SSDT Hook

最新推荐文章于 2023-07-19 11:13:27 发布
最新推荐文章于 2023-07-19 11:13:27 发布
阅读量3.2k 收藏 11
点赞数
分类专栏: 驱动学习 文章标签: 进程保护 SSDT HOOK 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuhuibeishadiao/article/details/51114107
版权
本文介绍了Windows系统中SSDT(System Service Descriptor Table)Hook的技术细节。通过分析Ntdll.dll和Kernel32.dll的API调用流程,展示了如何从Ring3层进入Ring0层,并且讲解了SSDT表的结构。内容包括如何获取Zw函数的索引号,定义宏以获取SSDT中对应函数的地址,以及SSDT Hook的基本思路,包括保存原地址、替换地址和代理函数的实现。此外,还提及了Base Hook的实现和移除HOOK的注意事项,建议使用DeviceIoControl进行卸载。
摘要由CSDN通过智能技术生成


看看大概的调用情况

左边是2000有的,右边是xp后走的






Ntdll.dll 中的 API 是一个简单的包装函数。
当 Kernel32.dll 中的 API 通过 Ntdll.dll 时,会完成参数的检查再调用一个中断(int 2Eh 或者 SysEnter 指令),从而实现从 Ring3 进入 Ring0 层
并且将所要调用的服务号(也就是在 SSDT 数组中的索引值)存放到寄存器 EAX 中
再根据存放在 EAX 中的索引值来在 SSDT 数组中调用指定的服务即Nt*系列函数


SSDT表结构


结构:
#pragma pack(1)
typedef struct ServiceDescriptorEntry 
{
    unsigned int *ServiceTableBase;
    unsigned int *ServiceCounterTableBase; 
unsigned int NumberOfServices;
    unsigned char *ParamTableBase;
} ServiceDescriptorTableEntry_t,
  *PServiceDescriptorTableEntry_t;
#pragma pack()


导入:
__declspec(dllimport)  ServiceDescriptorTableEntry_t KeServiceDescriptorTable;

我们要获得SSDT下某个函数的地址 我们只需要知道那个Zw函数的开头的2-6字节即可

就是获取那个Index 索引号

比如ZwReadFile  0B7就是Index


然后我们搞一个宏吧 给一个Zw的地址 返回它在SSDT对应函数的地址 
引用:
    #define SYSTEMSERVICE(_function) KeServiceDescriptorTable.ServiceTableBase[ *(PULONG)((PUCHAR)_function+1)]
    #define SDT     SYSTEMSERVICE



SSDT HOOK 思路:

找到函数地址---保存原地址--替换地址 当然代理函数要与原始函数一致

typedef NTSTATUS (*ZWCREATESECTION)(
  	OUT PHANDLE            		SectionHandle,
  	IN ULONG                		DesiredAccess,
  	IN POBJECT_ATTRIBUTES  	ObjectAttributes OPTIONAL,
  	IN PLARGE_INTEGER     	 MaximumSize OPTIONAL,
          IN ULONG                		PageAttributess,
  	IN ULONG                		SectionAttributes,
 	IN HANDLE              		FileHandle OPTIONAL );

static ZWCREATESECTION            OldZwCreateSection;

NTSTATUS NTAPI HOOK_NtCreateSection(PHANDLE SectionHandle,
				  ACCESS_MASK DesiredAccess,
				  POBJECT_ATTRIBUTES ObjectAttributes,
				  PLARGE_INTEGER SectionSize,
				  ULONG Protect,
				  ULONG Attributes,
				  HANDLE FileHandle) 
{
	return OldZwCreateSection(SectionHandle,
				  DesiredAccess,
				  ObjectAttributes,
				  SectionSize,
				  Protect,
				  Attributes,
				  FileHandle);
}

开始HOOK 
void StartHook (void)
{
    //获取未导出的服务函数索引号
    
    __asm
    {
        push    eax
        mov        eax, CR0
        and        eax, 0FFFEFFFFh
        mov        CR0, eax
        pop        eax
    }
    
