SSDT HOOK驱动保护原理

最新推荐文章于 2019-06-29 19:07:01 发布
最新推荐文章于 2019-06-29 19:07:01 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: 驱动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zang141588761/article/details/82778724
版权

A、初识内核进程相关结构

 B、内核函数PsGetCurrentProcess

 C、进程保护原理

 D、实例测试

dd nt!KeServiceDescriptorTable

NTSTATUS NtOpenProcess(

  __out     PHANDLE ProcessHandle,

  __in      ACCESS_MASK DesiredAccess,

  __in      POBJECT_ATTRIBUTES ObjectAttributes,
 

  __in_opt  PCLIENT_ID ClientId
);

typedef struct _CLIENT_ID {

    HANDLE UniqueProcess;//进程PID

    HANDLE UniqueThread; //线程PID

} CLIENT_ID;

dt _CLIENT_ID

dt _eprocess

dt -v -r _eprocess (加上-v -r显示详细结构)

MyNtOpenProcess()

{ 如果要打开进程是我们要保护的

   ProcessHandle=NULL

 不是

 ProcessHandle=NtOpenProcess()//HANDLE hProcess

}

#pragma once

#ifdef __cplusplus

extern "C"

{

#endif

#include <NTDDK.h> //这里包含需要用C方式编译的头文件

#ifdef __cplusplus

}

#endif 

#include <windef.h>

 bool ssdthook_flag=false;

extern "C" extern PServiceDescriptorTable KeServiceDescriptorTable;

//extern "C" NTSTATUS __stdcall   PsLookupProcessByProcessId( IN ULONG ulProcId, OUT PEPROCESS * pEProcess );

// 定义一下NtOpenProcess的原型

 extern "C"    typedef  NTSTATUS     (__stdcall NTOPENPROCESS)(  OUT PHANDLE ProcessHandle,

IN ACCESS_MASK AccessMask,

 IN POBJECT_ATTRIBUTES ObjectAttributes, IN PCLIENT_ID ClientId );

 NTOPENPROCESS   *  RealNtOpenProcess;

  PEPROCESS  EP;

// 真实的函数地址

ULONG     RealServiceAddress;

HANDLE     MyPID; //要保护的进程ID

// 自定义的NtOpenProcess函数

#pragma PAGECODE

//************************************

extern "C" NTSTATUS __stdcall MyNtOpenProcess( OUT     PHANDLE ProcessHandle,

                                                                           IN     ACCESS_MASK DesiredAccess,

                                                                           IN     POBJECT_ATTRIBUTES ObjectAttributes,

                                                                           IN     PCLIENT_ID ClientId )

{

         NTSTATUS     rc;

         HANDLE       PID;

         KdPrint(("++++++++++++Entry MyNtOpenProcess int   ++++++++++++++\n")); 

         rc = (NTSTATUS)RealNtOpenProcess( ProcessHandle, DesiredAccess, ObjectAttributes, ClientId );        

         if( (ClientId != NULL) )

         {

                  PID = ClientId->UniqueProcess;  

                  KdPrint(( "------------------------- PID=%d--------------\n",(int*)PID ));

                  // 如果是被保护的PID,直接返回权限不足,并将句柄设置为空

                  if(PID == MyPID)

                  {

                   KdPrint(( "++++++++++++++++++++++++++++被保护进程 MyPID=%d++++++++++++++++++++++++\n",MyPID ));

                           ProcessHandle = NULL; //这个是关键

                           rc = STATUS_ACCESS_DENIED;

                           //PsLookupProcessByProcessId((ULONG)PID,&EP);

                           EP=PsGetCurrentProcess();                   

                           KdPrint(("AAAAAAAAAAAAAAAAAAAAAAAAAAAAA ACESS Process Name  --:%s--  AAAAAAAAAAAAAAAAAA \n",(PTSTR)((ULONG)EP+0x174)));

                  KdPrint(( "++++++++++++++++++++++++++++=======================================================+++++++++++++++++++++++\n" ));

                  }

         }

         return rc;

}

#pragma PAGECODE

VOID Hook()

{

         KdPrint(("++++++++++++++++++++HOOK START +++++++++++++++++++++++++++++++ ---------------------------------\n"));

        LONG *SSDT_Adr,SSDT_NtOpenProcess_Cur_Addr,t_addr;

         KdPrint(("驱动成功被加载中.............................\n"));

         //读取SSDT表中索引值为0x7A的函数

         //poi(poi(KeServiceDescriptorTable)+0x7a*4)

         t_addr=(LONG)KeServiceDescriptorTable->ServiceTableBase;

