x64技术之SSDT_Hook

最新推荐文章于 2020-08-27 01:39:02 发布
最新推荐文章于 2020-08-27 01:39:02 发布
阅读量5.6k 收藏 21
点赞数 4
分类专栏: 系统安全 文章标签: 内核 x64SSDTHook 驱动 Rootkit
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wrsharper/article/details/80272337
版权
本文介绍了在x64环境下如何进行SSDT_Hook,以禁止结束计算器进程为例,详细阐述了实现思路,包括获取系统服务表基址、保存原始函数地址、替换为Hook函数、HookKeBugCheckEx以及测试效果。文章强调了x64系统与Win32 Hook的不同,并指出在x64中函数地址经过加密。
摘要由CSDN通过智能技术生成

x64技术之SSDT_Hook

测试环境:

虚拟机: Windows 7 64bit

过PG工具

驱动加载工具

PCHunter64

系统自带的计算器和任务管理器等

实现思路:

实际思路与win32的思路一样.都是替换SSDT表里边的函数地址.不过微软被搞怕了,所以在x64上做了一些手脚.

具体手脚就是x64通过SSDT得到的函数地址,不是真实的函数绝对地址了,而是加密了的.

HOOK

1.得到系统服务表基址

2.保存需要Hook的函数地址(实际为偏移)

3.使内存可写,把表中要Hook的地址替换成KeBugCheckEx的地址,还原内存属性

4.HookKeBugCheckEx函数,在其开始处jmp到我们自己的函数地址.

5.自己实现Hook的函数,在其中做处理.

注:

x64要Hook的函数地址是 ServiceTableBase[Index]>>4 + ServiceTableBase

此处Hook了NtOpenProcess,导出序号是35号.处理了结束计算器进程的时候,禁止结束.

还原Hook的时候不需要还原KeBugCheckEx,因为这个函数就是崩溃蓝屏需要执行的函数.

这篇文章不会讲述过PG.

关键代码:

