[转](51)SSDT HOOK 实现进程保护

最新推荐文章于 2022-09-14 13:16:44 发布
最新推荐文章于 2022-09-14 13:16:44 发布
阅读量182 收藏
点赞数
原文链接:https://blog.csdn.net/Kwansy/article/details/109490657
版权

 

一、回顾

 

在前面的课程里,我们逆向分析了 KiSystemService / KiFastCallEntry 的部分代码,我们发现这两个函数找系统服务表 SystemServiceTable 的方法是通过 _KTHREAD + 0xE0 来找。

 

在这里插入图片描述

 

今天我们来学习另一种方法,即通过 SSDT 表找系统服务表。

 

二、SSDT

 

SSDT是内核模块的导出变量,可通过 dd KeServiceDescriptorTable 查看:

 

kd> dd KeServiceDescriptorTable 
80553fa0  80502b8c 00000000 0000011c 80503000
80553fb0  00000000 00000000 00000000 00000000
80553fc0  00000000 00000000 00000000 00000000
80553fd0  00000000 00000000 00000000 00000000

 

SSDT表由四部分组成,可以理解为4张系统服务表,其中只有第一张是有效的,它表示内核函数的系统服务表。

 

还有一张叫做 KeServiceDescriptorTableShadow 的未导出表,它和 KeServiceDescriptorTable 的区别是它第二项里是有值的,是win32k.sys的系统服务表:

 

kd> dd KeServiceDescriptorTableShadow
80553f60  80502b8c 00000000 0000011c 80503000
80553f70  bf999b80 00000000 0000029b bf99a890
80553f80  00000000 00000000 00000000 00000000
80553f90  00000000 00000000 00000000 00000000

 

KeServiceDescriptorTableShadow 是未导出的,我们通过windbg能看到是因为我们导入了PDB文件。在驱动程序里想要找到它,可以通过特征码的方式,先找到某个使用了 KeServiceDescriptorTableShadow 的函数,然后再通过偏移找到 KeServiceDescriptorTableShadow,具体做法本文就不演示了。

 

在这里插入图片描述

 

而要想找到 KeServiceDescriptorTable 就简单得多,因为它是导出的,所以我们只需要在驱动里声明一下就能用了:

 

// 系统服务表
typedef struct _KSYSTEM_SERVICE_TABLE
{
	PULONG ServiceTableBase;			// 函数地址表
	PULONG ServiceCounterTableBase;		// SSDT 函数被调用的次数
	ULONG NumberOfService;				// 函数个数
	PULONG ParamTableBase;				// 函数参数表
} KSYSTEM_SERVICE_TABLE, *PKSYSTEM_SERVICE_TABLE;

// SSDT表
typedef struct _KSERVICE_TABLE_DESCRIPTOR
{
	KSYSTEM_SERVICE_TABLE ntoskrnl;		// 内核函数
	KSYSTEM_SERVICE_TABLE win32k;		// win32k.sys 函数
	KSYSTEM_SERVICE_TABLE unUsed1;
	KSYSTEM_SERVICE_TABLE unUsed2;
} KSERVICE_TABLE_DESCRIPTOR, *PKSERVICE_TABLE_DESCRIPTOR;


extern PKSERVICE_TABLE_DESCRIPTOR KeServiceDescriptorTable; // 内核导出的全局变量

 

三、win32k.sys 系统服务表

 

0环代码执行时,KPCR+0x124是当前线程 _ETHREAD,所以不要觉得驱动不是进程,0环代码就不属于任何线程,只要0环代码执行,它总归是属于某个进程的。如果这个进程没有给 win32k.sys 系统服务表挂物理页,那么你访问它就会蓝屏。准确的说,只有进程使用了GDI函数,win32k.sys 系统服务表才会挂物理页。

 

要想访问 win32k.sys 系统服务表,做法是创建一个GUI进程,通过 IoControl 函数和驱动通信,驱动执行代码时,它所属的进程就是GUI进程,win32k.sys 系统服务表也就能访问了。

