ShadowSSdt HOOK

最新推荐文章于 2022-08-01 03:25:33 发布
最新推荐文章于 2022-08-01 03:25:33 发布
阅读量2.9k 收藏 5
点赞数 1
分类专栏: 驱动学习 文章标签: 防截屏 内核 sssdt shadowssdt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuhuibeishadiao/article/details/51114388
版权
本文详细介绍了ShadowSSDT技术,这是一种内核级别的防截屏方法,通过修改系统服务调度表(SSDT)创建阴影表来隐藏关键函数,增加了恶意软件检测的难度。内容包括ShadowSSDT的工作原理、实现过程及其在保护系统安全方面的应用。
摘要由CSDN通过智能技术生成
SHADOW表地址的获取。
CSRSS进程。system进程并没有载入win32k.sys,所以,要访问shadowssdt表,必须KeStackAttackProces到一个有GUI线程的进程中,而csrss.exe就是这样的一个合适的进程(管理Windows图形相关任务)
Index?硬编码
挂钩NtGdiBitBlt、NtGdiStretchBlt用于截屏保护 
挂钩NtUserSetWindowsHookEx 保护键盘钩子
http://blog.csdn.net/evi10r/article/details/6932607

http://blog.csdn.net/lionzl/article/details/7735483


代码:

#include "ShadowSsdt.h"

#pragma pack(1)
typedef struct ServiceDescriptorEntry {
	unsigned int *ServiceTableBase;
	unsigned int *ServiceCounterTableBase; //Used only in checked build
	unsigned int NumberOfServices;
	unsigned char *ParamTableBase;
} ServiceDescriptorTableEntry_t, *PServiceDescriptorTableEntry_t;
#pragma pack()
 __declspec(dllimport)  ServiceDescriptorTableEntry_t KeServiceDescriptorTable;

 REAL_NtGdiStretchBlt real_NtGdiStretchBlt;

 REAL_NtGdiBitBlt real_NtGdiBitBlt;

ULONG GetAddressOfShadowTable()
{
	ULONG i;
	UCHAR* p;
	ULONG dwordatbyte;

	UNICODE_STRING usKeAddSystemServiceTable;

	RtlInitUnicodeString(&usKeAddSystemServiceTable, L"KeAddSystemServiceTable");

	p = (UCHAR*)MmGetSystemRoutineAddress(&usKeAddSystemServiceTable);

	for (i = 0; i < 4096; i++,p++)
	{
		__try
		{
			dwordatbyte = *(ULONG*)p;
		}__except(EXCEPTION_EXECUTE_HANDLER)
		{
			return 0;
		}

		if(MmIsAddressValid((PVOID)dwordatbyte))
		{
			if(memcmp((PVOID)dwordatbyte, &KeServiceDescriptorTable, 16) == 0)    //比较的是地址指向的内容
			{
				if((PVOID)dwordatbyte == &KeServiceDescriptorTable)
				{
					continue;
				}
				return dwordatbyte;
			}
		}
	}
	return 0;
}


PDWORD NtGdiStretchBltAddr;
PDWORD NtGdiBitBltAddr;
BOOL flag = FALSE;
void StartHookShadow (void)
{
	DWORD SSDTShadowBaseAddr=GetAddressOfShadowTable()+0x10;//表基址所在地址  
	DWORD TableCount=SSDTShadowBaseAddr+0x8;//函数数量所在地址  
	DWORD dwCount=*((PDWORD)TableCount);  
	PDWORD Fun_Addr=(PDWORD)(*((PDWORD)SSDTShadowBaseAddr));  
	