         KdPrint(("当前ServiceTableBase地址为%x \n",t_addr));

         SSDT_Adr=(PLONG)(t_addr+0x7A*4);

         KdPrint(("当前t_addr+0x7A*4=%x \n",SSDT_Adr));

         SSDT_NtOpenProcess_Cur_Addr=*SSDT_Adr;    

         RealServiceAddress = *SSDT_Adr;

         RealNtOpenProcess = ( NTOPENPROCESS *)RealServiceAddress;

         KdPrint(( "真实的NtOpenProcess地址: %x\n",(int) RealServiceAddress ));

         KdPrint((" 伪造NTOpenProcess地址: %x\n", (int)MyNtOpenProcess )); 

         __asm //去掉页面保护

         {

                      cli

                           mov eax,cr0

                           and eax,not 10000h //and eax,0FFFEFFFFh

                           mov cr0,eax

         }

         *SSDT_Adr= (ULONG)MyNtOpenProcess;

         __asm

         {

                    mov     eax, cr0

                    or     eax, 10000h

                    mov     cr0, eax

                    sti

         }  

         return;

}

//

#pragma PAGECODE

VOID UnHook()

{

         ULONG Old_ssdt;

         Old_ssdt = (ULONG)KeServiceDescriptorTable->ServiceTableBase + 0x7A * 4;

  if    (ssdthook_flag)

  {    ssdthook_flag=false;

         __asm

         {

                  cli

                           mov     eax, cr0

                           and     eax, not 10000h

                           mov     cr0, eax

         }

         // 还原SSDT

         *((ULONG*)Old_ssdt) = (ULONG)RealServiceAddress;

         __asm

         {

                  mov     eax, cr0

                  or     eax, 10000h

                  mov     cr0, eax

                  sti

         }

         KdPrint(("UnHook还原SSDT OK \n"));

  }        

         return;

}

#define   hook_code CTL_CODE(FILE_DEVICE_UNKNOWN, 0x802, METHOD_NEITHER,FILE_ANY_ACCESS)

#define unhook_code CTL_CODE(FILE_DEVICE_UNKNOWN, 0x803, METHOD_NEITHER,FILE_ANY_ACCESS)

