x64技术之SSDT_Hook

最新推荐文章于 2023-07-19 11:13:27 发布
最新推荐文章于 2023-07-19 11:13:27 发布
阅读量5.6k 收藏 21
点赞数 4
分类专栏: 系统安全 文章标签: 内核 x64SSDTHook 驱动 Rootkit
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wrsharper/article/details/80272337
版权
本文介绍了在x64环境下如何进行SSDT_Hook,以禁止结束计算器进程为例,详细阐述了实现思路,包括获取系统服务表基址、保存原始函数地址、替换为Hook函数、HookKeBugCheckEx以及测试效果。文章强调了x64系统与Win32 Hook的不同,并指出在x64中函数地址经过加密。
摘要由CSDN通过智能技术生成

x64技术之SSDT_Hook

测试环境:

虚拟机: Windows 7 64bit

过PG工具

驱动加载工具

PCHunter64

系统自带的计算器和任务管理器等

实现思路:

实际思路与win32的思路一样.都是替换SSDT表里边的函数地址.不过微软被搞怕了,所以在x64上做了一些手脚.

具体手脚就是x64通过SSDT得到的函数地址,不是真实的函数绝对地址了,而是加密了的.

HOOK

1.得到系统服务表基址

2.保存需要Hook的函数地址(实际为偏移)

3.使内存可写,把表中要Hook的地址替换成KeBugCheckEx的地址,还原内存属性

4.HookKeBugCheckEx函数,在其开始处jmp到我们自己的函数地址.

5.自己实现Hook的函数,在其中做处理.

注:

x64要Hook的函数地址是 ServiceTableBase[Index]>>4 + ServiceTableBase

此处Hook了NtOpenProcess,导出序号是35号.处理了结束计算器进程的时候,禁止结束.

还原Hook的时候不需要还原KeBugCheckEx,因为这个函数就是崩溃蓝屏需要执行的函数.

这篇文章不会讲述过PG.

关键代码:

