【SSDT】SSDT hook技术

最新推荐文章于 2023-06-06 08:32:24 发布
最新推荐文章于 2023-06-06 08:32:24 发布
阅读量2.1k 收藏 8
点赞数 1
分类专栏: 红队安全 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/x1183834753/article/details/126748351
版权

SSDT:

SSDT全称: System Services Descriptor Table 即系统服务描述表

这个表将Ring3的Win32 API 和 Ring0 的内核 API联系起来。通过修改此表的函数地址可以对常用Windows函数及API进行Hook,从而实现对一些关心的系统动作进行过滤、监控等目的。

在NT4.0 以上的Windpws 操作系统中,默认存在两个系统服务描述表,两个调度表对应两类不同的系统服务。
分别为KeServiceDescriptorTableKeServiceDescriptorTableShadow 其中KeServiceDescriptorTable 主要处理来自Ring3层Kernel32.dll中的系统调用。
KeServiceDescriptorTableShadow则主要处理来自User32.dll和GDI32.dll中的系统调用。

系统服务分发函数KiSystemService

场景:

例如进程保护(驱动)
端口隐藏
文件隐藏等

系统从Ring3 到 Ring0 的执行过程:
在这里插入图片描述
Hook前准备:

要Hook SSDT表,首选需要这个表是可写的,但是在XP之后的系统都是只读的,有三种方式修改内存保护机制。

  1. 更改注册表:
恢复页面保护:HKLM\SYSTEM\CurrentControlset\Control\Session Manger\Memory Management\EnforceWriteProtection=0
去掉页面保护:HKLM\SYSTEM\CurrentControlset\Control\Session Manger\Memory Management\DisablePagingExecutive=1
  1. 改变CR0寄存器的第1位
    Windows对内存的分配,采用分页管理。其中有个CR0寄存器:

在这里插入图片描述
其中第1位叫做保护属性位,控制着页的读或写属性。如果为1,则可以读/写/执行;如果为0,则只能读/执行。

SSDT,IDT(中断描述符表)的页属性在默认情况下只读,可执行,但不能写。

//设置为不可写
void DisableWrite()
{
    __try
    {
        _asm
        {
            mov eax, cr0 
            or  eax, 10000h 
            mov cr0, eax 
            sti 
        }
    }
    __except(1)
    {
        DbgPrint("DisableWrite执行失败!");
    }
}

// 设置为可写
void EnableWrite()
{
    __try
    {
        _asm
        {
            cli
            mov eax,cr0
            and eax,not 10000h //and eax,0FFFEFFFFh
            mov cr0,eax
        }
    }
    __except(1)
    {
        DbgPrint("EnableWrite执行失败!");
    }
}
  1. 通过Memory Descriptor List
    如何获取SSDT中的函数地址

①获取指定服务的索引号:SYSCALL_INDEX
②获取指定服务的当前地址:SYSCALL_FUNCTION

SSDT hook 流程:

在这里插入图片描述
使用SSDT hook 实现进程保护:

#include <ntifs.h>
 
//内核之SSDT-HOOK
//系统服务表
typedef struct _KSYSTEM_SERVICE_TABLE
{
    PULONG ServiceTableBase;       //函数地址表的首地址
    PULONG ServiceCounterTableBase;//函数表中每个函数被调用的次数
    ULONG  NumberOfService;        //服务函数的个数
    ULONG ParamTableBase;          //参数个数表首地址
}KSYSTEM_SERVICE_TABLE;
 
//服务描述符
typedef struct _KSERVICE_TABLE_DESCRIPTOR
{
    KSYSTEM_SERVICE_TABLE ntoskrnl;//ntoskrnl.exe的服务函数,SSDT
    KSYSTEM_SERVICE_TABLE win32k;  //win32k.sys的服务函数,ShadowSSDT
    KSYSTEM_SERVICE_TABLE notUsed1;//暂时没用1
    KSYSTEM_SERVICE_TABLE notUsed2;//暂时没用2
}KSERVICE_TABLE_DESCRIPTOR;
 
//定义HOOK的函数的类型
typedef NTSTATUS (NTAPI*FuZwOpenProcess)(
    _Out_ PHANDLE ProcessHandle,
    _In_ ACCESS_MASK DesiredAccess,
    _In_ POBJECT_ATTRIBUTES ObjectAttributes,
    _In_opt_ PCLIENT_ID ClientId
);
 
//自写的函数声明
NTSTATUS NTAPI MyZwOpenProcess(
    _Out_ PHANDLE ProcessHandle,
    _In_ ACCESS_MASK DesiredAccess,
    _In_ POBJECT_ATTRIBUTES ObjectAttributes,
    _In_opt_ PCLIENT_ID ClientId
);
 
//记录系统的该函数
FuZwOpenProcess g_OldZwOpenProcess;
//服务描述符表指针
KSERVICE_TABLE_DESCRIPTOR* g_pServiceTable = NULL;
//要保护进程的ID
ULONG g_Pid = 9527;
 
//安装钩子
void InstallHook();
//卸载钩子
void UninstallHook();
//关闭页写入保护
void ShutPageProtect();
//开启页写入保护
void OpenPageProtect();
 
