ShadowSSDT hook

于 2019-06-01 20:35:13 发布
阅读量406 收藏 1
点赞数 1
分类专栏: windows 驱动开发 内核 windbg
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youyou519/article/details/90709206
版权
windows 同时被 3 个专栏收录
105 篇文章 15 订阅
订阅专栏
内核
85 篇文章 6 订阅
订阅专栏
驱动开发
83 篇文章 9 订阅
订阅专栏

ShadowSSDT保存在win32k.sys中,未导出,不是常驻内存。

采用硬编码,查到某些加载了shadowSSDT进程,所以找一个CSRSS进程,然后KeStackAttachProcess到一个有GUI线程的进程中,csrss.exe就刚好有。这个进程特征是句柄表中Portobject(type21)句柄是\\Windows\\ApiPort的PID就是就是。

然后考虑下标:下标只能硬编码,因为不是跟ssdt一样了。

首先获取SSDTSHADOW地址是通过函数KeAddSystemServiceTable来获取的。

使用这个函数的原因:

1、这个函数是已经导出的,可以在代码中直接使用。

2、这个函数里面使用了ShadowSSDT,包含了ShadowSSDT的地址。

可以使用WinDbg查看该函数代码,如下:

kd> u KeAddSystemServiceTable l 30
nt!KeAddSystemServiceTable:
83fa3008 8bff            mov     edi,edi
83fa300a 55              push    ebp
83fa300b 8bec            mov     ebp,esp
83fa300d 837d1801        cmp     dword ptr [ebp+18h],1
83fa3011 7760            ja      nt!KeAddSystemServiceTable+0x6b (83fa3073)
83fa3013 8b4518          mov     eax,dword ptr [ebp+18h]
83fa3016 c1e004          shl     eax,4
83fa3019 83b8c009f88300  cmp     dword ptr nt!KeServiceDescriptorTable (83f809c0)[eax],0
83fa3020 7551            jne     nt!KeAddSystemServiceTable+0x6b (83fa3073)
83fa3022 8d88000af883    lea     ecx,nt!KeServiceDescriptorTableShadow (83f80a00)[eax]
83fa3028 833900          cmp     dword ptr [ecx],0
83fa302b 7546            jne     nt!KeAddSystemServiceTable+0x6b (83fa3073)
83fa302d 837d1801        cmp     dword ptr [ebp+18h],1
83fa3031 8b5508          mov     edx,dword ptr [ebp+8]
83fa3034 56              push    esi
83fa3035 8b7510          mov     esi,dword ptr [ebp+10h]
83fa3038 57              push    edi
83fa3039 8b7d14          mov     edi,dword ptr [ebp+14h]
83fa303c 8911            mov     dword ptr [ecx],edx
83fa303e 8b4d0c          mov     ecx,dword ptr [ebp+0Ch]
83fa3041 8988040af883    mov     dword ptr nt!KeServiceDescriptorTableShadow+0x4 (83f80a04)[eax],ecx
83fa3047 89b0080af883    mov     dword ptr nt!KeServiceDescriptorTableShadow+0x8 (83f80a08)[eax],esi
83fa304d 89b80c0af883    mov     dword ptr nt!KeServiceDescriptorTableShadow+0xc (83f80a0c)[eax],edi
83fa3053 7418            je      nt!KeAddSystemServiceTable+0x65 (83fa306d)
//在代码中获取
//ShadowSSDT的方式是暴力搜索,代码如下:
ULONG GetShadowTableAddress()
{
	ULONG dwordatbyte, i;
	PUCHAR p = (PUCHAR)KeAddSystemServiceTable;
	for(i = 0; i < 0x1024; i++, p++)
	{
		__try
		{
			dwordatbyte = *(PULONG)p;
		}
		__except(EXCEPTION_EXECUTE_HANDLER)
		{
			return NULL;
		}
		if(MmIsAddressValid((PVOID)dwordatbyte))
		{
			//这里得到的以dwordatbyte为首地址的数据是否与KeServiceDescriptorTable的前16字节相同,这块没搞懂怎么就先比较地址里的值一样,再看地址不一样就是ShadowSSDT,地址里的值一样是ssdt,地址还能是Shadowssdt么

			if(memcmp((PVOID)dwordatbyte, KeServiceDescriptorTable, 16) == 0)
			{
				//地址相同,则排除,因为要找到的是ShadowSSDT,而不是SSDT。
				if((PVOID)dwordatbyte == KeServiceDescriptorTable)
					continue;
				return dwordatbyte;
			}
		}
	}
	return NULL;
}

