 win7x64下: 要得到SSDT的地址,首先找到KiSystemCall64的地址,在它的下面就有SSDT的线索 找的KiSystemCall64只需要读出MSR(特别模块寄存器)c0000082的值,便是KiSystemCall64的地址: 以下使用Windbg调试: 3: kd> rdmsr c0000...
初探win10 x64 SSDT(驱动学习笔记五)
rep_Su的博客
10-11 3563
初探win10 x64 SSDT0x0 windbg中查看SSDT背景介绍查看SSDT0x1 代码获取SSDT表中的函数获取SSDT的地址 0x0 windbg中查看SSDT 背景介绍 学习驱动的过程中,由于涉及到SSDT HOOK相关的知识点,开始学习SSDT,关于SSDT的基本概念,这里省去,中文名是系统服务描述表,具体的理解可自行百度,由于是初步探讨,本篇只介绍方法。 查看SSDT x64系...
关于Win7 x64 Shadow SSDT 的探索和 Inline HOOK
fyfy
05-15 3922
http://bbs.pediy.com/thread-210481.htm 来看雪一年了,在这里面学到了很多知识,非常感谢各位前辈对知识的分享和不懈的研究,也非常感谢各位大神对我们这些小白的照顾,特别要感谢MaMy、hksoobe、luolinlove等大神的指导。我也一直非常希望能为看雪贡献一点什么,但是小白的理解估计大神也看不上,这次也是注册看雪一周年,冲着这个也来发表一点自己的理
Windows下Ring0级进程保护组件:SSDT Hook技术实现
"基于SSDT HOOK技术的Ring0级进程保护组件设计与实现.pdf" 本文主要探讨了如何利用SSDT(System Service Descriptor Table)HOOK技术来设计和实现一个Ring0级别的进程保护组件。该组件旨在保护进程免受恶意攻击,如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值