内核编程之SSDTHook(3)Hook NtCreateSection监控所有可执行模块加载

最新推荐文章于 2020-12-03 20:34:24 发布
最新推荐文章于 2020-12-03 20:34:24 发布
阅读量5.5k 收藏 8
点赞数 2
分类专栏: 驱动开发 文章标签: Windows驱动开发 驱动开发 SSDTHook 内核编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zuishikonghuan/article/details/50924829
版权

本博文由CSDN博主zuishikonghuan所作,版权归zuishikonghuan所有,转载请注明出处:http://blog.csdn.net/zuishikonghuan/article/details/50924829

在上两篇博文中,我介绍了SSDTHook的原理,并给出了一个实例--通过Hook NtOpenProcess来实现进程保护:http://blog.csdn.net/zuishikonghuan/article/details/50765464

这次我们玩个更好玩的,拦截所有可执行模块的载人!杀软都有这种功能,当一个程序运行时,他能得到具体路径,检查是否安全后,还可以通知用户询问是否允许运行。

这么有趣的功能,要如何实现呢,其实出了hook也有办法,但是我们现在研究的是hook,就hook ssdt吧,那么问题来了,要hook那个系统服务函数呢?在用户模式创建进程,大家一下就会想到CreateProcess,然后想到CreateProcessAsUser等,正好SSDT里有一个NtCreateProcess,很多人想当然就想到要hook这个(其实我当时也是),其实我们有一个捷径,我们可以hook这个函数:NtCreateSection(NT 5.x,2000-XP)或NtCreateUserProcess(NT 6.x,NT 10.x,Vista-W10)当一个可执行模块载人时,系统会先调用NtCreateFile来打开文件,创建文件对象,然后调用NtCreateSection,再调用NtCreateProcess,然后再完成一些其他工作,比如创建线程,通知Win32子系统,因此我们可以Hook这个系统服务函数来拦截可执行模块的载人,但在Vista以后,系统不会再调用NtCreateSection,而是整个过程统统交给了NtCreateUserProcess来处理,但是这不以为着在Vista+对NtCreateSection做hook一点价值都没有,其实,DLL的载人内存也需要经过这一个过程,因此我们可以通过对这个函数做hook实现对DLL载人的监控和拦截,再退一步说,如果我们想在XP上监控和拦截进程的创建,就要hook NtCreateSection。

我们首先来看看NtCreateSection的原型:

NTSTATUS ZwCreateSection(
  _Out_    PHANDLE            SectionHandle,
  _In_     ACCESS_MASK        DesiredAccess,
  _In_opt_ POBJECT_ATTRIBUTES ObjectAttributes,
  _In_opt_ PLARGE_INTEGER     MaximumSize,
  _In_     ULONG              SectionPageProtection,
  _In_     ULONG              AllocationAttributes,
  _In_opt_ HANDLE             FileHandle
);

Windows加载所有的可执行模块在参数 SectionPageProtection 和 AllocationAttributes 与普通的映射文件有所区别,具有以下特点:


                

        

        

    




        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  zuishikonghuan
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    2
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    8
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
SSDT——框架编写与hook实例

				
			

			

				

					qq_42882717的博客
				

				

					04-30
					
					426
					
				

			

		

		

			
				
SSDT——hook与框架SSDT框架综述SSDThook综述三级目录
SSDT框架综述
SSDT Hook 框架可不是大伙眼里的什么 .Net 框架啊,MVC 框架啊之类的,没那么复杂,算到底也就是一个 .cpp 和一个 .h 的文件而已,然后再在其中对外公开几个 API 即 OK 了 ~
SSDThook综述
ssdt竟然是一个数组,那么我们就需要先得到这个数组的首地址,于是这个结构就出来了。
typedef struct ServiceDescriptorEntry {
    unsigned in

			
		

	



                

              
                



	

		

			

				
					
Windows进程间通信(一)

				
			

			

				

					gaodezheng的专栏
				

				

					04-22
					
					1142
					
				

			

		

		

			
				
 对于任何一个现代的操作系统,进程间通信都是其系统结构的一个重要组成部分。而说到Windows的进程(线程)间通信,那就要看是在什么意义上说了。因为正如“Windows的跨进程操作”那篇漫谈中所述,在Windows上一个进程甚至可以“打开”另一个进程,并在对方的用户空间分配内存、再把程序或数据拷贝过去,最后还可以在目标进程中创建一个线程、让它为所欲为。显然,这已经不只是进程间的“通信”,而是进程间