找到地址,hook方式就跟其他hook类似了。

参考资料

ShadowSSDT表的获取https://blog.csdn.net/l0g1n/article/details/17569605

shadow ssdt学习笔记(一)(二)https://bbs.pediy.com/thread-56955.htm

获取Kthread结构的ServiceTable(EProcess+0xBC,win7 x86下)字段,当Kthread属于一个GUI线程时,ServiceTable的值就是KeServiceDescriptorTableShadow的地址

https://blog.csdn.net/weixin_42486644/article/details/80766003

kernweak
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ShadowSSdt HOOK
zhuhuibeishadiao
04-10 2893
SHADOW表地址的获取。 CSRSS进程。system进程并没有载入win32k.sys,所以,要访问shadowssdt表,必须KeStackAttackProces到一个有GUI线程的进程中,而csrss.exe就是这样的一个合适的进程(管理Windows图形相关任务) Index?硬编码 挂钩NtGdiBitBlt、NtGdiStretchBlt用于截屏保护  挂钩NtUserSe
Win64 驱动内核编程-22.SHADOW SSDT HOOK(宋孖健)
天使也掉毛
03-26 4779
SHADOWSSDTHOOK HOOK和UNHOOKSHADOWSSDT跟之前的HOOK/UNHOOKSSDT类似,区别是查找SSSDT的特征码,以及根据索引计算函数地址的公式,还有一个就是吧跳转函数写在什么位置,SSDT的时候是写在蓝屏函数里了。 一、获得wKeServiceDescriptorTableShadow的地址 这个跟获得KeServi...
Hook Shadow SSDT
06-03 1341
作 者: sislcb时 间: 2008-06-02,23:21链 接: http://bbs.pediy.com/showthread.php?t=65931网上很多文章都有关于SSDT的完整的实现,但是没有关于Shadow SSDT的完整实现,目前最好的文章是《shadow ssdt学习笔记 by zhuwg》,我这里的程序也很多参考了他的文章,在这里谢谢了。我这里给出一个hook shado
ShadowSSDT的hook
weixin_42486644的博客
06-23 657
Windows X86下系统中一共有2个系统服务描述符表,保存在如下的结构体中: typedef struct _KSYSTEM_SERVICE_TABLE { PULONG ServiceTableBase; //服务表的基址 PULONG ServiceCounterTableBase; ULONG NumberService; ...
ShadowSSDT Hook
倒计时
12-26 3411
ShadowSSDT表的获取 这里的ShadowSSDT表的获取是通过函数KeAddSystemServiceTable来获取的。 使用这个函数的原因: 1、这个函数是已经导出的,可以在代码中直接使用。 2、这个函数里面使用了ShadowSSDT,包含了ShadowSSDT的地址。 可以使用WinDbg查看该函数代码,如下: kd> u KeAddSystemServiceTabl
ssdt.Recover.21yu3:绕过卡巴斯基主动防御,加载驱动,unhook所有ssdt hookshadow ssdt hook
05-06
ssdt.Recover.21yu3 ...然后DLL加载驱动,unhook所有ssdt hookshadow ssdt hook 威力非常大的一份代码,当年没有流出是非常明智的。 如今win10已经面世,希望能给后来人借鉴的价值。 我现在的blog:
易语言Shadow ssdt HOOK恢复
05-19
在IT安全领域,"Shadow SSDT HOOK"是一个重要的概念,尤其在逆向工程和系统保护技术中扮演着关键角色。 SSDT(System Service Dispatch Table)是Windows操作系统中的一个核心组件,它存储了系统服务的入口点,这些...
SSDTFunction_64_Test_Windows编程_ssdthook_
10-02
标题“SSDTFunction_64_Test_Windows编程_ssdthook_”暗示了这是一个关于在Windows 7系统中实现SSDT(System Service Dispatch Table)钩子函数的项目。SSDT是Windows内核的一个核心组件,它包含了操作系统对外提供...
