SSDT HOOK

于 2022-07-19 19:13:02 发布
阅读量187 收藏
点赞数
分类专栏: Windows内核 文章标签: 系统安全 安全 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45678798/article/details/125878847
版权

ssdt.h

#pragma warning( disable : 4100)
#include<ntddk.h>

typedef struct _SDTItem				//服务表内容
{
	PULONG_PTR base;
	ULONG Count;
	ULONG Limit;
	ULONG Number;
}SDT_TEM,*PSDT_ITEM;
typedef struct _SSDT_TABLE		//服务表
{
	SDT_TEM Servicetable;
}SSDT_TABLE,*PSSDT_TABLE;
typedef struct _MyHook
{
	ULONG Number;					//HOOK服务的编号
	ULONG OldFunAddress;				//HOOK的服务地址
	ULONG NewFunAddress;				//新的地址
	ULONG Success;						//是否被使用
}MYHOOK,*PMYHOOK;

main.c

#include "ssdt.h"
#define MAXNUMBER 50
// 39 NtCreateFile
//用于寻找服务表
extern SSDT_TABLE KeServiceDescriptorTable;						
//HOOK的NtCreateFile函数
NTSTATUS __stdcall MyNtCreateFile(PHANDLE FileHandle, ACCESS_MASK DesiredAccess, POBJECT_ATTRIBUTES ObjectAttributes, 
	PIO_STATUS_BLOCK IoStatusBlock, PLARGE_INTEGER AllocationSize, ULONG FileAttributes, 
	ULONG ShareAccess, ULONG CreateDisposition, ULONG CreateOptions, PVOID EaBuffer, ULONG EaLength);
//开启HOOK
NTSTATUS SetHook(ULONG Number, ULONG NewAddress);
//关闭写保护
void OffWP();
//开启写保护
void OnWP();

MYHOOK MyHook[MAXNUMBER] = { 0 };

ULONG findfunaddr(ULONG NewFunAddr)
{
	for (int i = 0; i < MAXNUMBER;i++)
	{
		if (MyHook[i].Success == 1)
		{
			if(MyHook[i].NewFunAddress==NewFunAddr)
			{
				return MyHook[i].OldFunAddress;
			}
		}
	}
	return 0;
}
_declspec(naked) void OffWP()
{
	_asm
	{
		cli;
		mov eax, cr0;
		and eax, 0xFFFEFFFF;
		mov cr0, eax;
		ret;
	}
}
_declspec(naked) void OnWP()
{
	_asm
	{
		mov eax, cr0;
		or eax, 0x10000;
		mov cr0, eax;
		sti;
		ret;
	}
}

NTSTATUS __stdcall MyNtCreateFile(PHANDLE FileHandle, ACCESS_MASK DesiredAccess, POBJECT_ATTRIBUTES ObjectAttributes,
	PIO_STATUS_BLOCK IoStatusBlock, PLARGE_INTEGER AllocationSize, ULONG FileAttributes,
	ULONG ShareAccess, ULONG CreateDisposition, ULONG CreateOptions, PVOID EaBuffer, ULONG EaLength)
{

	NTSTATUS Success=0;
	ULONG funAddress = findfunaddr((ULONG)MyNtCreateFile);			//找到原函数位置
	DbgPrint("NtCreateFile Hook Success!\n ");
	

		_asm {
			push FileHandle
			push DesiredAccess
			push ObjectAttributes
			push IoStatusBlock
			push AllocationSize
			push FileAttributes
			push ShareAccess
			push CreateDisposition
			push CreateOptions
			push EaBuffer
			push EaLength

			call funAddress;

			mov Success, eax;
		}

	
	
	return Success;

}

//传入编号和地址
NTSTATUS SetHook(ULONG Number, ULONG NewAddress)
{
	for (int i = 0;i < MAXNUMBER;i++)
	{
		if (MyHook[i].Success == 0)
		{
			
			MyHook[i].NewFunAddress = NewAddress;			//填入新地址
			MyHook[i].Number = Number;						//填入编号