			
		

	



                


  
              

                


	

		

			

				
					
驱动监控进程的创建

				
			

			

				

					
				

				

					06-03
					
					1923
					
				

			

		

		

			
				
作 者: hljleo时 间: 2008-05-31,12:32链 接: http://bbs.pediy.com/showthread.php?t=65772这是我在http://www.codeproject.com .学习时看到的一个驱动程序,学习后对其整理的笔记下面这个驱动程序的作用:监控准备运行的可执行文件。(由用户决定是不是让它运行)所以我们要做以下工作:首先是修改(NtCreateS

			
		

	





	

		

			

				
					
win 64 SSDT HOOK

				
			

			

				

					weixin_30815469的博客
				

				

					10-01
					
					251
					
				

			

		

		

			
				
以下内容参考黑客防线2012合订本第294页

其实没什么好说的,直接上代码:
ssdt的结构,和win32差不多,但是要注意这里的指针类型不能用ULONG替代,如果要非要替代应该用ULONGLONG,原因就不说了.

//SSDT的结构
typedef struct _SystemServiceDescriptorTable
{
    PVOID    ServiceT...

			
		

	



		

			
		



	

		

			

				
					
转帖 SSDT HOOK拦截远线程的创建(上)

				
			

			

				

					zhuerhua的专栏
				

				

					06-01
					
					928
					
				

			

		

		

			
				
<br />  在ring3的API HOOK中,怎样迫使目标进程调用我们的傀儡DLL是我们非常重视的一个问题。在多数情况下,我们都喜欢使用CreateRemoteThread在目标进程中创建一个远程线程来迫使它加载我们的DLL。<br /> 因为CreateRemoteThread的使用方法并不复杂,而且与其他方式相比,它可以称得上是一种相当“优雅”的做法。各种因素的汇集就导致了这种方法的泛滥,致使很多具备主动防御或行为监控的安全软件都加强了对这个函数的照顾。<br />      最近在自己的毕业设计中

			
		

	





	

		

			

				
					
SSDTFunction_64_Test_Windows编程_ssdthook_

				
			

			

				

					10-02
				

			

		

		

			
				
标题“SSDTFunction_64_Test_Windows编程_ssdthook_”暗示了这是一个关于在Windows 7系统中实现SSDT(System Service Dispatch Table)钩子函数的项目。SSDT是Windows内核的一个核心组件,它包含了操作系统对外提供...

			
		

	





	

		

			

				
					
SSDT Hook_内核_x86_ssdthook_驱动_

				
			

			

				

					10-03
				

			

		

		

			
				
它不仅展示了如何在x86环境下操作SSDT,还可能涉及调试技巧、内核模块加载和卸载机制、以及驱动程序的签名和安全策略等内容。通过阅读和分析源代码,开发者可以更深入地理解Windows操作系统的工作原理和系统服务的...

			
		

	





	

		

			

				
					
ssdt hook监控进程,注册表,内核模块加载_禁止程序运行 禁止修改注册表 禁止加载sys文件.zip

				
			

			

				

					01-25
				

			

		

		

			
				
3. 内核模块加载监控内核模块是扩展操作系统功能的代码,通常以.sys文件形式存在。当内核模块加载时,它们会插入到内核中,可能影响系统的运行。通过Hook SSDT中的系统服务,如nt! ZwLoadDriver,可以拦截并...

			
		

	





	

		

			

				
					
SSDTHook_ssdt_SSDTHook_

				
			

			

				

					10-01
				

			

		

		

			
				
在压缩包中的“SSDHook”文件,可能是实现SSDT Hooking的源代码、可执行文件、文档或教程。它可能包含了如何查找SSDT表,如何获取系统服务的原函数地址,如何创建钩子函数,以及如何在内核模式下安全地应用这些钩子...