小蚂蚁_CrkRes
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
编写自己的驱动过游戏保护-需要具备的理论知识
crkres9527
09-16 1万+
A、了解SSDT结构         B、由SSDT索引号获取当前函数地址                C、如何获取索引号         D、获取起源地址-判断SSDT是否被HOOK         E、如何向内核地址写入自己代码    A、了解SSDT结构 SSDT的全称是System Services Descriptor Table,系统服务描述符表 在ntoskrnl....
驱动保护--驱动过检C(可过大部分检C)D013
最新发布
Amazing_snack的博客
05-31 292
D013
破解XXX游戏驱动保护过程总结
weixin_34418883的博客
07-23 1361
刚刚接触软件破解还有驱动编写,好多东西都不熟,折腾了好久,把中间可能对大家有价值的过程记录下来。    刚开始碰到的问题就是不能内核调试,因为要写驱动,需要用到。一般禁用内核调试都是在驱动里调用KdDisableDebugger,往上回溯一个函数,基本上就是驱动检测禁用是否成功的代码,否则就是一个循环不停的调用KdDisableDebugger函数。   我的做法是修改KdDisableDebug...
驱动函数的hook
qq_41071646的博客
11-13 1115
其实 驱动hook也就仅限于32位 64位有保护 类似 pg什么的 现在听大佬们讲驱动hook都已经过时了(感觉对于我这种萌新还是有参考价值的) 讲hook前 需要了解其实windows驱动编程就可以说是windows内核编程 内核除了看似很简单的错误  毕竟轻的后果就是蓝屏  后续还会出现各种各样的错误(这就体现了虚拟机和快照的好处) 然后 windows为了内核的安全 就规定很多不可写的内...
TenProtect(TP)_驱动保护原理.pdf
11-06
TenProtect(TP)_驱动保护原理.pdf
SSDT Hook_内核_x86_ssdthook_驱动_
10-03
本项目"SSDT Hook_内核_x86_ssdthook_驱动_"显然是一个针对32位(x86架构)系统的SSDT Hook实现示例,通过提供的文件名如"SSDT Hook.sln",我们可以推断这可能是一个Visual Studio解决方案文件,包含了项目的源代码...
SSDT.rar_hook 驱动_ssdt_ssdt hook
09-22
二、SSDT Hook原理SSDT Hook是系统级别的Hook技术,它的主要目的是在不修改原始系统服务代码的情况下,改变系统服务的行为。这通常通过以下步骤实现: 1. 获取SSDT表:驱动程序首先需要获取当前系统中的SSDT表,...
Hook ssdt.rar_HookSSDT_hook_ssdt_进程保护_驱动保护
09-25
**驱动Hook SSDT的工作原理** Hook SSDT通常在驱动程序中实现,因为驱动程序运行在更高的权限级别(Ring 0),可以直接访问和修改SSDT。首先,驱动程序会备份原始SSDT的入口地址,然后将自己的钩子函数地址替换...
SSDTHook_ssdt_SSDTHook_
10-01
标题“SSDTHook_ssdt_SSDTHook_”暗示了这个压缩包可能包含了一个关于SSDT Hooking的工具或者教程。这个工具或教程可能是为了帮助用户理解和实践如何在Windows内核层面上进行系统服务的挂钩。 描述“ssdt hooking ...
SSDThook 原理 教程源码
01-25
2. 保护机制:Windows系统有保护机制防止非法修改SSDT,因此在进行hook时,需要处理好内存保护标志,确保操作的安全性。 3. IRQL问题:由于SSDT在高IRQL级别下也可能被访问,因此在hook时要考虑IRQL的兼容性,确保...
驱动hookapi
04-19
可以hook 任意函数 ,采用内联hook
ssdt驱动文件
02-14
ssdt驱动\
进程隐藏与进程保护SSDT Hook 实现)(三)
weixin_34115824的博客
09-05 440
文章目录:                   1. 引子: 2. 获取当前系统下所有进程: 3. 服务管理(安装,启动,停止,卸载): 4. 应用程序和内核程序通信: 5. 小结:                  1. 引子:                           关于这个 SSDT Hook 实现进程隐藏和进程保护呢,这是最后一篇博文了, 在文章的结...
Win64 驱动内核编程-19.HOOK-SSDT
天使也掉毛
03-19 4847
HOOK SSDT     在 WIN64 上 HOOK SSDT 和 UNHOOK SSDT 在原理上跟 WIN32 没什么不同,甚至说 HOOK 和 UNHOOK 在本质上也没有不同,都是在指定的地址上填写一串数字而已 (填写代理函数的地址时叫做 HOOK,填写原始函数的地址时叫做 UNHOOK)。不过实现起来还是很大不同的。 一 、 HOOK SSDT     要挂钩 SSDT,必然
驱动中全局hook应用层API函数
125096
10-08 4935
extern "C" NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath) { DbgBreakPoint(); DriverObject->DriverUnload = DriverUnload; NTSTATUS status; PEPROCESS Process =
内核编程之SSDTHook(1)原理
zuishikonghuan的博客
03-11 9017
本博文由CSDN博主zuishikonghuan所作,版权归zuishikonghuan所有,转载请注明出处: 说驱动开发这么长时间了,也玩玩内核钩子,钩子(Hook)技术是一种截获对某一对象访问的技术,不仅在Windows平台,Linux平台上也有Hook技术。Hook技术种类繁多,实现细节也不同,还可以灵活使用。 我之前写过两篇Ring3下的API Inline Hook的博文,这
驱动的几种Hook方法
weixin_34345753的博客
06-29 2129
1. inline hook 黑客都喜欢用这个方法,很容易被杀毒软件查出来。 2. 在Device Stack中插入filter driver,也很容易被人看出来,并且你不能保证别人插在你之后。 3. 修改Dispatch函数的入口地址,例如bus hound就是这么干的。 转载于:https://www.cnblogs.com/fanzi2009/archive/2011/11/30/226...
SSDT Hook技术详解与应用
flydragonhero的专栏
03-10 6369
SSDT Hook技术详解与应用SSDT Hook技术详解与应用 一SSDT简介 1什么是SSDT 2SSDT结构 3应用层调用 Win32 API 的完整执行流程 二SSDT Hook原理 1SSDT Hook原理简介 2进程隐藏与保护 3文件隐藏与保护 4端口隐藏一、SSDT简介1、什么是SSDTSSDT 的全称是 System Services Descriptor Table,系统服
Vt hook ssdt
12-31
Vt hook ssdt是一种技术,用于在操作系统内核中拦截和修改系统服务调用。通过Vt(Virtualization Technology)技术,可以在操作系统运行时对系统服务进行动态修改,从而实现对系统行为的控制和修改。 以下是一个Vt ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小蚂蚁_CrkRes

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值