			MyHook[i].OldFunAddress = *(((PULONG)*(KeServiceDescriptorTable.Servicetable.base)) + Number);			//填入旧地址
			
			MyHook[i].Success = 1;

			OffWP();			//关闭写保护,
			*(((PULONG) * (KeServiceDescriptorTable.Servicetable.base)) + Number) = MyHook[i].NewFunAddress;
			OnWP();				//开启写保护
			return STATUS_SUCCESS;
		}
	}
	return -1;
}
NTSTATUS OffHook(ULONG Number, ULONG NewAddress)
{
	for (int i = 0;i < MAXNUMBER;i++)
	{
		if (MyHook[i].Success == 1)
		{
			if (MyHook[i].NewFunAddress == NewAddress)
			{
				OffWP();
				*(((PULONG) * (KeServiceDescriptorTable.Servicetable.base)) + Number) = MyHook[i].OldFunAddress;
				OnWP();
				MyHook[i].Success = 0;
				return STATUS_SUCCESS;

			}
		}
	}
	return -1;
}
void DriverUnload(PDRIVER_OBJECT DriverObject)
{

	DbgPrint("卸载成功");
}

NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING Rtl)
{
	SetHook((ULONG)0x25, (ULONG)MyNtCreateFile);
	DriverObject->DriverUnload = DriverUnload;

