ssdt 表结构及hook的一般理解

最新推荐文章于 2023-07-19 11:13:27 发布
最新推荐文章于 2023-07-19 11:13:27 发布
阅读量105 收藏
点赞数

1       Ssdt表的基本结构

KeServiceDescriptorTable 首地址:8055D700

0: kd> dd KeServiceDescriptorTable

8055d700  80505460 00000000 0000011c 805058d4

8055d710  00000000 00000000 00000000 00000000

8055d720  00000000 00000000 00000000 00000000

8055d730  00000000 00000000 00000000 00000000

8055d740  00000002 00002710 bf80c349 00000000

8055d750  f7aeaa80 863d0340 863650f0 806f70c0

8055d760  025d954c 00000000 c136d144 00000001

8055d770  04a0f484 01cdcd68 00000000 00000000

 

KeServiceDescriptorTable的起始地址为:80505460

第n个函数地址为:80505460 + 4 * N

第1个函数地址为:80505460 + 4 * 1

2       Ssdt hook的基本原理

HookOpenProcess测试从Windbg

  1. 找出KeServiceDescriptorTable起始地址

0: kd> dd KeServiceDescriptorTable

8055d700  80505460 00000000 0000011c 805058d4

8055d710  00000000 00000000 00000000 00000000

8055d720  00000000 00000000 00000000 00000000

8055d730  00000000 00000000 00000000 00000000

8055d740  00000002 00002710 bf80c349 00000000

8055d750  f7aeaa80 863d0340 863650f0 806f70c0

8055d760  025d954c 00000000 1ffd4a44 00000004

8055d770  63676d84 01cdcd6a 00000000 00000000

  1. 找出OpenProcess的地址

首先找出他的序号为 0x7a

则地址为: 80505460 + 4 * 0x7a =  80505648

修改OpenProcess的地址 为00001234(乱改的)