    OldZwCreateSection                = 
        (ZWCREATESECTION)InterlockedExchange((PLONG)
                                                        &SDT(ZwCreateSection),//必须是ZwCreateSection,而不能是NtCreateSection
                                                        (LONG)HOOK_NtCreateSection);
    
    //关闭
    __asm
    {
        push    eax
        mov        eax, CR0
        or        eax, NOT 0FFFEFFFFh
        mov        CR0, eax
        pop        eax
    }
    return ;
}

移除HOOK 这部很容易蓝屏 建议还是使用DeviceIControl进行卸载 (写一个恢复函数 然后通过下发请求调用)

void StartHook (void)
{
    //获取未导出的服务函数索引号
    
    __asm
    {
        push    eax
        mov        eax, CR0
        and        eax, 0FFFEFFFFh
        mov        CR0, eax
        pop        eax
    }
    
    OldZwCreateSection                = 
        (ZWCREATESECTION)InterlockedExchange((PLONG)
                                                        &SDT(ZwCreateSection),//必须是ZwCreateSection,而不能是NtCreateSection
                                                        (LONG)HOOK_NtCreateSection);
    
    //关闭
    __asm
    {
        push    eax
        mov        eax, CR0
        or        eax, NOT 0FFFEFFFFh
        mov        CR0, eax
        pop        eax
    }
    return ;
}

查看HOOK的SSDT 

x nt!kes*des*table*
dd addr
dds addr L length

Base Hook 实现大量的HOOK 但没有实际拦截:

#include <ntddk.h>
#include <ntimage.h>

#pragma pack(1)
typedef struct ServiceDescriptorEntry {
    unsigned int *ServiceTableBase;
    unsigned int *ServiceCounterTableBase; //Used only in checked build
    unsigned int NumberOfServices;
    unsigned char *ParamTableBase;
} ServiceDescriptorTableEntry_t, *PServiceDescriptorTableEntry_t;
#pragma pack()

__declspec(dllimport)  ServiceDescriptorTableEntry_t KeServiceDescriptorTable;
#define SYSTEMSERVICE(_function) KeServiceDescriptorTable.ServiceTableBase[ *(PULONG)((PUCHAR)_function+1)]
#define SDT     SYSTEMSERVICE
#define KSDT KeServiceDescriptorTable

//---------------------------------------------------------------------------
//
// Defines
// 
//---------------------------------------------------------------------------

#define FILE_DEVICE_UNKNOWN            0x00000022
#define IOCTL_UNKNOWN_BASE              FILE_DEVICE_UNKNOWN
#define IOCTL_INIT                       CTL_CODE(IOCTL_UNKNOWN_BASE, 0x0800, METHOD_BUFFERED, FILE_READ_ACCESS | FILE_WRITE_ACCESS)

/********************************************************************************

    补充定义数据及结构

********************************************************************************/

typedef struct _INITIAL_TEB {
  PVOID                StackBase;
  PVOID                StackLimit;
  PVOID                StackCommit;
  PVOID                StackCommitMax;
  PVOID                StackReserved;
} INITIAL_TEB, *PINITIAL_TEB;

typedef enum _SYSTEM_INFORMATION_CLASS
{
    SystemBasicInformation,
    SystemProcessorInformation,
    SystemPerformanceInformation,
    SystemTimeOfDayInformation,
    SystemNotImplemented1,
    SystemProcessesAndThreadsInformation,
    SystemCallCounts,
    SystemConfigurationInformation,
    SystemProcessorTimes,
    SystemGlobalFlag,
    SystemNotImplemented2,
    SystemModuleInformation,
    SystemLockInformation,
    SystemNotImplemented3,
    SystemNotImplemented4,
    SystemNotImplemented5,
    SystemHandleInformation,
    SystemObjectInformation,
    SystemPagefileInformation,
    SystemInstructionEmulationCounts,
    SystemInvalidInfoClass1,
    SystemCacheInformation,
    SystemPoolTagInformation,
    SystemProcessorStatistics,
    SystemDpcInformation,
    SystemNotImplemented6,
    SystemLoadImage,
    SystemUnloadImage,
    SystemTimeAdjustment,
    SystemNotImplemented7,
    SystemNotImplemented8,
    SystemNotImplemented9,
    SystemCrashDumpInformation,
    SystemExceptionInformation,
    SystemCrashDumpStateInformation,
    SystemKernelDebuggerInformation,
    SystemContextSwitchInformation,
    SystemRegistryQuotaInformation,
    SystemLoadAndCallImage,
    SystemPrioritySeparation,
    SystemNotImplemented10,
    SystemNotImplemented11,
    SystemInvalidInfoClass2,
    SystemInvalidInfoClass3,
    SystemTimeZoneInformation,
    SystemLookasideInformation,
    SystemSetTimeSlipEvent,
    SystemCreateSession,
    SystemDeleteSession,
    SystemInvalidInfoClass4,
    SystemRangeStartInformation,
    SystemVerifierInformation,
    SystemAddVerifier,
    SystemSessionProcessesInformation
} SYSTEM_INFORMATION_CLASS;