	KdPrint(("ssdt shadow addr:0x%X  = 0x%X= 0x%X",SSDTShadowBaseAddr,
		*(PDWORD)SSDTShadowBaseAddr,Fun_Addr));  
	KdPrint(("数量是:%d",dwCount));  
	if (!MmIsAddressValid(Fun_Addr))
	{
		KdPrint(("Fun_Addr地址不可访问%X!",Fun_Addr));
		return;
	}
	NtGdiStretchBltAddr=Fun_Addr+292;  
	NtGdiBitBltAddr=Fun_Addr+13;  
	KdPrint(("NtGdiStretchBltAddr:%X",NtGdiStretchBltAddr));  
	KdPrint(("NtGdiBitBltAddr:%X",NtGdiBitBltAddr));  
	//Fun_Addr是KeServiceDescriptorTable表的首地址,但是一用*Fun_Addr就出现0x50的蓝屏代码
	//0x50 PAGE_FAULT_IN_NONPAGED_AREA Parameters 分页内存读取错误,但是这里没分配分页内存呢。
	KdPrint(("*Fun_Addr:%X",*Fun_Addr));  


	//保存原函数地址,SSDT HOOK是根据ZW函数地址硬编码得出的索引得到的函数地址  
	real_NtGdiStretchBlt&
最低0.47元/天 解锁文章
zhuhuibeishadiao
关注
专栏目录
Win64 驱动内核编程-22.SHADOW SSDT HOOK(宋孖健)
天使也掉毛
03-26 4817
SHADOWSSDTHOOK HOOK和UNHOOKSHADOWSSDT跟之前的HOOK/UNHOOKSSDT类似,区别是查找SSSDT的特征码,以及根据索引计算函数地址的公式,还有一个就是吧跳转函数写在什么位置,SSDT的时候是写在蓝屏函数里了。 一、获得wKeServiceDescriptorTableShadow的地址 这个跟获得KeServi...
ShadowSSDT的hook
weixin_42486644的博客
06-23 679
Windows X86下系统中一共有2个系统服务描述符表,保存在如下的结构体中: typedef struct _KSYSTEM_SERVICE_TABLE { PULONG ServiceTableBase; //服务表的基址 PULONG ServiceCounterTableBase; ULONG NumberService; ...
ShadowSSDT hook
kernweak的博客
06-01 424
ShadowSSDT保存在win32k.sys中,未导出,不是常驻内存。 采用硬编码,查到某些加载了shadowSSDT进程,所以找一个CSRSS进程,然后KeStackAttachProcess到一个有GUI线程的进程中,csrss.exe就刚好有。这个进程特征是句柄表中Portobject(type21)句柄是\\Windows\\ApiPort的PID就是就是。 然后考虑下标:下标只能硬...
Shadow SSDT详解、WinDbg查看Shadow SSDT
08-11 415
一、获取ShadowSSDT 好吧,我们已经在R3获取SSDT的原始地址及SDT、SST、KiServiceTbale的关系里面提到:所有的SST都保存在系统服务描述表(SDT)中。系统中一共有两个SDT,一个是ServiceDescriptorTable,另一个是ServiceDescriptorTableShadow。ServiceDescriptor中只有指向KiServic...
Hook Shadow SSDT
06-03 1353
作 者: sislcb时 间: 2008-06-02,23:21链 接: http://bbs.pediy.com/showthread.php?t=65931网上很多文章都有关于SSDT的完整的实现,但是没有关于Shadow SSDT的完整实现,目前最好的文章是《shadow ssdt学习笔记 by zhuwg》,我这里的程序也很多参考了他的文章,在这里谢谢了。我这里给出一个hook shado
ssdt.Recover.21yu3:绕过卡巴斯基主动御,加载驱动,unhook所有ssdt hookshadow ssdt hook
05-06
ssdt.Recover.21yu3 ...然后DLL加载驱动,unhook所有ssdt hookshadow ssdt hook 威力非常大的一份代码,当年没有流出是非常明智的。 如今win10已经面世,希望能给后来人借鉴的价值。 我现在的blog:
易语言Shadow ssdt HOOK恢复
05-19