SSDT表 hook 原理 教程源码
01-25
在驱动开发中,对SSDT进行hook是一种常见的技术手段,用于拦截并修改系统调用的行为,例如监控或篡改特定系统服务的执行。本教程将深入探讨SSDT表hook的原理,并提供相关的源码示例。 一、SSDT表的结构与作用 1. ...
x64 ssdt shadowssdt inlinkhook
04-07
标题中的“x64 ssdt shadowssdt inlinkhook”涉及到的是Windows系统内核级的钩子技术,尤其是针对x64架构下的System Service Dispatch Table (SSDT)和Shadow SSDT的内联钩子(In-Process Hook)实现。SSDT是Windows...
Shadow SSDT详解、WinDbg查看Shadow SSDT
08-11 396
一、获取ShadowSSDT 好吧,我们已经在R3获取SSDT的原始地址及SDT、SST、KiServiceTbale的关系里面提到:所有的SST都保存在系统服务描述表(SDT)中。系统中一共有两个SDT,一个是ServiceDescriptorTable,另一个是ServiceDescriptorTableShadow。ServiceDescriptor中只有指向KiServic...
Shadow SSDT
crkres9527
09-28 451
 A、Shadow SSDT表基址定位    B、Shadow SSDT表结构    C、Shadow SSDT HOOK KeServiceDescriptorTable //系统描述符表 extern KeServiceDescriptorTableShadow //影子系统描述符表  win32k.sys bp win32k!NtUserPostMessage bp win32k...
SSDT Hook实现内核级的进程保护
曾是土木人
06-29 8233
SSDT Hook效果图 加载驱动并成功Hook  NtTerminateProcess函数: 当对 指定的进程进行保护后,尝试使用“任务管理器”结束进程的时候,会弹出“拒绝访问”的窗口,说明,我们的目的已经达到: SSDT简介 SSDT 的全称是 System Services Descriptor Table,系统服务描述符表。 这个表
做X64 shadow SSDT HOOK引擎那些事儿~~
落笔飞花笑百生的博客
09-23 2436
废话不多少 我做HOOK引擎遇到的事儿~~~ 先看一下代码 ,里面有详细地址 .text:FFFFF97FFF072744 NtUserGetForegroundWindow proc near     ; DATA XREF: .text:FFFFF97FFF0D20E0o .text:FFFFF97FFF072744                                 
win 64 Shadow ssdt hook
weixin_30709929的博客
10-02 421
以下参考黑客防线2012合订本 339页 //下午调代码 搞了这个一天,总是蓝屏,不断检查代码,后来发现了很怪的现象. 自己写的代码不能读取shadow ssdt的偏移内容,但是通过和调试作者的代码输出发现地址确实是一模一样的,但是自己的读不出来,而作者的能 读出来,当直接使用windbg调试时也读不出来. 后来将作者的代码完全复制过来,发现能读取了, ,但是又找不到原因, 只能等以后再...
【转】SSDT&Shadow Hook的实现,完整代码。可编译
weixin_33805557的博客
11-29 145
原文连接:http://bbs.pediy.com/showthread.php?t=138747&amp;highlight=inline+hook 转自看雪,写复制到自己博客上慢慢啃,呵呵   #include &lt;ntddk.h&gt; //辛苦了几周的成果 typedef struct ServiceDescriptorEntry { PVOID *Serv...
谈谈 通杀SSDT hookShadow SSDT hook的方法
cqyczj的专栏
04-25 1554
链 接: http://bbs.pediy.com/showthread.php?t=143987 有点纠结,不知道应不应该发,本来想多攒点东西,留着以后找工作。毕竟说空话被bs过。其实技术含量也不高,耐心研究下都能实现。发出来了,权当促进游戏保护和反保护事业的发展吧。大牛飘过吧,那些还没成为大牛就开始倚老卖老喜欢对刚入门的小菜指手画脚的,时不时的来一句“别瞎鼓捣了,你应该从这学起,你应该从
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值