0: kd> ed 80505648 00001234

查看修改后的地址

0: kd> dd 80505648

80505648  00001234 805ee730 805ee394 805ab3d0

80505658  80615828 805c4baa 805cc696 805ee74e

80505668  805ee504 80617770 80646176 805ca4bc

80505678  805f8b10 805f473a 805f4926 805b93e8

80505688  8060f7e6 80577ed6 80617110 80617110

80505698  80540bc6 806113d8 80612038 8057ae64

805056a8  805bf61c 8057b1b2 8060f8ae 8057802a

805056b8  806168ac 8057ba1e 805d6c28 805a63c8

查看工具检测的结果

weixin_34121282
关注
32位的SSDT结构浅析
XboxMicro
02-26 2019
以win7 x86为例(x64就不是我等菜鸟玩的了)   预备资料:   本地系统服务的地址在内核结构中称为系统服务调度(System Service Dispatch Table, SSDT)中列出。该可以基于系统调用编号进行索引,以便定位函数的内存地址。还有一个系统服务参数(System Service Parameter Table,SSPT)指定了每个系统服务的函数
SSDT结构
weixin_30657999的博客
10-24 184
SSDT的全称是System Services Descriptor Table,系统服务描述符 在ntoskrnl.exe导出KeServiceDescriptorTable 这个 typedef struct ServiceDescriptorTable { PVOID ServiceTableBase; //System Service Dispatch Table 的基地...
SSDT结构的深入学习
Fly20141201. 的专栏
11-10 1706
SSDT的知识目录: A、了解SSDT结构 B、由SSDT索引号获取当前函数地址        C、如何获取索引号 D、获取起源地址-判断SSDT是否被HOOK E、如何向内核地址写入自己代码   A、了解SSDT结构 SSDT的全称是 System  ServicesDescriptor Table--系统服务描述符,是由 ntoskrnl.exe 导出KeServic
SSDT 结构
weixin_34113237的博客
11-14 90
typedef struct _ServiceDescriptorTable { PVOID ServiceTableBase; //System Service Dispatch Table 的基地址 PVOID ServiceCounterTable; //包含着 SSDT 中每个服务被调用次数的计数器。这个计数器一般由sysen...
SSDT结构简记
weixin_34186950的博客
07-20 111
SSDT的全称是System Services DescriptorTable,系统服务描述符 在ntoskrnl.exe导出KeServiceDescriptorTable 这个 typedefstructServiceDescriptorTable{ PVOID ServiceTableBase; //System Service Dispatc...
SSDT.zip_hook_hook nt_hook ssdt_ssdt_ssdt hook
09-23
在本例中,主要讨论的是SSDT Hook,即对SSDT中函数指针的修改。 4. SSDT.h 和 SSDT.cpp:这两个文件很可能是实现SSDT Hook的源代码。`.h` 文件通常包含函数声明和可能的数据结构定义,而`.cpp` 文件则包含了具体...
SSDTHook_ssdt_SSDTHook_
10-01
它可能包含了如何查找SSDT,如何获取系统服务的原函数地址,如何创建钩子函数,以及如何在内核模式下安全地应用这些钩子的关键步骤。 在学习和实践SSDT Hooking时,有几个关键知识点需要注意: 1. 内核编程基础...
SSDT.rar_hook 驱动_ssdt_ssdt hook
09-22
1. 获取SSDT:驱动程序首先需要获取当前系统中的SSDT,这可能涉及到内核编程和内存读取。 2. 备份原始入口点:在对SSDT进行修改之前,通常需要保存原始的服务例程地址,以备恢复。 3. 设置钩子:将自定义的函数...
SSDT.rar_WINDOWS ssdt_hook_ssdt_ssdt hook_windows xp hook ss
09-21
Hook SSDT是一种常见的系统调试和恶意软件技术,通过替换SSDT中的函数指针,可以监控或篡改系统服务调用。 在描述中提到的"通过例子介绍了Windows系统服务调用的基本知识及Hook SSDT的方法"意味着该压缩包可能...
SSDT 对抗 ring0 inline hook, 通过SSDT绕过inline Hook.zip
01-24
由于SSDT存储了系统服务的原始入口点,我们可以通过重新指向SSDT中的函数指针,恢复到未被hook的状态,从而绕过ring0 inline hook。这通常涉及到以下步骤: 1. **获取SSDT地址**:在Windows系统中,SSDT的地址并...
如何区分ssdt hook和inline hook钩子
01-25
如何区分ssdt hook和inline hook的区别
SSDT概念详解
Fly20141201. 的专栏
06-25 5849
SSDT 的全称是 System Services Descriptor Table,系统服务描述符。 这个就是一个把 Ring3 的 Win32 API 和 Ring0 的内核 API 联系起来。Ring3下调用的所有函数最终都会先进入到ntdll里面的,比如ReadFile,就会进入ntdll的ZwReadFile   SSDT 并不仅仅只包含一个庞大的地址索引,它还包含着一些其它
SSDT HOOK
weixin_45678798的博客
07-19 189
SSDThook
初探SSDT
hongduilanjun的博客
03-17 2452
SSDT 的全称是 System Services Descriptor Table,系统服务描述符。这个就是一个把 Ring3 的 Win32 API 和 Ring0 的内核 API 联系起来。SSDT 并不仅仅只包含一个庞大的地址索引,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。通过修改此的函数地址可以对常用 Windows 函数及 API 进行 Hook,从而实现对一些关心的系统动作进行过滤、监控的目的。一些 HIPS、防毒软件、系统监控、注册监控软件往往会采用此接.
API钩取技术研究(四)——SSDT Hook
最新发布
m0_55220082的博客
07-19 393
简单起见,我将要保护的进程PID硬性编码为cmd.exe的PID。自定义钩取函数MyZwOpenProcess()的实现思路类似于IAT Hook中自定义钩取函数的实现思路,通过修改进程参数Desired Access的值为0,然后再将修改的参数传入正常调用的原ZwOpenProcess() API即可实现进程保护。
windbg查看SSDT
bcbobo21cn的专栏
09-05 1205
SSDT,System Services Descriptor Table,系统服务描述符。 见此 https://blog.csdn.net/bcbobo21cn/article/details/52083557 这个就是一个把ring3的Win32 API和ring0的内核函数联系起来。SSDT包含一个庞大的地址索引,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。 SSDT定义为下面结构体; typedef struct _SYSTEM_SERVICE_T...
学习笔记-SSDT_HOOK
a2a_66666的博客
08-31 240
0x00SSDT:   SSDT 的全称是 System Services Descriptor Table,系统服务描述符。   内核中有两个系统服务描述符,一个是KeServiceDescriptorTable,另一个是KeServieDescriptorTableShadow。   KeServiceDescriptorTable 主要是处理来自 Ring3 层得 Ke...
SSDT Hook技术详解与应用
flydragonhero的专栏
03-10 6499
SSDT Hook技术详解与应用SSDT Hook技术详解与应用 一SSDT简介 1什么是SSDT 2SSDT结构 3应用层调用 Win32 API 的完整执行流程 二SSDT Hook原理 1SSDT Hook原理简介 2进程隐藏与保护 3文件隐藏与保护 4端口隐藏一、SSDT简介1、什么是SSDT​ SSDT 的全称是 System Services Descriptor Table,系统服
SSDT HOOK技术实现Ring0级进程保护组件解析
- **SSDT简介**:SSDT是一个,记录了系统服务的地址,通过修改SSDT,可以替换系统服务,实现对系统调用的拦截和控制。 - **进程保护功能分析**:教程分析了如何利用HOOK技术来隐藏进程信息(防止进程被打开)和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值