typedef struct _SYSTEM_HANDLE_INFORMATION
{
    ULONG            ProcessId;
    UCHAR            ObjectTypeNumber;
    UCHAR            Flags;
    USHORT          Handle;
    PVOID            Object;
    ACCESS_MASK      GrantedAccess;
} SYSTEM_HANDLE_INFORMATION, *PSYSTEM_HANDLE_INFORMATION;

/*************************************************************************************************

     私有变量

*************************************************************************************************/

typedef struct _DEVICE_EXTENSION
{
    PDEVICE_OBJECT DeviceObject;
    PKEVENT Event;

    BOOLEAN bPCreate;
} DEVICE_EXTENSION, *PDEVICE_EXTENSION;


//    全局设备对象
PDEVICE_OBJECT g_pDeviceObject;

UNICODE_STRING g_RegPath;

/********************************************************************************

    补充定义函数

********************************************************************************/

NTKERNELAPI NTSTATUS ObQueryNameString (
    IN PVOID                        Object,
    IN OUT PUNICODE_STRING            Name,
    IN ULONG                        MaximumLength,
    OUT PULONG                      ActualLength
);

NTKERNELAPI NTSTATUS ZwSetSecurityObject(
    IN HANDLE Handle,
    IN SECURITY_INFORMATION SecurityInformation,
    IN PSECURITY_DESCRIPTOR SecurityDescriptor
    );

NTKERNELAPI NTSTATUS ZwTerminateProcess(
  IN HANDLE              ProcessHandle OPTIONAL,
  IN NTSTATUS            ExitStatus );

NTKERNELAPI NTSTATUS ZwOpenProcess(
  OUT PHANDLE            ProcessHandle,
  IN ACCESS_MASK          AccessMask,
  IN POBJECT_ATTRIBUTES  ObjectAttributes,
  IN PCLIENT_ID          ClientId );

NTKERNELAPI NTSTATUS ZwOpenThread(
  OUT PHANDLE            ThreadHandle,
  IN ACCESS_MASK          AccessMask,
  IN POBJECT_ATTRIBUTES  ObjectAttributes,
  IN PCLIENT_ID          ClientId );

NTKERNELAPI NTSTATUS ZwLoadDriver(
  IN PUNICODE_STRING DriverServiceName );

NTKERNELAPI NTSTATUS ZwSetSystemInformation(
  IN SYSTEM_INFORMATION_CLASS SystemInformationClass,
  IN PVOID                SystemInformation,
  IN ULONG                SystemInformationLength );

NTKERNELAPI NTSTATUS ZwQuerySystemInformation(
  IN SYSTEM_INFORMATION_CLASS SystemInformationClass,
  OUT PVOID              SystemInformation,
  IN ULONG                SystemInformationLength,
  OUT PULONG              ReturnLength OPTIONAL );


/***********************************************************************************

    函数声明

***********************************************************************************/

NTSTATUS DriverEntry(
  IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath);
void UnloadDriver(PDRIVER_OBJECT DriverObject);
NTSTATUS DispatchCreate(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp);
NTSTATUS DispatchClose(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp);
NTSTATUS DispatchIoCtrl(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp);

void StartHook(void);
void RemoveHook(void);


