SSDT HOOK技术(2)——获取SSDT表地址以及从中获取指定SSDT函数的地址

最新推荐文章于 2021-08-05 07:59:14 发布
最新推荐文章于 2021-08-05 07:59:14 发布
阅读量1.2k 收藏 4
点赞数
分类专栏: Windows内核层技术 windows内核编程 文章标签: c++ 内核 windows hooks
作者:苞米地里捉小鸡 版权声明:本文为博主原创文章,转载请附上博文链接!
本文链接:https://blog.csdn.net/weixin_42709632/article/details/108104392
版权

32 位系统和 64 位上,获取 SSDT 表的方式并不相同,获取 SSDT 表中的函数地址也不相同。

由于32位系统中SSDT是可以通过Ntoskrnl.exe导出的,所以可以直接获取SSDT地址。然而在64位系统上,SSDT不能导出,需要通过特征码寻找到KeServiceDescriptorTable的地址

1.32位获取SSDT的地址

在 32 位系统中,SSDT 表是内核 Ntoskrnl.exe 导出的一张表,导出符号为 KeServiceDescriptorTable,该表含有一个指针指向SSDT中包含 Ntoskrnl.exe 实现的核心服务。所以,我们要想在 32 位系统上获取 SSDT 表地址,直接获取 Ntoskrnl.exe 导出符号 KeServiceDescriptorTable 即可。

 

从Ntoskrnl.exe获取导出符号KeServiceDescriptorTable的代码如下:

extern SSDTEntry __declspec(dllimport) KeServiceDescriptorTable;

 dllimport是在外部程序需要使用DLL内相关内容时使用的关键字。当一个外部程序要使用DLL 内部代码(类,函数,全局变量)时,只需要在程序内部使用(dllimport)关键字声明需要使用的代码就可以了,即(dllimport)关键字是在外部程序需要使用DLL内部相关内容的时候才使用。(dllimport)作用是把DLL中的相关代码插入到应用程序中。

 

2.64位获取SSDT的地址

在 64 位系统中,SSDT 表并没有在内核 Ntoskrnl.exe 中导出,所以不能像 32 位那样直接获取导出符号 KeServiceDescriptorTable。所以,必须要使用其它方法获取。

根据文章技术分享逆向KiSystemCall64这个函数,发现这个函数调用了内核的KeServiceDescriptorTable和KeServiceDescriptorTableShadow,并且通过特征码4c8d15计算出KeServiceDescriptorTable的地址,计算公式为:

KeServiceDescriptorTable地址 = 特征码4c8d15地址 + 7 + offset

对于 KiSystemCall64 内核函数地址的获取,虽然 Ntoskrnl.exe 也没有导出内核函数 KiSystemCall64,但是,我们可以根据下面代码获取:

__readmsr(0xC0000082)

直接通过读取指定的 msr 得出。msr 的中文全称是就是“特别模块寄存器”(model specific register),它控制 CPU 的工作环境和标示 CPU 的工作状态等信息(例如倍频、最大 TDP、 危险警报温度),它能够读取,也能够写入,但是无论读取还是写入,都只能在 ring 0 下进行。我们通过读取 0xC0000082 寄存器,能够得到 KiSystemCall64 的地址,然后从 KiSystemCall64 的地址开始,往下搜索特征码。

 

核心代码如下:

	//获取KiSystemCall64函数地址
	pKiSystemCall64 = (PVOID)__readmsr(0xC0000082);
	//搜索特征码4C8D15
	for (ULONG i = 0; i < 1024; i++)
	{
		// 获取内存数据
		ulCode1 = *((PUCHAR)((PUCHAR)pKiSystemCall64 + i));
		ulCode2 = *((PUCHAR)((PUCHAR)pKiSystemCall64 + i + 1));
		ulCode3 = *((PUCHAR)((PUCHAR)pKiSystemCall64 + i + 2));
		//判断
		if (0x4C == ulCode1 &&
			0x8D == ulCode2 &&
			0x15 == ulCode3)
		{
			// 获取偏移
			lOffset = *((PLONG)((PUCHAR)pKiSystemCall64 + i + 3));
			// 根据偏移计算地址
			pServiceDescriptorTable = (PVOID)(((PUCHAR)pKiSystemCall64 + i) + 7 + lOffset);
			break;
		}

