ShadowSSDT的hook

最新推荐文章于 2019-06-01 20:35:13 发布
最新推荐文章于 2019-06-01 20:35:13 发布
阅读量662 收藏
点赞数
文章标签: windows安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42486644/article/details/80766003
版权
本文介绍了在Windows X86系统中,如何针对Shadow SSDT进行Hook,以hook GetDC函数为例。首先,文章解释了KeServiceDescriptorTable和KeServiceDescriptorTableShadow的区别,并指出在hook时需要利用KeStackAttachProcess挂靠到GUI进程。接着,详细阐述了hook的步骤,包括关闭内存写保护、查找Shadow SSDT地址、判断线程类型、替换函数、解除挂靠和恢复原状。最后,给出了Win7 X86环境下驱动程序的源代码实现。
摘要由CSDN通过智能技术生成

Windows X86下系统中一共有2个系统服务描述符表,保存在如下的结构体中:

typedef struct _KSYSTEM_SERVICE_TABLE
{
	PULONG ServiceTableBase;           //服务表的基址
	PULONG ServiceCounterTableBase;    
	ULONG  NumberService;              //服务表函数的数量
	ULONG  ParamTableBase;             //服务表函数参数表
}KSYSTEM_SERVICE_TABLE, *PKSYSTEM_SERVICE_TABLE;

而每个系统描述符表中有四个服务表:

typedef struct _KSERVICE_DESCRIPTOR_TABLE
{
	KSYSTEM_SERVICE_TABLE ntoskrnl;  //ntoskrnl.exe的服务表,在KeServiceDesriptorTable和KeServiceDescriptorTableShadow均有值
	KSYSTEM_SERVICE_TABLE win32k;    //win32k.sys的服务表,仅在KeServiceDescriptorTableShadow中有值
	KSYSTEM_SERVICE_TABLE notUsed1;
	KSYSTEM_SERVICE_TABLE notUsed2;
}KSERVICE_DESCRIPTOR_TABLE, *PKSERVICE_DESCRIPTOR_TABLE;

内核中有两个系统服务描述符表,一个是KeServiceDescriptorTable(由ntoskrnl.exe导出),一个是KeServieDescriptorTableShadow(没有导出)。两者的区别是,KeServiceDescriptorTable仅有ntoskrnel一项有值,而KeServieDescriptorTableShadow包含了ntoskrnel以及win32k。一般的Native API的服务地址由KeServiceDescriptorTable分派,gdi.dll/user.dll的内核API调用服务地址由KeServieDescriptorTableShadow分派。

而win32k.sys只有在GUI进程中才加载,非GUI进程中无法查看,所以我们在hook的时候可以使用KeStackAttachProcess来挂靠到一个GUI进程。