NTSTATUS Hook_ZwWriteFile(
  IN HANDLE              FileHandle,
  IN HANDLE              Event OPTIONAL,
  IN PIO_APC_ROUTINE      ApcRoutine OPTIONAL,
  IN PVOID                ApcContext OPTIONAL,
  OUT PIO_STATUS_BLOCK    IoStatusBlock,
  IN PVOID                Buffer,
  IN ULONG                Length,
  IN PLARGE_INTEGER      ByteOffset OPTIONAL,
  IN PULONG              Key OPTIONAL );

NTSTATUS Hook_ZwReadFile(
  IN HANDLE              FileHandle,
  IN HANDLE              Event OPTIONAL,
  IN PIO_APC_ROUTINE      ApcRoutine OPTIONAL,
  IN PVOID                ApcContext OPTIONAL,
  OUT PIO_STATUS_BLOCK    IoStatusBlock,
  OUT PVOID              Buffer,
  IN ULONG                Length,
  IN PLARGE_INTEGER      ByteOffset OPTIONAL,
  IN PULONG              Key OPTIONAL );

NTSTATUS Hook_ZwSetSystemInformation
最低0.47元/天 解锁文章
zhuhuibeishadiao
关注
专栏目录
Rookit技术之SSDT_Hook
Hades的博客
04-27 536
Rookit技术之SSDT_Hook Rookit技术之SSDT_Hook 0x0 SSDT简介 0x1 测试环境 0x2 达到目标 0x3 主要思路 0x4 关键代码 0x5 测试效果 0x0 SSDT简介 SSDT全称为System Services Descriptor Table,中文为系统服务描述符表,ssdt表就是把ring3的Win32 API和ring0的...
SSDT Hook实现内核级的进程保护
曾是土木人
06-29 8298
SSDT Hook效果图 加载驱动并成功Hook  NtTerminateProcess函数: 当对 指定的进程进行保护后,尝试使用“任务管理器”结束进程的时候,会弹出“拒绝访问”的窗口,说明,我们的目的已经达到: SSDT简介 SSDT 的全称是 System Services Descriptor Table,系统服务描述符表。 这个表
SSDT_HOOK
qq_36918532的博客
03-03 253
分别从静态,动态两种方法来hook 静态是直接根据openProcess的调用号0xbe 动态是防止地址发生改变或者其他,来动态函数索引进而HOOK的 #include<ntifs.h> #include<ntimage.h> //提供 PE结构 PULONG g_PageMapMemory = NULL; typedef struct _SSDTItem { PULONG FunAddressTable; ULONG Pknum; ULONG uIndexCount;
SSDT-HOOK
qq_31507523的博客
04-17 489
SSDT-HOOK
SSDT HOOK
qq_45844442的博客
06-22 248
1.首先通过MmCreateSection、MmMapViewInSystemSpace将ntdll加载到内存中,然后进行导出表搜索找到目标函数的服务号。2.然后通过内核导出的变量KeServiceDescriptorTable进而找到SSDT表。3.最后通过在SSDT表修改目标函数地址为自定义地址即可。
SSDTHook_ssdt_SSDTHook_
10-01
标题“SSDTHook_ssdt_SSDTHook_”暗示了这个压缩包可能包含了一个关于SSDT Hooking的工具或者教程。这个工具或教程可能是为了帮助用户理解和实践如何在Windows内核层面上进行系统服务的挂钩。 描述“ssdt hooking ...
src_过pg_过windowspg_64位SSDThook实现方法_过PG_
09-30
标题中的“src_过pg_过windowspg_64位SSDThook实现方法_过PG_”似乎是指一个关于在64位Windows系统下绕过Process Guard (PG)并通过修改System Service Dispatch Table (SSDT)实现hook的技术教程。描述中的“WINDOWS ...
ssdt_hook.rar_ssdt_ssdt hook_ssdt_hook_struct.h