//卸载驱动
void OutLoad(DRIVER_OBJECT* obj);
 
 
 
***驱动入口主函数***/
NTSTATUS DriverEntry(DRIVER_OBJECT* driver, UNICODE_STRING* path)
{
    path;
    KdPrint(("驱动启动成功!\n"));
    //DbgBreakPoint();
 
    //安装钩子
    InstallHook();
 
    driver->DriverUnload = OutLoad;
    return STATUS_SUCCESS;
}
 
//卸载驱动
void OutLoad(DRIVER_OBJECT* obj)
{
    obj;
    //卸载钩子
    UninstallHook();
}
 
//安装钩子
void InstallHook()
{
    //1.获取KTHREAD
    PETHREAD pNowThread = PsGetCurrentThread();
    //2.获取ServiceTable表
    g_pServiceTable = (KSERVICE_TABLE_DESCRIPTOR*)
        (*(ULONG*)((ULONG)pNowThread + 0xbc));
    //3.保存旧的函数
    g_OldZwOpenProcess = (FuZwOpenProcess)
        g_pServiceTable->ntoskrnl.ServiceTableBase[0xbe];
    //4.关闭页只读保护
    ShutPageProtect();
    //5.写入自己的函数到SSDT表内
    g_pServiceTable->ntoskrnl.ServiceTableBase[0xbe]
        = (ULONG)MyZwOpenProcess;
    //6.开启页只读保护
    OpenPageProtect();
}
 
//卸载钩子
void UninstallHook()
{
    //1.关闭页只读保护
    ShutPageProtect();
    //2.写入原来的函数到SSDT表内
    g_pServiceTable->ntoskrnl.ServiceTableBase[0xbe]
        = (ULONG)g_OldZwOpenProcess;
    //3.开启页只读保护
    OpenPageProtect();
}
 
//关闭页只读保护
void _declspec(naked) ShutPageProtect()
{
    __asm
    {
        push eax;
        mov eax, cr0;
        and eax, ~0x10000;
        mov cr0, eax;
        pop eax;
        ret;
    }
}
 
//开启页只读保护
void _declspec(naked) OpenPageProtect()
{
    __asm
    {
        push eax;
        mov eax, cr0;
        or eax, 0x10000;
        mov cr0, eax;
        pop eax;
        ret;
    }
}
 
//自写的函数
NTSTATUS NTAPI MyZwOpenProcess(
    _Out_ PHANDLE ProcessHandle,
    _In_ ACCESS_MASK DesiredAccess,
    _In_ POBJECT_ATTRIBUTES ObjectAttributes,
    _In_opt_ PCLIENT_ID ClientId
)
{
    //当此进程为要保护的进程时
    if (ClientId->UniqueProcess == (HANDLE)g_Pid &&
        DesiredAccess == PROCESS_TERMINATE)
    {
        //设为拒绝访问
        DesiredAccess = 0;
    }
    //调用原函数
    return g_OldZwOpenProcess(
        ProcessHandle,
        DesiredAccess,
        ObjectAttributes,
        ClientId);
}

参考文章

https://blog.csdn.net/flydragonhero/article/details/61193692
https://blog.csdn.net/php_fly/article/details/9180591
https://blog.csdn.net/php_fly/article/details/9202379