下面我来说一下具体的步骤吧,这次hook的函数是GetDC,在Win32k模块的服

最低0.47元/天 解锁文章
Fear1ess_
关注
Win64 驱动内核编程-22.SHADOW SSDT HOOK(宋孖健)
天使也掉毛
03-26 4799
SHADOWSSDTHOOK HOOK和UNHOOKSHADOWSSDT跟之前的HOOK/UNHOOKSSDT类似,区别是查找SSSDT的特征码,以及根据索引计算函数地址的公式,还有一个就是吧跳转函数写在什么位置,SSDT的时候是写在蓝屏函数里了。 一、获得wKeServiceDescriptorTableShadow的地址 这个跟获得KeServi...
Hook Shadow SSDT
06-03 1348
作 者: sislcb时 间: 2008-06-02,23:21链 接: http://bbs.pediy.com/showthread.php?t=65931网上很多文章都有关于SSDT的完整的实现,但是没有关于Shadow SSDT的完整实现,目前最好的文章是《shadow ssdt学习笔记 by zhuwg》,我这里的程序也很多参考了他的文章,在这里谢谢了。我这里给出一个hook shado
ShadowSSDT hook
kernweak的博客
06-01 410
ShadowSSDT保存在win32k.sys中,未导出,不是常驻内存。 采用硬编码,查到某些加载了shadowSSDT进程,所以找一个CSRSS进程,然后KeStackAttachProcess到一个有GUI线程的进程中,csrss.exe就刚好有。这个进程特征是句柄表中Portobject(type21)句柄是\\Windows\\ApiPort的PID就是就是。 然后考虑下标:下标只能硬...
ShadowSSDT Hook
倒计时
12-26 3418
ShadowSSDT表的获取 这里的ShadowSSDT表的获取是通过函数KeAddSystemServiceTable来获取的。 使用这个函数的原因: 1、这个函数是已经导出的,可以在代码中直接使用。 2、这个函数里面使用了ShadowSSDT,包含了ShadowSSDT的地址。 可以使用WinDbg查看该函数代码,如下: kd> u KeAddSystemServiceTabl
ssdt.Recover.21yu3:绕过卡巴斯基主动防御,加载驱动,unhook所有ssdt hookshadow ssdt hook
05-06
ssdt.Recover.21yu3 ...然后DLL加载驱动,unhook所有ssdt hookshadow ssdt hook 威力非常大的一份代码,当年没有流出是非常明智的。 如今win10已经面世,希望能给后来人借鉴的价值。 我现在的blog:
易语言Shadow ssdt HOOK恢复
05-19
在IT安全领域,"Shadow SSDT HOOK"是一个重要的概念,尤其在逆向工程和系统保护技术中扮演着关键角色。 SSDT(System Service Dispatch Table)是Windows操作系统中的一个核心组件,它存储了系统服务的入口点,这些...
ShadowSSdt HOOK
zhuhuibeishadiao
04-10 2897
SHADOW表地址的获取。 CSRSS进程。system进程并没有载入win32k.sys,所以,要访问shadowssdt表,必须KeStackAttackProces到一个有GUI线程的进程中,而csrss.exe就是这样的一个合适的进程(管理Windows图形相关任务) Index?硬编码 挂钩NtGdiBitBlt、NtGdiStretchBlt用于截屏保护  挂钩NtUserSe
Shadow SSDT
crkres9527
09-28 457
 A、Shadow SSDT表基址定位    B、Shadow SSDT表结构    C、Shadow SSDT HOOK KeServiceDescriptorTable //系统描述符表 extern KeServiceDescriptorTableShadow //影子系统描述符表  win32k.sys bp win32k!NtUserPostMessage bp win32k...
【转】SSDT&Shadow Hook的实现,完整代码。可编译
weixin_33805557的博客
11-29 154
原文连接:http://bbs.pediy.com/showthread.php?t=138747&highlight=inline+hook 转自看雪,写复制到自己博客上慢慢啃,呵呵   #include <ntddk.h> //辛苦了几周的成果 typedef struct ServiceDescriptorEntry { PVOID *Serv...
win 64 Shadow ssdt hook
weixin_30709929的博客
10-02 428
以下参考黑客防线2012合订本 339页 //下午调代码 搞了这个一天,总是蓝屏,不断检查代码,后来发现了很怪的现象. 自己写的代码不能读取shadow ssdt的偏移内容,但是通过和调试作者的代码输出发现地址确实是一模一样的,但是自己的读不出来,而作者的能 读出来,当直接使用windbg调试时也读不出来. 后来将作者的代码完全复制过来,发现能读取了, ,但是又找不到原因, 只能等以后再...
Shadow SSDT详解、WinDbg查看Shadow SSDT
08-11 406
一、获取ShadowSSDT 好吧,我们已经在R3获取SSDT的原始地址及SDT、SST、KiServiceTbale的关系里面提到:所有的SST都保存在系统服务描述表(SDT)中。系统中一共有两个SDT,一个是ServiceDescriptorTable,另一个是ServiceDescriptorTableShadow。ServiceDescriptor中只有指向KiServic...
Hook Shadow SSDT
Tommy(凌飞)的专栏
11-20 1638
网上很多文章都有关于SSDT的完整的实现,但是没有关于Shadow SSDT的完整实现,目前最好的文章是《shadow ssdt学习笔记 by zhuwg》,我这里的程序也很多参考了他的文章,在这里谢谢了。我这里给出一个hook shadow ssdt的完整实现的驱动和3层的代码。 这里主要是hookNtUserFindWindowEx,NtUserBuildHwndList,NtUse
shadow ssdt学习笔记(一)(二)
05-06 1136
作 者: zhuwg时 间: 2007-12-22,22:01链 接: http://bbs.pediy.com/showthread.php?t=569551。取得shadow ssdt真实地址系统只提供了KeServiceDescriptorTable导出KeServiceDescriptorTableShadow是个未导出结构定义Copy code    typedef struct _SY
【原创】shadow ssdt学习笔记(二)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
08-14 1359
三。如何hook 似乎这个问题并不大,shadow ssdt和ssdt本质上都是1个地址表,最为简单的方法是把你的函数替换地址表的对应项,具体hook代码甚至可以完全照抄ssdt的,这里只说1下几个偶遇到的小问题 1。win32k.sys不是常在内存的,如果不是GUI线程,shadow ssdt地址无效 解决办法: 1。在driverdispatch中hokk driverdispatc
shadow ssdt学习笔记
03-22 1067
1。取得shadow ssdt真实地址系统只提供了KeServiceDescriptorTable导出KeServiceDescriptorTableShadow是个未导出结构定义typedef struct _SYSTEM_SERVICE_TABLE{      PNTPROC  ServiceTable;  // array of entry points      PDWORD  Count
Windbg查看Shadow SSDT
debugge的专栏
06-02 1693
关于SSDT即系统描述符表,《SSDT Hook的妙用-对抗ring0 inline hook》这篇文章描述的已经很清楚了。引用文章中的一段话: “内核中有两个系统服务描述符表,一个是KeServiceDescriptorTable(由ntoskrnl.exe导出),一个是KeServieDescriptorTableShadow(没有导出)。两者的区别是,KeServiceDescript
Windows下Ring0级进程保护组件:SSDT HOOK技术实现
"基于SSDT HOOK 技术的Ring0级进程保护组件设计与实现" 在Windows操作系统中,实现进程保护通常需要深入到系统的核心层,即Ring0级别。这篇文档详细介绍了如何利用SSDT(System Service Descriptor Table,系统服务...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值