			
		

	





	

		

			

				
					
ssdt-hook.rar_4 3 2 1_hook_hook ssdt_ssdt_ssdt hook

				
			

			

				

					09-19
				

			

		

		

			
				
1。获取ssdt函数个数 2。获取ssdt函数表中的所有函数 3。hook ZwQuerySystemInformation 4。unhook ZwQuerySystemInformation 5。根据用户给定的函数地址和ssdt表中的索引,修改ssdt表。

			
		

	





	

		

			

				
					
Hook NtCreateSectionSSDT实现

				
			

			

				

					10-29
				

			

		

		

			
				
这个我学习天书夜读后的大作业。尽管SSDT没有前途了,不过还是可以玩玩的

			
		

	





	

		

			

				
					
APT视频教程

				
			

			

				

					12-13
				

			

		

		

			
				
这套课程主要给大家讲解什么是APT,APT是如何攻击的,国外有哪些组织用一般用的什么手段,内容涉及到APT攻击模拟,样本分析,流量分析,特征提取。

			
		

	





	

		

			

				
					
易语言api hook CreateFileA

				
			

			

				

					511遇见
				

				

					05-27
					
					3932
					
				

			

		

		

			
				
当调用CreateFileA创建文件时,我们劫持它,hook成我们自己的东西,易语言里的写到文件就是API(CreateFileA )

hook 说明

1、未hook前会生成一个111.txt,内容是“1111111111”


写到文件 (取运行目录 () + “\111.txt”, 到字节集 (“1111111111”))

2、hook后就会转向我们自定义的MyCreateFileA


h.安装Hook (“kernel32”, “CreateFileA”, 到整数 (&MyCreate

			
		

	





	

		

			

				
					
lmdb编译过程中出现无法解析的外部符号 NtCreateSection

				
			

			

				

					SnailTyan
				

				

					01-29
					
					3894
					
				

			

		

		

			
				
lmdb编译过程中出现无法解析的外部符号 NtCreateSectionNtClose、NtMapViewOfSection

			
		

	





	

		

			

				
					
HOOK来修改API函数的功能(2)-创建文件

				
			

			

				

					weixin_34124651的博客
				

				

					06-20
					
					269
					
				

			

		

		

			
				
上次写了如何使用HOOK的方法修改API函数的功能,来对注册表进行保护。对于对注册表操作的函数还有ZwDeleteKey、ZwDeleteValueKey、ZwOpenKey等等,对这些函数的HOOK和我上面写的方法是一样的。今天我来写一下如何对文件操作的API函数来HOOK。在我们编程中经常使用CreateFile函数来创建文件。其实对于系统来说,当我们使用右键点击并选择“新建”中的创建文件的时...

			
		

	





	

		

			

				
					
SSDT Hook底层原理介绍以及如何实现进程保护

				
			

			

				

					linuxguitu的博客
				

				

					12-03
					
					927
					
				

			

		

		

			
				
目录

SSDT Hook效果图
	SSDT简介
	SSDT结构
	SSDT HOOK原理
	Hook前准备
	如何获得SSDT中函数的地址呢
	SSDT Hook流程
	SSDT Hook实现进程保护
SSDT Hook效果图

加载驱动并成功Hook NtTerminateProcess函数:



当对 指定的进程进行保护后,尝试使用“任务管理器”结束进程的时候,会弹出“拒绝访问”的窗口,说明,我们的目的已经达到:



SSDT简介

SSDT 的全称是 System Services Descr.

			
		

	





	

		

			

				
					
linux内核钩子--khook

				
			

			

				

					weixin_30897233的博客
				

				

					06-03
					
					1014
					
				

			

		

		

			
				
简介
本文介绍github上的一个项目khook,一个可以在内核中增加钩子函数的框架,支持x86。项目地址在这里:https://github.com/milabs/khook
本文先简单介绍钩子函数,分析这个工具的用法,然后再分析代码,探究实现原理
钩子
假设在内核中有一个函数,我们想截断他的执行流程,比如说对某文件的读操作。这样就可以监控对这个文件的读操作。这就是钩子。通过插...

			
		

	





	

		

			

				
					
Vt  hook ssdt

					
最新发布

				
			

			

				

					12-31
				

			

		

		

			
				
Vt hook ssdt是一种技术,用于在操作系统内核中拦截和修改系统服务调用。通过Vt(Virtualization Technology)技术,可以在操作系统运行时对系统服务进行动态修改,从而实现对系统行为的控制和修改。  以下是一个Vt ...

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值