关于SSDT

最新推荐文章于 2023-01-23 19:42:29 发布
最新推荐文章于 2023-01-23 19:42:29 发布
阅读量117 收藏
点赞数

百度上比较好的解释是:SSDT的全称是System Services Descriptor Table,系统服务描述符表。这个表就是一个把ring3的Win32 API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。

        说白了,SSDT就是把系统两个不同级别的函数给关联起来,因为为了安全需要,我们平常所使用的API函数基本都是在ring3下的函数,ring3的级别比较低,但是有些涉及到系统底层的函数怎么办呢?Windows就给出一个SSDT表,把ring3和ring0的函数给关联起来,这样,我们就通过使用ring3的函数就可以直接做一些底层操作了。        

        好吧,既然有这个东西,谁最关心呢?当然是杀毒软件最关心了,因为为了阻止某些病毒不让他破坏系统的底层,杀毒软件会把SSDT中的地址给修改并转向,这样,当病毒或程序调用这些函数的时候,就无法找到真正的对应函数,从而调用失败。

        不过这玩意已经没有什么神秘的了,道高一尺魔高一丈,现在的病毒已经可以绕过SSDT去直接调用底层函数了,或者说可以找出底层函数的真实地址了,这里,我们就简单利用KeServiceDescriptorTable这个函数来读取系统的SSDT表吧。

       完整代码如下:

 