 

四、SSDT HOOK 实现保护记事本进程

 

题目要求:
将系统服务表中某个函数改成自己的函数,使任务管理器右键无法关闭自己,只有点击自己的关闭按钮才可以正常关闭。

 

补充内容:
方法是SSDT HOOK NtTerminateProcess 函数,SSDT HOOK 的模板我在之前的博客里写过,那个模板是 hook 了 NtOpenProcess 函数:

 

补充内容:SSDT HOOK 模板

 

相关API:

 

NTSTATUS
  ZwTerminateProcess(
    IN HANDLE  ProcessHandle,
    IN NTSTATUS  ExitStatus
    );

NTSTATUS 
  ObReferenceObjectByHandle(
    IN HANDLE  Handle,
    IN ACCESS_MASK  DesiredAccess,
    IN POBJECT_TYPE  ObjectType  OPTIONAL,
    IN KPROCESSOR_MODE  AccessMode,
    OUT PVOID  *Object,
    OUT POBJECT_HANDLE_INFORMATION  HandleInformation  OPTIONAL
    );

 

运行结果:

 

在这里插入图片描述
用关闭按钮可以正常关闭 notepad 1,用任务管理器无法关闭 notepad 2

 

在这里插入图片描述

 

代码:

 

#include <ntddk.h>
#include <ntstatus.h>

/************************************************************************/
/* 宏定义                                                               */
/************************************************************************/

// NtTerminateProcess 系统调用号
#define NTTERMINATEPROCESS_EAX 0x101


/************************************************************************/
/* 类型声明                                                             */
/************************************************************************/

// 系统服务表
typedef struct _KSYSTEM_SERVICE_TABLE
{
	PULONG ServiceTableBase;			// 函数地址表
	PULONG ServiceCounterTableBase;		// SSDT 函数被调用的次数
	ULONG NumberOfService;				// 函数个数
	PULONG ParamTableBase;				// 函数参数表
} KSYSTEM_SERVICE_TABLE, *PKSYSTEM_SERVICE_TABLE;

// SSDT表
typedef struct _KSERVICE_TABLE_DESCRIPTOR
{
	KSYSTEM_SERVICE_TABLE ntoskrnl;		// 内核函数
	KSYSTEM_SERVICE_TABLE win32k;		// win32k.sys 函数
	KSYSTEM_SERVICE_TABLE unUsed1;
	KSYSTEM_SERVICE_TABLE unUsed2;
} KSERVICE_TABLE_DESCRIPTOR, *PKSERVICE_TABLE_DESCRIPTOR;


typedef NTSTATUS (*NTTERMINATEPROCESS) (HANDLE ProcessHandle, NTSTATUS ExitStatus);


/************************************************************************/
/* 函数声明                                                             */
/************************************************************************/

VOID DriverUnload(PDRIVER_OBJECT pDriver);
NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING reg_path);
VOID PageProtectOff();
VOID PageProtectOn();
VOID HookNtTerminateProcess();
VOID UnHookNtTerminateProcess();
NTSTATUS HbgNtTerminateProcess(HANDLE ProcessHandle, NTSTATUS ExitStatus);


/************************************************************************/
/* 全局变量                                                             */
/************************************************************************/

extern PKSERVICE_TABLE_DESCRIPTOR KeServiceDescriptorTable; // 内核导出的全局变量
ULONG uOldNtTerminateProcess; // 旧的函数地址


/************************************************************************/
/* 函数定义                                                             */
/************************************************************************/

// 驱动入口
NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING reg_path)
{
	// HOOK
	HookNtTerminateProcess();

	pDriver->DriverUnload = DriverUnload;

	return STATUS_SUCCESS;
}

// 卸载驱动
VOID DriverUnload(PDRIVER_OBJECT pDriver)
{
	UnHookNtTerminateProcess();
	DbgPrint("Driver unloaded.\n");
}

// 关闭页保护
VOID PageProtectOff()
{
	__asm
	{
		cli; // 关闭中断
		mov eax, cr0;
		and eax, not 0x10000; // WP位置0
		mov cr0, eax;
	}
}