获取服务表基址

//获取服务表基址
ULONGLONG GetKeServiceDescriptorTable64() 
{
	PUCHAR StartSearchAddress = (PUCHAR)__readmsr(0xC0000082);
	PUCHAR EndSearchAddress = StartSearchAddress + 0x500;
	PUCHAR i = NULL;
	UCHAR byte1 = 0, byte2 = 0
最低0.47元/天 解锁文章
HadesW_W
关注
专栏目录
win7 64位 ssdthook
11-21
通过hook内核ssdt中的ntopenprocess函数,标号为35,可通过遍历ssdt查找得知,可实现进程保护。 适用系统:win7 64,需关闭驱动签名保护 编程工具:vs2012+wdk8.0
X64驱动读取SSDT基址
热门推荐
CSDN
10-09 1万+
前面的驱动编程相关内容都是在32位环境下进行的,驱动程序与应用程序不同,32位的驱动只能运行在32位系统中,64位驱动只能在64位系统中运行,在WIN32环境下,我们可以各种Hook挂钩各种系统函数,而恶意程序也可以通过加载驱动进行内核层面的破坏(Rootkit),大家都可以乱搞,把好端端的Windows系统搞得乱七八糟,严重影响了系统安全性与可靠性。1.这里我们可以通过MSR(特别模块寄存器),读取C0000082寄存器,从而得到KiSystemCall64的地址,在内核调试模式下直接输入。
HOOK SSDT,获取 SSDT 函数地址
墨鱼菜鸡
06-24 142
请转到以下链接使用 ???? ???? :SSDT Hook内核函数ZwTerminateProcess实现监控结束进程 ???? :SSDT Hook内核函数ZwCreateUserProcess实现监控进程创建 ???? :SSDT...
WIN7 X64 SSDT函数获得
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-14 2120
曾经在网上看到一片文章, 在早期64位系统,内核函数开头地址的低四位一般是0,形如:xxxxxxxx`xxxxxxx0,这一特征在SSDT中有很强大的引用,SSDT在64位系统于32位系统有较大的差别。以下是在64位系统下的KeServiceDescriptorTable: kd> dp KeServiceDescriptorTable fffff800`0117bb80  fffff8
SSDTHook_ssdt_SSDTHook_
10-01
标签“ssdt SSDTHook”进一步巩固了这个主题,明内容将集中讨论SSDT和与其相关的Hooking技术。 在压缩包中的“SSDHook”文件,可能是实现SSDT Hooking的源代码、可执行文件、文档或教程。它可能包含了如何查找...
SSDT Hook_内核_x86_ssdthook_驱动_
10-03
本项目"SSDT Hook_内核_x86_ssdthook_驱动_"显然是一个针对32位(x86架构)系统的SSDT Hook实现示例,通过提供的文件名如"SSDT Hook.sln",我们可以推断这可能是一个Visual Studio解决方案文件,包含了项目的源代码...
src_过pg_过windowspg_64位SSDThook实现方法_过PG_
09-30
标题中的“src_过pg_过windowspg_64位SSDThook实现方法_过PG_”似乎是指一个关于在64位Windows系统下绕过Process Guard (PG)并通过修改System Service Dispatch Table (SSDT)实现hook技术教程。描述中的“WINDOWS ...
64位驱动SSDTHOOK教程
10-02
64位驱动SSDTHOOK教程是针对Windows 64位操作系统下进行系统级服务(System Service Dispatch Table, SSDT)挂钩技术的学习资料。在Windows系统中,SSDT是操作系统核心与用户模式应用程序之间的一个关键接口,它...
win10 x64中inlineHook SSDT里面的函数
吾无法无天的博客
02-13 4573
inlineHook的原理: 为了方便好理解,一些变量名和函数名在这里使用中文命名,有些编译器不支持中文命名,在这里要注意(我的是VS2019) hook.h: #pragma once #include<ntifs.h> #include<ntddk.h> #pragma intrinsic(__readmsr) //SSDT typedef str...
关于Win7 x64 Shadow SSDT 的探索和 Inline HOOK
fyfy
05-15 3928
http://bbs.pediy.com/thread-210481.htm 来看雪一年了,在这里面学到了很多知识,非常感谢各位前辈对知识的分享和不懈的研究,也非常感谢各位大神对我们这些小白的照顾,特别要感谢MaMy、hksoobe、luolinlove等大神的指导。我也一直非常希望能为看雪贡献一点什么,但是小白的理解估计大神也看不上,这次也是注册看雪一周年,冲着这个也来发一点自己的理
X64 shadow SSDT HOOK引擎那些事儿~~
落笔飞花笑百生的博客
09-23 2470
废话不多少 我做HOOK引擎遇到的事儿~~~ 先看一下代码 ,里面有详细地址 .text:FFFFF97FFF072744 NtUserGetForegroundWindow proc near     ; DATA XREF: .text:FFFFF97FFF0D20E0o .text:FFFFF97FFF072744                                 
64位下的SSDT HOOK 保护进程
qq_41490873的博客
08-27 1024
64位下的SSDT HOOK与32位不同.由于SSDT服务里面存放的只是函数的偏移,并且大小只有2的28次方. 无法直接跳转到指定的函数地址处,所以这里采用了先跳转到BugCheckEx函数,然后在BugCheckEx函数开头跳转到自己的处理函数中. BugCheckEx充当了一个跳板的作用. 代码在WIN7 64 7600版本中测试通过,卸载函数没有还原BugCheckEx函数的12字节 有需要自己去还原一下吧. 注意在测试的时候点击进程,不要直接点应用程序图标. #include<ntddk
64位 驱动 保护进程
编程论坛
06-11 7642
环境:win7 64  win8 win 10SSDT HOOK NtOpenProcess //这一路径上的代码点 in line hookObRegisterCallbacks     //注册回调函数 过滤NTSTATUS  ObRegisterCallbacks (      _In_ POB_CALLBACK_REGISTRATION CallbackRegistration,     ...
API钩取技术研究(四)——SSDT Hook
最新发布
m0_55220082的博客
07-19 395
简单起见,我将要保护的进程PID硬性编码为cmd.exe的PID。自定义钩取函数MyZwOpenProcess()的实现思路类似于IAT Hook中自定义钩取函数的实现思路,通过修改进程参数Desired Access的值为0,然后再将修改的参数传入正常调用的原ZwOpenProcess() API即可实现进程保护。
VT笔记(2)突破patchguard保护完成X64Hook
kernweak的博客
06-24 8963
win10,2018新年版后好像不支持了? MSR hook MSR (Model Specific Registers)是CPU 的一组64 位寄存器,可以分别通过RDMSR 和WRMSR 两条指令进行读和写的操作,前提要在ECX 中写入MSR 的地址(MSR地址就像一个宏STAR,LSTAR,CSTAR,SFMASK)。对于RDMSR 指令,将会返回相应的MSR 中64bit 信息到(ED...
Win7 64位的SSDTHOOK(2)---64位SSDT hook的实现
whatday的专栏
09-14 3981
Hook之前要干掉PG:http://www.m5home.com/bbs/thread-5893-1-1.html 上篇文章知道了寻找SSDT的方法,这篇记录一下如何实现SSDTHook。 下面以Hook NtOpenProcess为例,之前我查SSDT发现NtOpenProcess函数的标号为35,用XT等工具也能查看。 废话不多说,上代码。 [
对于X64 驱动 SSDT hook不能超过4GB的原因?
u012129783的博客
05-09 310
fffff80000ba1000 fffff80000bcb000 kdbazis (deferred) fffff80003e17000 fffff800043f4000 nt (pdb symbols) c:\symbols\ntkrnlmp.pdb\F8E2A8B5C9B74BF4A6E4A48F180099942\ntkrnlmp.pdb f...
x64内核hook
liuhaidon1992的博客
01-07 1517
x64中系统提供了api帮助我们进行hook,主要是如下三个函数 PsSetCreateProcessNotifyRoutineEx,这个函数的作用就是当进程创建的时候会通知你., PsSetCreateThreadNotifyRoutine,这个函数的作用是 当线程创建的时候会通知你。 PsSetLoadImageNotifyRoutine,这个函数的作用是 当模块加载的时候会通知你。 ...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值