在IT安全领域,"Shadow SSDT HOOK"是一个重要的概念,尤其在逆向工程和系统保护技术中扮演着关键角色。 SSDT(System Service Dispatch Table)是Windows操作系统中的一个核心组件,它存储了系统服务的入口点,这些...
Hook Shadow SSDT
Tommy(凌飞)的专栏
11-20 1648
网上很多文章都有关于SSDT的完整的实现,但是没有关于Shadow SSDT的完整实现,目前最好的文章是《shadow ssdt学习笔记 by zhuwg》,我这里的程序也很多参考了他的文章,在这里谢谢了。我这里给出一个hook shadow ssdt的完整实现的驱动和3层的代码。 这里主要是hook 了 NtUserFindWindowEx,NtUserBuildHwndList,NtUse
shadow ssdt学习笔记(一)(二)
05-06 1148
作 者: zhuwg时 间: 2007-12-22,22:01链 接: http://bbs.pediy.com/showthread.php?t=569551。取得shadow ssdt真实地址系统只提供了KeServiceDescriptorTable导出KeServiceDescriptorTableShadow是个未导出结构定义Copy code    typedef struct _SY
Shadow SSDT
crkres9527
09-28 471
 A、Shadow SSDT表基址定位    B、Shadow SSDT表结构    C、Shadow SSDT HOOK KeServiceDescriptorTable //系统描述符表 extern KeServiceDescriptorTableShadow //影子系统描述符表  win32k.sys bp win32k!NtUserPostMessage bp win32k...
谈谈 通杀SSDT hookShadow SSDT hook的方法
cqyczj的专栏
04-25 1577
链 接: http://bbs.pediy.com/showthread.php?t=143987 有点纠结,不知道应不应该发,本来想多攒点东西,留着以后找工作。毕竟说空话被bs过。其实技术含量也不高,耐心研究下都能实现。发出来了,权当促进游戏保护和反保护事业的发展吧。大牛飘过吧,那些还没成为大牛就开始倚老卖老喜欢对刚入门的小菜指手画脚的,时不时的来一句“别瞎鼓捣了,你应该从这学起,你应该从
shadow ssdt学习笔记
03-22 1077
1。取得shadow ssdt真实地址系统只提供了KeServiceDescriptorTable导出KeServiceDescriptorTableShadow是个未导出结构定义typedef struct _SYSTEM_SERVICE_TABLE{      PNTPROC  ServiceTable;  // array of entry points      PDWORD  Count
ShadowSSDT Hook
倒计时
12-26 3435
ShadowSSDT表的获取 这里的ShadowSSDT表的获取是通过函数KeAddSystemServiceTable来获取的。 使用这个函数的原因: 1、这个函数是已经导出的,可以在代码中直接使用。 2、这个函数里面使用了ShadowSSDT,包含了ShadowSSDT的地址。 可以使用WinDbg查看该函数代码,如下: kd> u KeAddSystemServiceTabl
【原创】shadow ssdt学习笔记(二)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
08-14 1365
三。如何hook 似乎这个问题并不大,shadow ssdt和ssdt本质上都是1个地址表,最为简单的方法是把你的函数替换地址表的对应项,具体hook代码甚至可以完全照抄ssdt的,这里只说1下几个偶遇到的小问题 1。win32k.sys不是常在内存的,如果不是GUI线程,shadow ssdt地址无效 解决办法: 1。在driverdispatch中hokk driverdispatc
重载ShadowSSDT
08-19 778
系统环境:WIN732位 重载内容:两张系统服务调度表 ,传说的SSDT和ShadowSSDT 作用:通过重载内核,可以饶过各大著名驱动保护的HOOK.极少数例外. 重载方式:挂勾系统三环和零环的主要通道KiFastCallEntry,然后改变自己的进程,通过新内核. 实现环境:NT式驱动环境 核心步骤;一,以PE文件在内存中的对齐方式将内核文件和WIN32K.sys读取到内存中.
WINDOWS内核学习笔记1—Shadow SSDT表
rosykee的专栏
10-09 882
近期学习内核
逆向基础-Windows驱动开发【SSDT HOOK
AppWhite_Star的博客
08-01 1812
驱动开发,SSDT HOOK
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值