dr0op
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SSDTHook实现解析(x86)
bluemoon_0的博客
01-13 158
SSDTHook实现解析(x86)
SSDT——框架编写与hook实例
qq_42882717的博客
04-30 427
SSDT——hook与框架SSDT框架综述SSDThook综述三级目录 SSDT框架综述 SSDT Hook 框架可不是大伙眼里的什么 .Net 框架啊,MVC 框架啊之类的,没那么复杂,算到底也就是一个 .cpp 和一个 .h 的文件而已,然后再在其中对外公开几个 API 即 OK 了 ~ SSDThook综述 ssdt竟然是一个数组,那么我们就需要先得到这个数组的首地址,于是这个结构就出来了。 typedef struct ServiceDescriptorEntry { unsigned in
驱动开发:内核扫描SSDT挂钩状态
CSDN
06-06 8113
在笔者上一篇文章《驱动开发:内核实现SSDT挂钩与摘钩》中介绍了如何对SSDT函数进行Hook挂钩与摘钩的,本章将继续实现一个新功能,如何检测SSDT函数是否挂钩,要实现检测挂钩状态有两种方式,第一种方式则是类似于《驱动开发:摘除InlineHook内核钩子》文章中所演示的通过读取函数的前16个字节与原始字节做对比来判断挂钩状态,另一种方式则是通过对比函数的当前地址与起源地址进行判断,为了提高检测准确性本章将采用两种方式混合检测。
SSDT HOOK
weixin_45678798的博客
07-19 184
SSDThook
win 64 SSDT HOOK
weixin_30815469的博客
10-01 257
以下内容参考黑客防线2012合订本第294页 其实没什么好说的,直接上代码: ssdt的结构,和win32差不多,但是要注意这里的指针类型不能用ULONG替代,如果要非要替代应该用ULONGLONG,原因就不说了. //SSDT的结构 typedef struct _SystemServiceDescriptorTable { PVOID ServiceT...
SSDTHook_ssdt_SSDTHook_
10-01
标签“ssdt SSDTHook”进一步巩固了这个主题,表明内容将集中讨论SSDT和与其相关的Hooking技术。 在压缩包中的“SSDHook”文件,可能是实现SSDT Hooking的源代码、可执行文件、文档或教程。它可能包含了如何查找...
SSDT.rar_hook 驱动_ssdt_ssdt hook
09-22
SSDT Hook是系统级别的Hook技术,它的主要目的是在不修改原始系统服务代码的情况下,改变系统服务的行为。这通常通过以下步骤实现: 1. 获取SSDT表:驱动程序首先需要获取当前系统中的SSDT表,这可能涉及到内核编程...
如何区分ssdt hook和inline hook钩子
01-25
2. "HOOK钩子技术5 SSDT Inline Hook_Catch me if you can-CSDN博客":这篇博客文章可能详细讲解了SSDT Inline Hook的实现细节和技术要点。 3. "inline HOOKSSDT HOOK各自有啥特性的哦-_百度知道":这是一个问答...
SSDT.rar_SSDT-HOOK_ssdt
09-19
挂钩SSDT是一种高级的逆向工程和调试技术,通常用于开发系统级别的监控工具、安全软件或恶意软件。通过挂钩SSDT,可以替代或修改系统服务的原始入口点,使得在调用真正服务之前,能够执行自定义代码。这种方法允许...
ssdthook-hook
11-27
标题“ssdthook-hook”和描述“ssdthook”都指向了一个特定的技术主题,很可能是关于固态硬盘(SSD)驱动程序或者存储设备的钩子(hook技术。在IT领域,钩子是一种机制,允许程序员插入代码到操作系统或其他软件...
src_过pg_过windowspg_64位SSDThook实现方法_过PG_
09-30
WINDOWS 过PG后可修改SSDT,实现SSDT hook,采用二次挑战方式实现
SSDT Hook 实现操作
04-13
实现了对注册表读写,与应用层进行规则交互,实现对应用程序的保护,隐藏,禁止打开基本操作
SSDT查看和恢复工具
07-01
SSDT查看和恢复,SSDT查看和恢复,SSDT查看和恢复,SSDT查看和恢复
ssdt-demo:SSDT-SQL Server数据工具演示
03-07
ssdt-demo
SSDTTime:SSDTDSDT热补丁尝试
04-29
SSDT时间 一个简单的工具,旨在简化创建SSDT的过程。 支持macOS,Linux和Windows 支持的SSDT: 固态硬盘操作系统感知的假EC SSDT-插头在CPU0 / PR00上设置plugin-type = 1 SSDT-HPET 修补IRQ冲突 此外,在Linux和Windows上,该工具可用于转储系统DSDT。 指示: Linux: 从终端窗口或通过正常运行文件,使用任何最新版本的Python启动SSDTTime.py。 苹果系统: 从终端窗口或双击文件启动SSDTTime.command。 视窗: 从终端窗口或双击文件启动SSDTTime.bat。 学分: 编写使用的脚本和库 脚本的一些小改进 修复者/英特尔-IASL
转帖 SSDT HOOK拦截远线程的创建(上)
zhuerhua的专栏
06-01 928
<br />  在ring3的API HOOK中,怎样迫使目标进程调用我们的傀儡DLL是我们非常重视的一个问题。在多数情况下,我们都喜欢使用CreateRemoteThread在目标进程中创建一个远程线程来迫使它加载我们的DLL。<br /> 因为CreateRemoteThread的使用方法并不复杂,而且与其他方式相比,它可以称得上是一种相当“优雅”的做法。各种因素的汇集就导致了这种方法的泛滥,致使很多具备主动防御或行为监控的安全软件都加强了对这个函数的照顾。<br />      最近在自己的毕业设计中
win10驱动开发20——SSDT
qq_41610493的博客
12-18 795
什么是SSDT        SSDT全称为System Services Descriptor Table,中文为系统服务描述符表,SSDT表就是把ring3的Win32 API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。        SSDT通过修改此表的函数地址可以对常用windo
SSDT Hook底层原理介绍以及如何实现进程保护
linuxguitu的博客
12-03 927
目录 SSDT Hook效果图 SSDT简介 SSDT结构 SSDT HOOK原理 Hook前准备 如何获得SSDT中函数的地址呢 SSDT Hook流程 SSDT Hook实现进程保护 SSDT Hook效果图 加载驱动并成功Hook NtTerminateProcess函数: 当对 指定的进程进行保护后,尝试使用“任务管理器”结束进程的时候,会弹出“拒绝访问”的窗口,说明,我们的目的已经达到: SSDT简介 SSDT 的全称是 System Services Descr.
Vt hook ssdt
最新发布
12-31
Vt hook ssdt是一种技术,用于在操作系统内核中拦截和修改系统服务调用。通过Vt(Virtualization Technology)技术,可以在操作系统运行时对系统服务进行动态修改,从而实现对系统行为的控制和修改。 以下是一个Vt ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值