3.获取SSDT函数的地址

在 32 位系统中,SSDT 包含了所有内核导出函数的地址。每个地址长度为 4 字节。所以要获得 SSDT 中某个函数的地址

 pFunctionAddress = (PVOID)KeServiceDescriptorTable.ServiceTableBase[ulSSDTFunctionIndex];

而在64位系统中,ServiceTableBase 中存放的并不是 SSDT 函数的完整地址。而是存放的是 ServiceTableBase[SSDT函数索引号]>>4 的偏移地址。那么,64 位下计算 SSDT 函数地址的完整公式为:

ULONG ulOffset = ServiceTableBase[SSDT函数索引号] >> 4;
PVOID pSSDTFuncAddr = (PUCHAR)ServiceTableBase + ulOffset;

参考——

技术分享

技术分享

苞米地里捉小鸡
关注
专栏目录
SSDT获取原始服务地址的方法与原理(灯灯灯灯,我肥来了..)
GaA.Ra的自留地 in Csdn
11-18 7381
好吧,我胡汉三肥来了..(确实肥了- -),几个月没发什么文章.其实.我也只是一个新丁~欢迎大家交流,高手勿喷,谢谢合作^_^     对于SSDT,不知道的同学请自己百度,判断出SSDT被HOOK之后,如何恢复成原始服务地址?主要方法有两个,简单来说,一个Ring0,一个Ring3的方法(可能分类不够准确),我今天除了介绍方法之外,主要还是讲讲里面的原理吧,原理神马的才是最吸引人的对吧.
ssdt函数索引号_技术分享 - 32位系统上获取SSDT地址以及从中获取指定SSDT函数地址...
weixin_39758953的博客
12-19 291
背景SSDT 全称为 System Services Descriptor Table,即系统服务描述符SSDT 的作用就是把 ring3 的 WIN32 API 函数和 ring0 的内核 API 函数联系起来。对于ring3下的一些API,最终会对应于 ntdll.dll 里一个 Ntxxx 函数,例如 CreateFile,最终调用到 ntdll.dll 里的 NtCreateFile...
获得SSDT函数
cqyczj的专栏
04-18 1758
代码:  ULONG GetSSDTName() {  KdBreakPoint();  if (KeGetCurrentIrql() > PASSIVE_LEVEL)  {   return STATUS_UNSUCCESSFUL;  }  //设置NTDLL路径  UNICODE_STRING uniFileName;  RtlInitUnicodeString(&uniFileName, 
SSDT和原函数地址
weixin_33826609的博客
01-21 187
今天的成果,读了我的SSDT地址. 读当前地址代码(NtOpenProcess): LONG *SSDT_Adr,t_addr,adr; t_addr=(LONG)KeServiceDescriptorTable->ServiceTableBase; SSDT_Adr=(PLONG)(t_addr+0x7a*4); adr=*SSDT_Adr; 读起源地址(NtOpenPro...
获取SSDT服务数据
落笔飞花笑百生的博客
04-27 619
 #include  typedef struct _KSYSTEM_SERVICE_TABLE  {    PULONG  ServiceTableBase;        // SSDT (System Service Dispatch Table)的基地址     PULONG  ServiceCounterTableBase; // 包含 SSDT 中每个服务被调用
SSDTHook_ssdt_SSDTHook_
10-01
它可能包含了如何查找SSDT,如何获取系统服务的原函数地址,如何创建钩子函数,以及如何在内核模式下安全地应用这些钩子的关键步骤。 在学习和实践SSDT Hooking时,有几个关键知识点需要注意: 1. 内核编程基础...
ssdt-hook.rar_4 3 2 1_hook_hook ssdt_ssdt_ssdt hook
09-19
1。获取ssdt函数个数 2。获取ssdt函数中的所有函数 3。hook ZwQuerySystemInformation 4。unhook ZwQuerySystemInformation 5。根据用户给定的函数地址ssdt中的索引,修改ssdt
SSDT.zip_hook_hook nt_hook ssdt_ssdt_ssdt hook
09-23
