遍历SSDT,检测是否被hook

最新推荐文章于 2020-12-06 20:49:18 发布
最新推荐文章于 2020-12-06 20:49:18 发布
阅读量2.8k 收藏 8
点赞数
分类专栏: windows内核 文章标签: hook function module struct path null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/z6470975/article/details/7422872
版权

此方法只是遍历SSDT,判断是否在ntkrnlpa.exe模块里面。也就是寻找SSDT导出NT函数的原始地址。此方法不适合检测 inline Hook。

typedef struct _SYSTEM_MODULE_INFORMATION { 
	ULONG Reserved[2]; 
	PVOID Base; 
	ULONG Size; 
	ULONG Flags; 
	USHORT Index; 
	USHORT Unknown; 
	USHORT LoadCount; 
	USHORT ModuleNameOffset; 
	CHAR ImageName[256]; 
} SYSTEM_MODULE_INFORMATION, *PSYSTEM_MODULE_INFORMATION; 

typedef struct _tagSysModuleList {
	ULONG ulCount;
	SYSTEM_MODULE_INFORMATION smi[1];
} SYSMODULELIST, *PSYSMODULELIST;

以上是SSDT模块信息的结构和链表。 

NTSTATUS MyEnumSSDT()
{	
	NTSTATUS status = STATUS_UNSUCCESSFUL;
	PULONG SSDT_Function_Address;	//SSDT表函数地址
	ULONG SSDT_Function_Number;		//SSDT表函数个数

	PSYSMODULELIST pSysModuleList;	
	SYSTEM_MODULE_INFORMATION SystemModuleInfo;//模块结构
	PVOID pBuffer;	//SSDT总大小缓冲区
	ULONG uBufferSize;
	ULONG i = 0;
	ULONG j = 0;
	ULONG uModuleBase;
	ULONG uModuleMax;
	CHAR strMdoulePath[255];

	SSDT_Function_Address = (PULONG)KeServiceDescriptorTable->ServiceTableBase;
	SSDT_Function_Number = KeServiceDescriptorTable->NumberOfService;
	KdPrint(("SSDT_Function_Address:%x,SSDT_Function_Number:%d\n",SSDT_Function_Address,SSDT_Function_Number));

	ZwQuerySystemInformation(SystemModuleInformation,NULL,0,&uBufferSize);//枚举SSDT表Path大小
	if (!uBufferSize)
	{
		KdPrint(("ZwQuerySystemInformation1 error!\n"));
		return status;
	}
	pBuffer = ExAllocatePoolWithTag(NonPagedPool,uBufferSize,MEM_TAG);//申请内存存放
	if (!pBuffer)
	{
		KdPrint(("ExAllocatePoolWithTag error!\n"));
		return status;
	}
	status = ZwQuerySystemInformation(SystemModuleInformation,pBuffer,uBufferSize,NULL);//第二次遍历,填充pBuffer缓冲区
	if (!NT_SUCCESS(status))
	{
		KdPrint(("ZwQuerySystemInformation2 error!\n"));
		return status;
	}

	pSysModuleList = (PSYSMODULELIST)pBuffer;//将所有SSDT函数缓冲区换成链表来访问

	for (j = 0; j < pSysModuleList->ulCount; j++) //遍历获取ntkrnlpa.exe模块所在地址和大小
	{
		SystemModuleInfo = pSysModuleList->smi[j];
		strcpy(strMdoulePath,(SystemModuleInfo.ImageName + SystemModuleInfo.ModuleNameOffset));
		if (strncmp("ntkrnlpa.exe",strMdoulePath,12) == 0)
		{
			uModuleBase = (ULONG)SystemModuleInfo.Base;
			uModuleMax = uModuleBase + SystemModuleInfo.Size;
		}
	}
	//遍历SSDT表,对比地址检测是否被hook
	for (i = 0; i < SSDT_Function_Number; i++)
	{
		if (uModuleBase < (ULONG)SSDT_Function_Address && (ULONG)SSDT_Function_Address < uModuleMax)
		{
			KdPrint(("UnHook:%03d  Address:%X  Path:%s\n",i,*(SSDT_Function_Address + i),strMdoulePath));
		}
		else
		{
			KdPrint(("Hook:%03d  Address:%X  Path:%s\n",i,*(SSDT_Function_Address + i),strMdoulePath));
		}
	}
	