view source
print ?
001. #include "stdafx.h"
002. #include <windows.h>
003. #include <iostream>
004. using namespace std;
005.   
006. #define RVATOVA(base,offset)             ((PVOID)((DWORD)(base)+(DWORD)(offset)))
007. #define ibaseDD *(PDWORD)&ibase
008. #define STATUS_INFO_LENGTH_MISMATCH      ((NTSTATUS)0xC0000004L)
009. #define NT_SUCCESS(Status)               ((NTSTATUS)(Status) >= 0)
010.   
011.   
012. typedef struct {
013.     WORD    offset:12;
014.     WORD    type:4;
015. } IMAGE_FIXUP_ENTRY, *PIMAGE_FIXUP_ENTRY;
016.   
017.   
018. typedef LONG NTSTATUS;
019.   
020. long ( __stdcall *NtQuerySystemInformation )( DWORD, PVOID, DWORD, DWORD );
021.   
022. typedef struct _SYSTEM_MODULE_INFORMATION {//Information Class 11
023.     ULONG    Reserved[2];
024.     PVOID    Base;
025.     ULONG    Size;
026.     ULONG    Flags;
027.     USHORT    Index;
028.     USHORT    Unknown;
029.     USHORT    LoadCount;
030.     USHORT    ModuleNameOffset;
031.     CHAR    ImageName[256];
032. }SYSTEM_MODULE_INFORMATION,*PSYSTEM_MODULE_INFORMATION;
033.   
034. typedef struct {
035.     DWORD    dwNumberOfModules;
036.     SYSTEM_MODULE_INFORMATION    smi;
037. } MODULES, *PMODULES;
038.   
039. #define    SystemModuleInformation    11
040.   
041.   
042.   
043.   
044. DWORD GetHeaders(PCHAR ibase,
045.                  PIMAGE_FILE_HEADER *pfh,
046.                  PIMAGE_OPTIONAL_HEADER *poh,
047.                  PIMAGE_SECTION_HEADER *psh)
048.                    
049. {
050.     PIMAGE_DOS_HEADER mzhead=(PIMAGE_DOS_HEADER)ibase;
051.       
052.     if    ((mzhead->e_magic!=IMAGE_DOS_SIGNATURE) ||        
053.         (ibaseDD[mzhead->e_lfanew]!=IMAGE_NT_SIGNATURE))
054.         return FALSE;
055.       
056.     *pfh=(PIMAGE_FILE_HEADER)&ibase[mzhead->e_lfanew];
057.     if (((PIMAGE_NT_HEADERS)*pfh)->Signature!=IMAGE_NT_SIGNATURE) 
058.         return FALSE;
059.     *pfh=(PIMAGE_FILE_HEADER)((PBYTE)*pfh+sizeof(IMAGE_NT_SIGNATURE));
060.       
061.     *poh=(PIMAGE_OPTIONAL_HEADER)((PBYTE)*pfh+sizeof(IMAGE_FILE_HEADER));
062.     if ((*poh)->Magic!=IMAGE_NT_OPTIONAL_HDR32_MAGIC)
063.         return FALSE;
064.       
065.     *psh=(PIMAGE_SECTION_HEADER)((PBYTE)*poh+sizeof(IMAGE_OPTIONAL_HEADER));
066.     return TRUE;
067. }
068.   
069.   
070. DWORD FindKiServiceTable(HMODULE hModule,DWORD dwKSDT)
071. {
072.     PIMAGE_FILE_HEADER    pfh;
073.     PIMAGE_OPTIONAL_HEADER    poh;
074.     PIMAGE_SECTION_HEADER    psh;
075.     PIMAGE_BASE_RELOCATION    pbr;
076.     PIMAGE_FIXUP_ENTRY    pfe;    
077.       
078.     DWORD    dwFixups=0,i,dwPointerRva,dwPointsToRva,dwKiServiceTable;
079.     BOOL    bFirstChunk;
080.       
081.     GetHeaders((char *)hModule,&pfh,&poh,&psh);
082.       
083.     // loop thru relocs to speed up the search
084.     if ((poh->DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress) &&
085.         (!((pfh->Characteristics)&IMAGE_FILE_RELOCS_STRIPPED))) {
086.           
087.         pbr=(PIMAGE_BASE_RELOCATION)RVATOVA(poh->DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress,hModule);
088.           
089.         bFirstChunk=TRUE;
090.         // 1st IMAGE_BASE_RELOCATION.VirtualAddress of ntoskrnl is 0
091.         while (bFirstChunk || pbr->VirtualAddress) {
092.             bFirstChunk=FALSE;
093.               
094.             pfe=(PIMAGE_FIXUP_ENTRY)((DWORD)pbr+sizeof(IMAGE_BASE_RELOCATION));
095.               
096.             for (i=0;i<(pbr->SizeOfBlock-sizeof(IMAGE_BASE_RELOCATION))>>1;i++,pfe++) {
097.                 if (pfe->type==IMAGE_REL_BASED_HIGHLOW) {
098.                     dwFixups++;
099.                     dwPointerRva=pbr->VirtualAddress+pfe->offset;
100.                     // DONT_RESOLVE_DLL_REFERENCES flag means relocs aren't fixed
101.                     dwPointsToRva=*(PDWORD)((DWORD)hModule+dwPointerRva)-(DWORD)poh->ImageBase;