// 开启页保护
VOID PageProtectOn()
{
	__asm
	{
		mov eax, cr0;
		or eax, 0x10000; // WP位置1
		mov cr0, eax;
		sti; // 恢复中断
	}
}

// HOOK NtTerminateProcess
VOID HookNtTerminateProcess()
{
	PageProtectOff();
	uOldNtTerminateProcess = KeServiceDescriptorTable->ntoskrnl.ServiceTableBase[NTTERMINATEPROCESS_EAX];
	KeServiceDescriptorTable->ntoskrnl.ServiceTableBase[NTTERMINATEPROCESS_EAX] = (ULONG)HbgNtTerminateProcess;
	PageProtectOn();
}

// UnHOOK NtTerminateProcess
VOID UnHookNtTerminateProcess()
{
	PageProtectOff();
	KeServiceDescriptorTable->ntoskrnl.ServiceTableBase[NTTERMINATEPROCESS_EAX] = uOldNtTerminateProcess;
	PageProtectOn();
}

// 被修改的 NtTerminateProcess 函数,简单打印参数
NTSTATUS HbgNtTerminateProcess(HANDLE ProcessHandle, NTSTATUS ExitStatus)
{
	PEPROCESS pEprocess;
	NTSTATUS status;
	PCHAR ImageFileName;

	// 此API用法请看文档
	status = ObReferenceObjectByHandle(ProcessHandle,FILE_ANY_ACCESS,*PsProcessType,KernelMode,&pEprocess,NULL);
	if (!NT_SUCCESS(status))
	{
		return status;
	}	
	// 根据镜像文件名判断是不是要保护的进程,字符串最大长度是16,超过就会截断,所以不用担心越界
	ImageFileName = (PCHAR)pEprocess + 0x174;	
	if (strcmp(ImageFileName, "notepad.exe") == 0)
	{
		if (ProcessHandle == (HANDLE)0xFFFFFFFF)
		{
			// 通过关闭按钮关闭
			return ((NTTERMINATEPROCESS)uOldNtTerminateProcess)(ProcessHandle, ExitStatus);			
		}
		else
		{
			// 通过任务管理器关闭
			DbgPrint("Terminate denied. %s: NtTerminateProcess(%x, %x)\n", ImageFileName, ProcessHandle, ExitStatus);
			return STATUS_ACCESS_DENIED;
		}
	}	
	return ((NTTERMINATEPROCESS)uOldNtTerminateProcess)(ProcessHandle, ExitStatus);
}


---------------------
作者:hambaga
来源:CSDN
原文:https://blog.csdn.net/Kwansy/article/details/109490657
版权声明:本文为作者原创文章,转载请附上博文链接!
内容解析By:CSDN,CNBLOG博客文章一键转载插件