09-21
标题“ssdt_hook.rar_ssdt_ssdt hook_ssdt_hook_struct.h”中提到了几个关键点: 1. **ssdt_hook.rar**:这是一个压缩包文件,可能包含了关于SSDT Hook的相关代码和资源。 2. **ssdt**:这是SSDT的缩写,表示我们要...
ssdt.Recover.21yu3:绕过卡巴斯基主动防御,加载驱动,unhook所有ssdt hook及shadow ssdt hook
05-06
ssdt.Recover.21yu3 ...然后DLL加载驱动,unhook所有ssdt hook及shadow ssdt hook 威力非常大的一份代码,当年没有流出是非常明智的。 如今win10已经面世,希望能给后来人借鉴的价值。 我现在的blog:
SSDT.zip_hook_hook nt_hook ssdt_ssdt_ssdt hook
09-23
在本压缩包中,"SSDT.zip_hook_hook nt_hook ssdt_ssdt_ssdt hook" 提到了几个关键概念,包括SSDT Hook、nt!zwReadVirtualMemory以及相关的hook技术。 1. SSDT Hook:这是一种技术,用于修改SSDT中的函数指针,以便...
ssdthook-hook
11-27
ssdthook
SSDT Hook 实现操作
04-13
实现了对注册表读写,与应用层进行规则交互,实现对应用程序的保护,隐藏,禁止打开基本操作
SSDT-hook,IDT-hook原理
fun0526的专栏
08-04 2515
<br /><br />【详细过程】<br />这次主要说说核心层的hook。包括SSDT-hook,IDT-hook,sysenter-hook。欢迎讨论,指正!内核层需要驱动,有这方面的基础最好,如果不会,了解下其中的思路也可以的。<br /><br />II. SSDT-hook,IDT-hook,sysenter-hook<br />一.SSDT-hook<br />(一)一般思路:<br />1.先来了解一下,什么是SSDT<br />SSDT既System Service Dispath Tab
HOOK SSDT
qq_41071646的博客
01-15 873
这篇文章是根据作者Tesla.Angela 在 看雪论坛 发布的文章所写 这个 X86还是比较好实现的  但是  X64 就有些绕了 而且   比较麻烦吧     其实x64做的保护 听容易看出来的   他先把ssdt 搞成动态 然后 又把 ssdt 放入的地址搞成偏移地址  这个让我有点奇怪     我先发一下  作者 Tesla.Angela的原话   知道了这一套机制,HOOK SS...
[内核安全2]内核态Rootkit之SSDT Hook
輚至消亡
12-06 635
/*++ * @Description * 主逻辑控制函数 * @Param * @Return * @Attention --*/ void Running(); /*++ * @Description * 不接收换行的从标准输入内收到键入,是一个安全函数 * * @Param * lpszBuf: 接受键盘输入的缓冲区 * uiSizeOfBuf: 描述lpszBuf的大小 * * @Return * 返回状态码 * * @Attention --*/ NTSTATUS kgets(OUT.
ShadowSSDT hook
kernweak的博客
06-01 409
ShadowSSDT保存在win32k.sys中,未导出,不是常驻内存。 采用硬编码,查到某些加载了shadowSSDT进程,所以找一个CSRSS进程,然后KeStackAttachProcess到一个有GUI线程的进程中,csrss.exe就刚好有。这个进程特征是句柄表中Portobject(type21)句柄是\\Windows\\ApiPort的PID就是就是。 然后考虑下标:下标只能硬...
API钩取技术研究(四)——SSDT Hook
最新发布
m0_55220082的博客
07-19 393
简单起见,我将要保护进程PID硬性编码为cmd.exe的PID。自定义钩取函数MyZwOpenProcess()的实现思路类似于IAT Hook中自定义钩取函数的实现思路,通过修改进程参数Desired Access的值为0,然后再将修改的参数传入正常调用的原ZwOpenProcess() API即可实现进程保护
逆向基础-Windows驱动开发【SSDT HOOK
AppWhite_Star的博客
08-01 1781
驱动开发,SSDT HOOK
SSDT HOOK技术实现Ring0级进程保护组件解析
经典教程 - 基于SSDTHOOK技术的Ring0级进程保护组件设计与实现" 这篇教程详细阐述了如何利用SSDT(System Service Descriptor Table)HOOK技术来设计和实现一个Ring0级别的进程保护组件。SSDT是Windows操作系统中的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值