102.                       
103.                     // does this reloc point to KeServiceDescriptorTable.Base?
104.                     if (dwPointsToRva==dwKSDT) {
105.                         // check for mov [mem32],imm32. we are trying to find 
106.                         // "mov ds:_KeServiceDescriptorTable.Base, offset _KiServiceTable"
107.                         // from the KiInitSystem.
108.                         if (*(PWORD)((DWORD)hModule+dwPointerRva-2)==0x05c7) {
109.                             // should check for a reloc presence on KiServiceTable here
110.                             // but forget it
111.                             dwKiServiceTable=*(PDWORD)((DWORD)hModule+dwPointerRva+4)-poh->ImageBase;
112.                             return dwKiServiceTable;
113.                         }
114.                     }
115.                       
116.                 
117.             }
118.             *(PDWORD)&pbr+=pbr->SizeOfBlock;
119.         }
120.     }    
121.       
122.       
123.       
124.     return 0;
125. }
126.   
127.   
128. int EnumSSDT()
129. {
130.     HMODULE  hKernel;
131.     DWORD    dwKSDT;                // rva of KeServiceDescriptorTable
132.     DWORD    dwKiServiceTable;    // rva of KiServiceTable
133.     PMODULES    pModules=(PMODULES)&pModules;
134.     DWORD    dwNeededSize,rc;
135.     DWORD    dwKernelBase,dwServices=0;
136.     PCHAR    pKernelName;
137.     PDWORD    pService;
138.     PIMAGE_FILE_HEADER    pfh;
139.     PIMAGE_OPTIONAL_HEADER    poh;
140.     PIMAGE_SECTION_HEADER    psh;
141.     NtQuerySystemInformation = (long(__stdcall*)(DWORD,PVOID,DWORD,DWORD))GetProcAddress( GetModuleHandle( "ntdll.dll" ),"NtQuerySystemInformation" ); 
142.     //通过NtQuerySystemInformation取得系统内核文件,判断为是ntoskrnl.exe ntkrnlmp.exe ntkrnlpa.exe
143.     rc=NtQuerySystemInformation(SystemModuleInformation,pModules,4,(ULONG)&dwNeededSize);
144.     if (rc==STATUS_INFO_LENGTH_MISMATCH) //如果内存不够
145.     {
146.         pModules=(PMODULES)GlobalAlloc(GPTR,dwNeededSize) ; //重新分配内存
147.         rc=NtQuerySystemInformation(SystemModuleInformation,pModules,dwNeededSize,NULL); //系统内核文件是总是在第一个,枚举1次
148.     
149.       
150.     if (!NT_SUCCESS(rc))
151.     {
152.         cout << "NtQuerySystemInformation() Failed !\n"; //NtQuerySystemInformation执行失败,检查当前进程权限
153.         return 0;
154.     }
155.       
156.     dwKernelBase=(DWORD)pModules->smi.Base;   // imagebase
157.     pKernelName=pModules->smi.ModuleNameOffset+pModules->smi.ImageName;
158.     hKernel=LoadLibraryEx(pKernelName,0,DONT_RESOLVE_DLL_REFERENCES);     // 映射ntoskrnl //高 
159.     if (!hKernel)
160.     {
161.         cout << "Failed to load \n";
162.         return 0;        
163.     }
164.     GlobalFree(pModules);
165.     if (!(dwKSDT=(DWORD)GetProcAddress(hKernel,"KeServiceDescriptorTable"))) //在内核文件中查找KeServiceDescriptorTable地址
166.     {
167.         cout << "Can't find KeServiceDescriptorTable\n";
168.         return 0;
169.     }
170.       
171.     dwKSDT-=(DWORD)hKernel;       // 获取 KeServiceDescriptorTable RVA
172.     if (!(dwKiServiceTable=FindKiServiceTable(hKernel,dwKSDT)))   // 获取KiServiceTable地址
173.     {
174.         cout << "Can't find KiServiceTable...\n";
175.         return 0;
176.     }
177.       
178.     GetHeaders((char *)hKernel,&pfh,&poh,&psh); 
179.       
180.     int dwIndex=0;
181.     for (pService=(PDWORD)((DWORD)hKernel+dwKiServiceTable);
182.         *pService-poh->ImageBase<poh->SizeOfImage;
183.         pService++,dwServices++,dwIndex++)
184.     {
185.         printf("0x%03X-0x%08X\n",dwIndex,*pService-poh->ImageBase+dwKernelBase);   //SSDT索引和地址
186.     }
187.     FreeLibrary(hKernel);
188.     return 1;
189. }
190.   
191.   
192.   
193. int main()
194. {
195.     EnumSSDT();
196.   
197.     system("pause");
198.     return 0;
199. }