昵称正在加载
关注
SSDT Hook实现内核级的进程保护
曾是土木人
06-29 8302
SSDT Hook效果图 加载驱动并成功Hook  NtTerminateProcess函数: 当对 指定的进程进行保护后,尝试使用“任务管理器”结束进程的时候,会弹出“拒绝访问”的窗口,说明,我们的目的已经达到: SSDT简介 SSDT 的全称是 System Services Descriptor Table,系统服务描述符表。 这个表
SSDT Hook
zhuhuibeishadiao
04-10 3266
看看大概的调用情况 左边是2000有的,右边是xp后走的 Ntdll.dll 中的 API 是一个简单的包装函数。 当 Kernel32.dll 中的 API 通过 Ntdll.dll 时,会完成参数的检查再调用一个中断(int 2Eh 或者 SysEnter 指令),从而实现从 Ring3 进入 Ring0 层 并且将所要调用的服务号(也就是在 S
hook工具_SSDT-HOOK保护进程
weixin_39928106的博客
12-01 297
实验环境:win7虚拟机示例是对内核层进行SSDT-HOOK实现保护进程的功能一会儿会用到的API是OpenProcess,在3环也就是用户层调用此API它保存一些信息传入到0环内核层后实际调用的是ZwOpenProcess函数,所以先使用OD随意打开一个.exe可执行程序,然后在kernel32模块里面查找OpenProcess函数,经过2个jmp后进入下一层,找到一个call进入其中便是ZwO...
SSDTHook实现进程保护
06-29
SSDTHook实现进程保护:http://blog.csdn.net/php_fly/article/details/9202379
修改SSDT做简单的进程保护
04-16 1834
*By 炉子[0GiNr]http://atleast.blog.cfan.com.cnhttp://0ginr.com*/M$真是照顾菜鸟 居然会给个SSDT,而且居然还把KSDT(KeServiceDescrīptorTable)导出了(当然,不排除这是M$的无奈之举,因为M$是不推荐programmer Hook他的API的,但是如果不对API做hook,那么许多事情都很难完成,这使得M$不
SSDT HOOK实现进程保护
风随影动的专栏
07-14 1512
<br />自灰狐<br />http://nokyo.blogbus.com/logs/35320995.html<br /><br />SSDHOOK已经是很老的技术了,但对新手来说还是有一些嚼头的。根据常规的做法,我们应该挂钩 ZwTerminateProcess函数,不过这个函数仅有两个参数,其中一个是进程句柄,它指定了需要被结束的进程。<br />由于我们不能直接从进程句柄获取有关进程的一些信息,这就使得一些“懒惰”的家伙尝试找一些捷径。由 于要想获得句柄通常都需要首先调用ZwOpenP
进程隐藏与进程保护SSDT Hook 实现)(二 视频加密软件推荐
xuplus的专栏
06-30 2323
文章目录:                   1. 引子 – Demo 实现效果: 2. 进程隐藏与进程保护概念: 3. SSDT Hook 框架搭建: 4. Ring0 实现进程隐藏: 5. Ring0 实现进程保护: 6. 隐藏进程列表和保护进程列表的维护: 7. 小结:                  1. 引子 – Demo
windows环境下的自保护探究
hongduilanjun的博客
09-14 1303
我们要想在32位下实现进程保护很简单,通过SSDT hook重写函数即可实现,但是在64位系统下因为引入了PG和DSE的原因,导致SSDT hook实现起来处处受限。但微软同样为了系统安全,增加了一个对象回调函数的接口,利用该回调可以实现对对象请求的过滤保护自身的进程,目前大部分64位下的安全软件保护机制都是基于该方法,我们深入进行探究。
Win64 驱动内核编程-23.Ring0 InLineHook 和UnHook
天使也掉毛
03-26 5136
Ring0InLineHook和UnHook 如果是要在R0里hook,作者的建议是InLineHOOK,毕竟SSDTHOOK和SHADOWSSDTHOOK比较麻烦,不好修改。目前R3的InLineHOOK我比较喜欢的是MINIHOOKENGINE,但是今天要解决的是R0的InLineHOOK问题。 下面说下InLineHOOK的思路: 一、实现...
完整的驱动防火墙源代码
03-18
当有新的进程尝试启动时,驱动防火墙会检查其属性,如签名、权限等,如果发现异常,便会阻止该进程的启动,从而保护系统的完整性。 "内核访问拦截"涉及到对内核资源的保护。内核是操作系统的心脏,包含了核心服务和...
(API HOOK进程保护工具
07-14