	if (pBuffer)
	{
		ExFreePool(pBuffer);
		pBuffer = NULL;
	}
	return status;
}


总的来说还是比较简单的,还差了一个获取SSDT导出函数名字。下一篇补全。



z6470975
关注
专栏目录
遍历 SSDT ShadowSSDT 编号和函数名
小烟的博客
02-26 460
遍历 SSDT ShadowSSDT 编号和函数名
SSDT Hook技术详解与应用
flydragonhero的专栏
03-10 6601
SSDT Hook技术详解与应用SSDT Hook技术详解与应用 一SSDT简介 1什么是SSDT 2SSDT结构 3应用层调用 Win32 API 的完整执行流程 二SSDT Hook原理 1SSDT Hook原理简介 2进程隐藏与保护 3文件隐藏与保护 4端口隐藏一、SSDT简介1、什么是SSDT​ SSDT 的全称是 System Services Descriptor Table,系统服
SSDT表的遍历
Fly20141201. 的专栏
11-13 2520
//VS2005创建的工程,系统xp sp2 //++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ //stdafx.h文件 #ifndef _WIN32_WINNT // Allow use of features specific to Windows XP or
检测和恢复SSDT HOOK,INLINE SSDT HOOK
lionzl的专栏
05-06 1323
检测和恢复SSDT HOOK,INLINE SSDT HOOK2008-09-25 来源:梦飞鸟( 投递新闻稿件 )<!--google_ad_client = "pub-3730291377033254";google_ad_slot = "7307761760";google_ad_width = 336;google_ad_height = 2
遍历WIN7 64位SSDT表
qq_41490873的博客
08-26 1052
在64位系统里面,KeServiceDescriptorTable并未导出。 可以通过函数KiSystemCall64来找到服务表的地址,而KiSystemCall64也是未导出的。 找到KiSystemCall64函数的方法是读取kd> rdmsr c0000082 msr寄存器的值 。这样就可以找到服务表地址了 typedef struct _KSYSTEM_SERVICE_TABLE { PLONG ServiceTableBase;
ssdt_表_遍历
05-12 641
#include"ntddk.h" #pragma pack(1) //写这个内存以一字节对齐 如果不写是以4字节的对齐的 typedef struct ServiceDescriptorEntry {//这个结构就是为了管理这个数组而来的 内核api所在的数组 才有这个结构的 这个是ssdt unsigned int *ServiceTableBase;//就是ServiceTa...
SSDT 对抗 ring0 inline hook, 通过SSDT绕过inline Hook.zip
01-24
3. **检测和恢复被hook的服务**:遍历SSDT,检查每个服务的入口点是否被修改。如果发现被hook,将原始的、未被hook的函数地址写回SSDT。 4. **保护SSDT**:为了避免SSDT自身也被hook,可能需要采取额外的保护措施,...
win7 64位 ssdthook
11-21
通过hook内核中ssdt表中的ntopenprocess函数,标号为35,可通过遍历ssdt表查找得知,可实现进程保护。 适用系统:win7 64,需关闭驱动签名保护 编程工具:vs2012+wdk8.0
SSDT Hook
zhuhuibeishadiao
04-10 3287
看看大概的调用情况 左边是2000有的,右边是xp后走的 Ntdll.dll 中的 API 是一个简单的包装函数。 当 Kernel32.dll 中的 API 通过 Ntdll.dll 时,会完成参数的检查再调用一个中断(int 2Eh 或者 SysEnter 指令),从而实现从 Ring3 进入 Ring0 层 并且将所要调用的服务号(也就是在 S
精选_SSDT Hook 之内核函数ZwQueryDirectoryFile实现文件隐藏_源码打包
03-10
然后,遍历SSDT,找到ZwQueryDirectoryFile的函数指针。 2. 备份原函数:在Hook之前,需要保存ZwQueryDirectoryFile的原始地址,这将在需要恢复原始行为时使用。 3. 创建Hook函数:编写一个新的函数,该函数在执行...
SSDT表概念及遍历
06-25
windows内核SSDT表的概念和SSDT表的遍历代码示例
仿游戏检测被恢复的SSDT Hook
08-24
模仿游戏HOOKSSDK
如何区分ssdt hook和inline hook钩子
01-25
如何区分ssdt hook和inline hook的区别
查看SSDTHOOK其修改
trents的专栏
02-29 1541
#define SYSTEMSERVICE(_function) KeServiceDescriptorTable.ServiceTableBase[ *(PULONG)((PUCHAR)_function+1)] typedef unsigned long DWORD; typedef unsigned long *PDWORD; typedef unsigned short WORD;
5.ring0-SSDT-SSTDSHADOW原理分析、遍历随手代码
hgy413的专栏
07-25 3355
SSDT 的全称是 System Services Descriptor Table,系统服务描述符表 这个表就是一个把 Ring3 的 Win32 API 和 Ring0 的内核 API 联系起来。Ring3下调用的所有函数最终都会先进入到ntdll里面的 typedef struct _KSERVICE_TABLE_DESCRIPTOR { PULONG_PTR ServiceTab
绕过安全软件挂钩SSDT的检测
大浪淘沙的专栏
08-21 1077
绕过安全软件挂钩SSDT的检测 function StorePage(){d=document;t=d.selection?(d.selection.type!=None?d.selection.createRange().text:):(d.getSelection?d.getSelection():);void(keyit=window.open(ht
[内核安全2]内核态Rootkit之SSDT Hook
輚至消亡
12-06 647
/*++ * @Description * 主逻辑控制函数 * @Param * @Return * @Attention --*/ void Running(); /*++ * @Description * 不接收换行的从标准输入内收到键入,是一个安全函数 * * @Param * lpszBuf: 接受键盘输入的缓冲区 * uiSizeOfBuf: 描述lpszBuf的大小 * * @Return * 返回状态码 * * @Attention --*/ NTSTATUS kgets(OUT.
检测SSTD是否hook
LoveQuietly
11-07 1562
我们知道在ssdt中可以被hook,那么如何检测出来自己的ssdt被hook了呢? 在内核文件中保留了一份原始的ssdt表,我们只要通过检测内核文件即可获取到原始的ssdt表即可首先先要确认自己的内核使用的文件是哪个? 是ntkrnlmp.exe还是ntkrnlpa.exe?这个可以通过ZwQuerySystemInformation传入SystemModuleInformation(11)得到
SSDT的检测与恢复
08-28 1473
为避免检测失效(rootkit惯用的hook,inline hook)一个有效的方法是,我们在进行每一项检测之前都确保自身所使用的函数没有被hook,这样就不得不涉及到ssdt恢复和一些inline hook恢复了.ssdt是啥?原理之类的网上很多,相信感兴趣的你肯定不缺乏这方面的知识.我这里提供个方便,放个片段,//枚举SSDT表typedef struct _tagSSDT {  
SSDT_Hook技术实现注册表安全防护
因此,需要设计反反Hook策略,如检测并防止恶意篡改SSDT。 通过SSDT Hook技术实现对注册表的保护是一种有效的安全措施。它能够拦截对注册表的非法访问,阻止恶意程序的启动,从而保护用户数据。然而,这也需要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值