SSDT Hook的核心在于找到SSDT的地址,复制原始函数指针,然后将自定义的函数指针替换到SSDT中。 2. `nt!zwReadVirtualMemory`:这是Windows NT内核的一个系统服务函数,用于读进程内存中的数据。它允许一个进程...
src_过pg_过windowspg_64位SSDThook实现方法_过PG_
09-30
标题中的“src_过pg_过windowspg_64位SSDThook实现方法_过PG_”似乎是指一个关于在64位Windows系统下绕过Process Guard (PG)并通过修改System Service Dispatch Table (SSDT)实现hook技术教程。描述中的“WINDOWS ...
内核文件,获取原始SSDT
01-31
自己读入windows内核文件,获取原始,可以restore SSDT
易语言获取R0级SSDT列源码
10-10
易语言获取R0级SSDT列源码,SSDT系统服务描述
高版本WindowsSSDT函数获取例子完整工程
10-23
Windows10 高版本中 ,因为页隔离补丁(?),__readmsr(0xC0000082) 返回KiSystemCall64Shadow,这玩意无法直接搜索到 KeServiceDescriptorTable,以前获取SystemServiceDescriptorTable的方法失效。
ssdt_hook.rar_ssdt_ssdt hook_ssdt_hook_struct.h
09-21
SSDT Hook是一种技术,通过修改SSDT中的函数指针,使得在调用原系统服务时,会先执行我们自定义的代码,然后再执行原本的服务。这种技术在系统调试、恶意软件分析和安全防御中都有广泛应用。 标题“ssdt_hook.rar...
SSDT HOOK技术(1)——获得SSDT函数索引
苞米地里捉小鸡的博客
08-19 865
1.SSDT是什么? SSDT全程是System Services Discriptor Table 翻译过来就是系统服务描述符,那么系统服务描述符是什么呢?根据官方的解释ssdt就是把ring3的Win32 API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。 那么我们可以理解为SSDT就是一个很庞大的数组,它被用来保存windows系统服务地址。 比如我们在R3层调用了CreateFile这个A
x64下获取SSDT(暴力搜索方式)
IT男也疯狂
07-17 2495
typedef struct _SYSTEM_SERVICE_TABLE{     PVOID          ServiceTableBase;     PVOID          ServiceCounterTableBase;     ULONGLONG      NumberOfServices;     PVOID          ParamTableBase; } SY
如何获取ssdt函数索引
weixin_41766049的博客
08-05 255
cuckoo源码分析 MapNtdllIntoMemory()主要作用在内存中加载一份ntdll.dll,然后获取导出目录地址。 PVOID MapNtdllIntoMemory() { NTSTATUS status; HANDLE hSection; OBJECT_ATTRIBUTES objAttr; UNICODE_STRING pathFile; USHORT NumberOfSections; SECTION_IMAGE_INFORMATION sii = {0}; PVOID
枚举ssdt 地址
h1028962069的专栏
08-03 641
dd keserviceDescriptorTable 查看地址 typedef struct _SERVICE_DESCRIPTOR_TABLE { PVOID ServiceTableBase; //基址 PULONG ServiceCounterTableBase; ULONG NumberOfService; //个数函数 ULONG ParamTableBase;//sspt
XP获取SSDT
friendan的专栏
06-29 1579
SSDT已经是老生常谈了,为了方便操作,我封装了一个类CSSDT。 SSDT.h头文件代码如下: #ifndef _SSDT_H_ #define _SSDT_H_ // NT操作系统有多张服务SSDT就是其中一张 // NT操作系统使用如下结构描述一张服务 typedef struct _KSERVICE_TABLE_DESCRIPTOR { PULONG_PTR Base;
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值