获取服务表基址

//获取服务表基址
ULONGLONG GetKeServiceDescriptorTable64() 
{
	PUCHAR StartSearchAddress = (PUCHAR)__readmsr(0xC0000082);
	PUCHAR EndSearchAddress = StartSearchAddress + 0x500;
	PUCHAR i = NULL;
	UCHAR byte1 = 0, byte2 = 0
最低0.47元/天 解锁文章
HadesW_W
关注
专栏目录
64位驱动SSDTHOOK教程
10-02
完整的64位驱动SSDTHOOK文档资料,学习win7 64位驱动很好的
Win7 64位的SSDTHOOK(2)---64位SSDT hook的实现
whatday的专栏
09-14 3981
Hook之前要干掉PG:http://www.m5home.com/bbs/thread-5893-1-1.html 上篇文章知道了寻找SSDT的方法,这篇记录一下如何实现SSDTHook。 下面以Hook NtOpenProcess为例,之前我查SSDT发现NtOpenProcess函数的标号为35,用XT等工具也能查看。 废话不多说,上代码。 [
ring0 SSDTHook 实现x64/x86
aijuzhou1959的博客
08-25 194
#include "HookSSDT.h" #include <ntimage.h> #define SEC_IMAGE 0x001000000 ULONG32 __NtOpenProcessIndex = 0; PVOID __ServiceTableBase = NULL; ULONG32 __OldNtOpenProcessOffse...
64位下的SSDT HOOK 保护进程
qq_41490873的博客
08-27 1024
64位下的SSDT HOOK与32位不同.由于SSDT服务里面存放的只是函数的偏移,并且大小只有2的28次方. 无法直接跳转到指定的函数地址处,所以这里采用了先跳转到BugCheckEx函数,然后在BugCheckEx函数开头跳转到自己的处理函数中. BugCheckEx充当了一个跳板的作用. 代码在WIN7 64 7600版本中测试通过,卸载函数没有还原BugCheckEx函数的12字节 有需要自己去还原一下吧. 注意在测试的时候点击进程,不要直接点应用程序图标. #include<ntddk
SSDTHook_ssdt_SSDTHook_
10-01
标签“ssdt SSDTHook”进一步巩固了这个主题,明内容将集中讨论SSDT和与其相关的Hooking技术。 在压缩包中的“SSDHook”文件,可能是实现SSDT Hooking的源代码、可执行文件、文档或教程。它可能包含了如何查找...
src_过pg_过windowspg_64位SSDThook实现方法_过PG_
09-30
标题中的“src_过pg_过windowspg_64位SSDThook实现方法_过PG_”似乎是指一个关于在64位Windows系统下绕过Process Guard (PG)并通过修改System Service Dispatch Table (SSDT)实现hook技术教程。描述中的“WINDOWS ...
SSDT Hook_内核_x86_ssdthook_驱动_
10-03
本项目"SSDT Hook_内核_x86_ssdthook_驱动_"显然是一个针对32位(x86架构)系统的SSDT Hook实现示例,通过提供的文件名如"SSDT Hook.sln",我们可以推断这可能是一个Visual Studio解决方案文件,包含了项目的源代码...
win7 64位 ssdthook
11-21
通过hook内核ssdt中的ntopenprocess函数,标号为35,可通过遍历ssdt查找得知,可实现进程保护。 适用系统:win7 64,需关闭驱动签名保护 编程工具:vs2012+wdk8.0
Win64 驱动内核编程-22.SHADOW SSDT HOOK(宋孖健)
天使也掉毛
03-26 4798
SHADOWSSDTHOOK HOOK和UNHOOKSHADOWSSDT跟之前的HOOK/UNHOOKSSDT类似,区别是查找SSSDT的特征码,以及根据索引计算函数地址的公式,还有一个就是吧跳转函数写在什么位置,SSDT的时候是写在蓝屏函数里了。 一、获得wKeServiceDescriptorTableShadow的地址 这个跟获得KeServi...
Win64 驱动内核编程-19.HOOK-SSDT
天使也掉毛
03-19 4869
HOOK SSDT     在 WIN64 上 HOOK SSDT 和 UNHOOK SSDT 在原理上跟 WIN32 没什么不同,甚至说 HOOK 和 UNHOOK 在本质上也没有不同,都是在指定的地址上填写一串数字而已 (填写代理函数的地址时叫做 HOOK,填写原始函数的地址时叫做 UNHOOK)。不过实现起来还是很大不同的。 一 、 HOOK SSDT     要挂钩 SSDT,必然
如何找SSDT中精准的
weixin_34235135的博客
08-24 217
2019独角兽企业重金招聘Python工程师标准>>> ...
对于X64 驱动 SSDT hook不能超过4GB的原因?
u012129783的博客
05-09 310
fffff80000ba1000 fffff80000bcb000 kdbazis (deferred) fffff80003e17000 fffff800043f4000 nt (pdb symbols) c:\symbols\ntkrnlmp.pdb\F8E2A8B5C9B74BF4A6E4A48F180099942\ntkrnlmp.pdb f...
普及X64 ssdtshadow inline HOOK
fyfy
11-21 348
https://bbs.pediy.com/thread-204323.htm
win10 x64中inlineHook SSDT里面的函数
吾无法无天的博客
02-13 4584
inlineHook的原理: 为了方便好理解,一些变量名和函数名在这里使用中文命名,有些编译器不支持中文命名,在这里要注意(我的是VS2019) hook.h: #pragma once #include<ntifs.h> #include<ntddk.h> #pragma intrinsic(__readmsr) //SSDT typedef str...
X64 shadow SSDT HOOK引擎那些事儿~~
落笔飞花笑百生的博客
09-23 2470
废话不多少 我做HOOK引擎遇到的事儿~~~ 先看一下代码 ,里面有详细地址 .text:FFFFF97FFF072744 NtUserGetForegroundWindow proc near     ; DATA XREF: .text:FFFFF97FFF0D20E0o .text:FFFFF97FFF072744                                 
x64内核hook
liuhaidon1992的博客
01-07 1517
x64中系统提供了api帮助我们进行hook,主要是如下三个函数 PsSetCreateProcessNotifyRoutineEx,这个函数的作用就是当进程创建的时候会通知你., PsSetCreateThreadNotifyRoutine,这个函数的作用是 当线程创建的时候会通知你。 PsSetLoadImageNotifyRoutine,这个函数的作用是 当模块加载的时候会通知你。 ...
关于Win7 x64 Shadow SSDT 的探索和 Inline HOOK
fyfy
05-15 3931
http://bbs.pediy.com/thread-210481.htm 来看雪一年了,在这里面学到了很多知识,非常感谢各位前辈对知识的分享和不懈的研究,也非常感谢各位大神对我们这些小白的照顾,特别要感谢MaMy、hksoobe、luolinlove等大神的指导。我也一直非常希望能为看雪贡献一点什么,但是小白的理解估计大神也看不上,这次也是注册看雪一周年,冲着这个也来发一点自己的理
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值