	return STATUS_SUCCESS;
}
路灯下的花盆
关注
专栏目录
SSDT Hook实现内核级的进程保护
曾是土木人
06-29 8235
SSDT Hook效果图 加载驱动并成功Hook  NtTerminateProcess函数: 当对 指定的进程进行保护后,尝试使用“任务管理器”结束进程的时候,会弹出“拒绝访问”的窗口,说明,我们的目的已经达到: SSDT简介 SSDT 的全称是 System Services Descriptor Table,系统服务描述符表。 这个表
SSDT Hook
zhuhuibeishadiao
04-10 3254
看看大概的调用情况 左边是2000有的,右边是xp后走的 Ntdll.dll 中的 API 是一个简单的包装函数。 当 Kernel32.dll 中的 API 通过 Ntdll.dll 时,会完成参数的检查再调用一个中断(int 2Eh 或者 SysEnter 指令),从而实现从 Ring3 进入 Ring0 层 并且将所要调用的服务号(也就是在 S
SSDT-hook,IDT-hook原理
fun0526的专栏
08-04 2511
<br /><br />【详细过程】<br />这次主要说说核心层的hook。包括SSDT-hook,IDT-hook,sysenter-hook。欢迎讨论,指正!内核层需要驱动,有这方面的基础最好,如果不会,了解下其中的思路也可以的。<br /><br />II. SSDT-hook,IDT-hook,sysenter-hook<br />一.SSDT-hook<br />(一)一般思路:<br />1.先来了解一下,什么是SSDT<br />SSDT既System Service Dispath Tab
SSDT-HOOK
qq_31507523的博客
04-17 487
SSDT-HOOK
SSDTHook_ssdt_SSDTHook_
10-01
标题“SSDTHook_ssdt_SSDTHook_”暗示了这个压缩包可能包含了一个关于SSDT Hooking的工具或者教程。这个工具或教程可能是为了帮助用户理解和实践如何在Windows内核层面上进行系统服务的挂钩。 描述“ssdt hooking ...
src_过pg_过windowspg_64位SSDThook实现方法_过PG_
09-30
标题中的“src_过pg_过windowspg_64位SSDThook实现方法_过PG_”似乎是指一个关于在64位Windows系统下绕过Process Guard (PG)并通过修改System Service Dispatch Table (SSDT)实现hook的技术教程。描述中的“WINDOWS ...
SSDTFunction_64_Test_Windows编程_ssdthook_
10-02
标题“SSDTFunction_64_Test_Windows编程_ssdthook_”暗示了这是一个关于在Windows 7系统中实现SSDT(System Service Dispatch Table)钩子函数的项目。SSDT是Windows内核的一个核心组件,它包含了操作系统对外提供...
SSDTHook实现进程保护
06-29
SSDTHook是一种技术,主要用于实现进程保护,它涉及到Windows操作系统内部的系统服务描述表(System Service Dispatch Table,简称SSDT)的hook机制。在Windows系统中,SSDT是内核模式下的一个关键数据结构,它存储...
SSDT Hook_内核_x86_ssdthook_驱动_
10-03
本项目"SSDT Hook_内核_x86_ssdthook_驱动_"显然是一个针对32位(x86架构)系统的SSDT Hook实现示例,通过提供的文件名如"SSDT Hook.sln",我们可以推断这可能是一个Visual Studio解决方案文件,包含了项目的源代码...
ssdthook-hook
11-27
ssdthook
SSDT Hook 实现操作
04-13
实现了对注册表读写,与应用层进行规则交互,实现对应用程序的保护,隐藏,禁止打开基本操作
ring3恢复SSDTHOOK(易语言ssdthook恢复工具)V1.0.0绿色免费版
08-05
ring3恢复SSDT HOOK(易语言ssdt hook恢复工具)是一款易语言源码恢复辅助工具。他可以基于ring3恢复SSDTHOOK,一款很专业的工具。使用ZwSystemDebugControl,可以在ring3下读写内核空间虚拟内存,但是XP以上系统貌似就不支持写内核了,还有NtSystemDebugControl被SSDT HOOK之后也无法写进内核,有需要的朋友来下载ring3恢复S
SSDT_HideProc_Static_hide_rootkit_hook_breathingtgq_
10-04
ROOTKIT_SSDT HOOK_PROCRSS HIDE STATIC
SSDT_HOOK
qq_36918532的博客
03-03 232
分别从静态,动态两种方法来hook 静态是直接根据openProcess的调用号0xbe 动态是防止地址发生改变或者其他,来动态函数索引进而HOOK的 #include<ntifs.h> #include<ntimage.h> //提供 PE结构 PULONG g_PageMapMemory = NULL; typedef struct _SSDTItem { PULONG FunAddressTable; ULONG Pknum; ULONG uIndexCount;
ssdt 表结构及hook的一般理解
weixin_34121282的博客
12-06 101
1       Ssdt表的基本结构 KeServiceDescriptorTable 首地址:8055D700 0: kd&gt; dd KeServiceDescriptorTable 8055d700  80505460 00000000 0000011c 805058d4 8055d710  00000000 00000000 00000000 00000000 8055d720...
HOOK SSDT
qq_41071646的博客
01-15 873
这篇文章是根据作者Tesla.Angela 在 看雪论坛 发布的文章所写 这个 X86还是比较好实现的  但是  X64 就有些绕了 而且   比较麻烦吧     其实x64做的保护 听容易看出来的   他先把ssdt 搞成动态 然后 又把 ssdt 放入的地址搞成偏移地址  这个让我有点奇怪     我先发一下  作者 Tesla.Angela的原话   知道了这一套机制,HOOK SS...
[内核安全2]内核态Rootkit之SSDT Hook
輚至消亡
12-06 627
/*++ * @Description * 主逻辑控制函数 * @Param * @Return * @Attention --*/ void Running(); /*++ * @Description * 不接收换行的从标准输入内收到键入,是一个安全函数 * * @Param * lpszBuf: 接受键盘输入的缓冲区 * uiSizeOfBuf: 描述lpszBuf的大小 * * @Return * 返回状态码 * * @Attention --*/ NTSTATUS kgets(OUT.
Rookit技术之SSDT_Hook
Hades的博客
04-27 524
Rookit技术之SSDT_Hook Rookit技术之SSDT_Hook 0x0 SSDT简介 0x1 测试环境 0x2 达到目标 0x3 主要思路 0x4 关键代码 0x5 测试效果 0x0 SSDT简介 SSDT全称为System Services Descriptor Table,中文为系统服务描述符表,ssdt表就是把ring3的Win32 API和ring0的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值