weixin_34356138
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
windows环境提取DSDT/SSDT/ROM工具,AIDA64.zip
07-08
windows环境提取DSDT/SSDT/ROM工具,1.提取DSDT 打开aida64.exe——工具——ACPI浏览器——Save DSDT——选择保存位置保存,把保存好的acpi_dsdt.bin命名为DSDT.aml。 2.提取SSDT 打开aida64.exe——工具——ACPI浏览器——Save Table——前面是SSDT开头的都要保存。保存时候文件名为SSDT.aml/SSDT-1.aml/SSDT-2.aml/SSDT-3.aml/一次类推,保存类型为ALL files(*.*)。 3.显卡rom提取 打开aida64.exe——查看——状态栏——右键状态栏——Video Debug——Video BISO Debug——文件名称随意.rom就可以。保存类型为ALL files(*.*)
关于SSDT的详解.pdf
11-10
详细介绍了ssdt的原理,剖析了windows系统特权级别的切换。有助于windows内核的学习
初探SSDT
hongduilanjun的博客
03-17 2407
SSDT 的全称是 System Services Descriptor Table,系统服务描述符表。这个表就是一个把 Ring3 的 Win32 API 和 Ring0 的内核 API 联系起来。SSDT 并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。通过修改此表的函数地址可以对常用 Windows 函数及 API 进行 Hook,从而实现对一些关心的系统动作进行过滤、监控的目的。一些 HIPS、防毒软件、系统监控、注册表监控软件往往会采用此接.
SSDT】SSDT hook技术
dr0op's blog
09-07 2163
通过修改此表的函数地址可以对常用Windows函数及API进行Hook,从而实现对一些关心的系统动作进行过滤、监控等目的。在NT4.0 以上的Windpws 操作系统中,默认存在两个系统服务描述表,两个调度表对应两类不同的系统服务。要Hook SSDT表,首选需要这个表是可写的,但是在XP之后的系统都是只读的,有三种方式修改内存保护机制。其中第1位叫做保护属性位,控制着页的读或写属性。如果为0,则只能读/执行。SSDT,IDT(中断描述符表)的页属性在默认情况下只读,可执行,但不能写。例如进程保护(驱动)
驱动保护:挂接SSDT内核钩子(1)
weixin_30790841的博客
09-20 487
SSDT 中文名称为系统服务描述符表,该表的作用是将Ring3应用层与Ring0内核层,两者的API函数连接起来,起到承上启下的作用,SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基址、服务函数个数等,SSDT 通过修改此表的函数地址可以对常用 Windows 函数进行内核级的Hook,从而实现对一些核心的系统动作进行过滤、监控的目的,接下来将演...
SSDTHook_ssdt_SSDTHook_
10-01
标题“SSDTHook_ssdt_SSDTHook_”暗示了这个压缩包可能包含了一个关于SSDT Hooking的工具或者教程。这个工具或教程可能是为了帮助用户理解和实践如何在Windows内核层面上进行系统服务的挂钩。 描述“ssdt hooking ...
SSDT.rar_ring0_ssdt
09-22
而“zguso.txt”可能是作者关于SSDT的个人笔记或工具使用说明,可能包含了一些实战经验或技巧。 总的来说,了解SSDT及其在不同权限级别的操作对于系统开发者、安全研究员以及逆向工程师来说都是基础且重要的知识。...
ssdt.rar_ssdt
09-21
在【标题】"ssdt.rar_ssdt"中,我们看到的是一个关于Windows平台下SSDT Hook技术的压缩包。SSDT Hook是一种高级的调试和注入技术,它允许开发者替换或“hook”掉系统服务的原始函数,以实现对系统行为的监控或修改。...
SSDT.rar_ssdt
09-23
标题中的"SSDT.rar_ssdt"表明这是一个与系统服务描述符表(System Service Descriptor Table, SSDT)相关的压缩包文件,特别关注于SSDT在Visual Basic环境下的操作。描述指出,这个工具或教程可能用于枚举系统服务...
高版本Windows下SSDT函数获取例子完整工程
10-23
在Windows10 高版本中 ,因为页表隔离补丁(?),__readmsr(0xC0000082) 返回KiSystemCall64Shadow,这玩意无法直接搜索到 KeServiceDescriptorTable,以前获取SystemServiceDescriptorTable的方法失效。
SSDTTime:SSDTDSDT热补丁尝试
04-29
SSDT时间 一个简单的工具,旨在简化创建SSDT的过程。 支持macOS,Linux和Windows 支持的SSDT: 固态硬盘操作系统感知的假EC SSDT-插头在CPU0 / PR00上设置plugin-type = 1 SSDT-HPET 修补IRQ冲突 此外,在Linux和Windows上,该工具可用于转储系统DSDT。 指示: Linux: 从终端窗口或通过正常运行文件,使用任何最新版本的Python启动SSDTTime.py。 苹果系统: 从终端窗口或双击文件启动SSDTTime.command。 视窗: 从终端窗口或双击文件启动SSDTTime.bat。 学分: 编写使用的脚本和库 脚本的一些小改进 修复者/英特尔-IASL
SSDT查看和恢复工具
07-01
SSDT查看和恢复,SSDT查看和恢复,SSDT查看和恢复,SSDT查看和恢复
ssdt-demo:SSDT-SQL Server数据工具演示
03-07
ssdt-demo
windows ssdt
不会写代码的丝丽
01-23 818
我们ring 3跳转ring0另一种方式使用命令。相比起jmp,int xx方式相比速度更快,因为sysenter指令大量的使用了MSR寄存器 存储跳转地址等。MSR寄存器相关读/写命令其中xxx是msr寄存器的编号比如174h等为方便记忆我们约定了一些编号的名字上面上个寄存器就是sysenter指令会涉及的msr寄存器。
城里城外看SSDT
马说@CSDN
07-05 6142
原文链接:http://www.titilima.cn/?action=show&id=201点这里下载本文的配套代码引子2006年,中国互联网上的斗争硝烟弥漫。这时的战场上,先前颇为流行的窗口挂钩、API挂钩、进程注入等技术已然成为昨日黄花,大有逐渐淡出之势;取而代之的,则是更狠毒、更为赤裸裸的词汇:驱动、隐藏进程、Rootkit……前不久,我不经意翻出自己2005年9月写下
驱动开发笔记3—SSDT表详解
qq_42814021的博客
10-09 3217
SSDT表 SSDT的全称是"System Services Descriptor Table",即系统服务描述表,在内核中的实际名称是KeServiceDescriptorTable,这个表由ntoskrnl.exe导出(在x64里不导出)。 SSDT用于处理应用层通过Kernel32.dll下发的各个API操作请求。ntdll.dll中的API是一个简单的包装函数,当Kernel32.dll中的API通过Ntdll.dll时,会先完成对参数的检查,再调用一个中断(int 2Eh 或者 SysEnter指
ssdt与shadowssdt区别
xuemao1230的专栏
02-28 723
(ring3)            (NtOpenProcess)      ssdt层                  实现OpenProcess-&gt;ntdll!ZwOpenProcess-&gt;ntos!ZwOpenProcess-&gt;ntos!NtOpenProcess(内核中有2套函数 ,zw,nt,nt才是真正的执行函数,zw只是一个过渡函数,可用ida察看ntoskrn...
逆向基础-Windows驱动开发【SSDT HOOK】
AppWhite_Star的博客
08-01 1723
驱动开发,SSDT HOOK
delphi ssdt
最新发布
12-14
Delphi SSDT(System Service Dispatch Table)是指Delphi编程语言中的一种技术,用于修改或者通过HOOK方式来拦截Windows操作系统的系统服务。系统服务是操作系统提供给应用程序调用的功能模块,常见的系统服务包括...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值