运行本软件之后,选择启用保护 (本软件适用于32位系统) 功能: (进程保护) 1、在任务栏里面终止进程是无效的。 (注意:窗口的正常关闭仍然是可以的, 也可以适用命令参数 taskkill 来终止 程序的进程。) 2、防止一些外挂程序对进程的注入控制 3、防止OD,CE以及其他一些调试器对进程 的读取(不是全部噢,暂时我没发现而已) (系统保护) 1、禁止使用CMD 2、禁止使用regedit 3、禁止使用.reg文件 程序运行后点击隐藏,本软件将自动隐藏起来。 隐藏后按F12即可呼出窗口。 PS:本软件采用了API拦截的技术,所以杀毒软件 可能会误报病毒,请放心使用。 软件还在改进中。。。 作者:GhostHand 本人QQ:544980123 希望加我QQ一起交流技术
一个Hook API实现进程保护的实例
06-12
一个Hook API实现进程保护的实例,非常值得参考。
驱动程序保护进程(修改SSDT方式)源码
07-10
typedef NTSTATUS (*ZWOPENPROCESS)( OUT PHANDLE ProcessHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes, IN PCLIENT_ID ClientId ); NTSYSAPI NTSTATUS NTAPI ZwOpenProcess ( OUT PHANDLE ProcessHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes, IN PCLIENT_ID ClientId ); ZWOPENPROCESS OldZwOpenProcess; NTSTATUS NewZwOpenProcess ( OUT PHANDLE ProcessHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes, IN PCLIENT_ID ClientId ) { NTSTATUS ntStatus; ntStatus = ((ZWOPENPROCESS)(OldZwOpenProcess)) ( ProcessHandle, DesiredAccess, ObjectAttributes, ClientId ); if(ClientId->UniqueProcess == (HANDLE)ulPID) *ProcessHandle = NULL; return ntStatus; }
APIHOOK可以通过dll载入进程HOOK指定的函数地址
12-17
APIHOOK可以通过dll载入进程HOOK指定的函数,例如LoadLibraryA GetProcAddress 等等
64位下的SSDT HOOK 保护进程
qq_41490873的博客
08-27 1024
64位下的SSDT HOOK与32位不同.由于SSDT服务表里面存放的只是函数的偏移,并且大小只有2的28次方. 无法直接跳到指定的函数地址处,所以这里采用了先跳到BugCheckEx函数,然后在BugCheckEx函数开头跳到自己的处理函数中. BugCheckEx充当了一个跳板的作用. 代码在WIN7 64 7600版本中测试通过,卸载函数没有还原BugCheckEx函数的12字节 有需要自己去还原一下吧. 注意在测试的时候点击进程,不要直接点应用程序图标. #include<ntddk
[反调试&进程保护] 使用 hook 的方式保护自身进程
墨鱼菜鸡
04-16 341
以下 HOOK 需要 全局: 函数名作用Hook 后NtOpenThread创建内核线程防止调试器在内部创建线程NtOpenProcess打开进程防止OD等调试工具在调试列表中看到kiAttachProcess附加调试进...
SSDT Hook底层原理介绍以及如何实现进程保护
linuxguitu的博客
12-03 964
目录 SSDT Hook效果图 SSDT简介 SSDT结构 SSDT HOOK原理 Hook前准备 如何获得SSDT中函数的地址呢 SSDT Hook流程 SSDT Hook实现进程保护 SSDT Hook效果图 加载驱动并成功Hook NtTerminateProcess函数: 当对 指定的进程进行保护后,尝试使用“任务管理器”结束进程的时候,会弹出“拒绝访问”的窗口,说明,我们的目的已经达到: SSDT简介 SSDT 的全称是 System Services Descr.
HOOK ZwTerminateProcess实现进程保护
chenhao1988的专栏
04-25 4371
近期学习了一下HOOK SSDT,通过HOOK ZwTerminateProcess来实现的编了一个小程序实现简单的禁止结束进程,主要代码如下:NTSTATUS HookZwTerminateProcess(IN HANDLE ProcessHandle OPTIONAL,IN NTSTATUS ExitStatus){ ULONG pid = 0; NTSTATUS status = 0; 
进程保护
Henzox的专栏
06-18 8328
看到这个题目,
Windows下Ring0级进程保护组件:SSDT HOOK技术实现
"基于SSDT HOOK 技术的Ring0级进程保护组件设计与实现" 在Windows操作系统中,实现进程保护通常需要深入到系统的核心层,即Ring0级别。这篇文档详细介绍了如何利用SSDT(System Service Descriptor Table,系统服务...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值