内核层获取SSDT中函数原始地址

最新推荐文章于 2021-04-15 11:18:00 发布
最新推荐文章于 2021-04-15 11:18:00 发布
阅读量1.5k 收藏
点赞数
分类专栏: 驱动开发学习 文章标签: null
本文分享了一个内核层实现的工具,用于在Windows XP系统中获取SSDT(系统服务描述表)函数的原始地址,可用于检测和恢复被恶意软件篡改的SSDT hook。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

标 题:  【下载】内核层获取SSDT中函数原始地址
作 者: QEver
时 间: 2011-08-30,20:32:28
链 接: http://bbs.pediy.com/showthread.php?t=139524
昨天在看雪看到 《【下载】发个获得SSDT函数名和索引号的代码》 ,一时兴起整理了一份内核层根据ntdll.dll和nt模块文件来获取SSDT函数原始的地址的代码,可以用来检测和恢复SSDT hook。

没什么技术含量,不过这却是我第一次规规矩矩地写代码,花费了一下午的时间调整代码格式,填写注释。希望能够尽可能地使代码易读易用易维护,当然,现在依旧感觉有很多不如意的地方,包括安全性与函数的封装,都有很大的修改空间,不过还是选择了先贴出来,如果感觉不爽的,可以自己修改一下。

因为感觉中文混在代码中看起来很别扭,所以注释都使用的英文,这对一个六级没有通过的人来说,真不是件容易的事情( ),如果发现什么语法错误,请无视~~

最后,欢迎各位对代码的格式,注释的填写以及函数的封装等工程性的问题上提出建议~~


代码: 
/*++

Module Name:

  Entry.c

Abstract:

  A sample with ListSSDT.c .

--*/

#include "ListSSDT.h"



//
//  function declaration
//

DRIVER_UNLOAD UnloadMe;
DRIVER_INITIALIZE DriverEntry;

#ifdef ALLOC_PRAGMA

#pragma alloc_text(INIT, DriverEntry)
#pragma alloc_text(PAGE, UnloadMe)

#endif

NTSTATUS 
DriverEntry(
  IN PDRIVER_OBJECT DriverObject,
  IN PUNICODE_STRING RegistryPath)
/*++

Routine Description:

  Entry of driver.

Arguments:

  DriverObject - Pointer to driver object created by system.
  RegistryPath - Pointer to the Unicode name of the registry path
    for this driver.

Return Value:

  NT Status code

--*/
{
  NTSTATUS Status;
  ULONG NameLength;
  ULONG AddrLength;
  PVOID NameBuffer;
  PVOID AddrBuffer;
  PVOID AddrOrig;
  ULONG i;
  
  //
  //
  //Important Variables:
  //
  //  NameBuffer - Buffer to receive the function names of SSDT.
  //  AddrBuffer - Buffer to receive the current function address of SSDT.
  //  AddrOrig - Buffer to receive the original function address of SSDT.
  //
  //
  
  UNREFERENCED_PARAMETER( RegistryPath );

  //
  //  driver initialization
  //

  DriverObject->DriverUnload = UnloadMe;


  //
  //  get the size of all information.
  //

  Status = GetNeedLength( &NameLength, &AddrLength);

  if(!NT_SUCCESS(Status))
  {
    return Status;
  }

  //
  //  allocate memory
  //

  NameBuffer = ExAllocatePoolWithTag(NonPagedPool, NameLength, 'name');
  AddrBuffer = ExAllocatePoolWithTag(NonPagedPool, AddrLength, 'addr');
  AddrOrig = ExAllocatePoolWithTag(NonPagedPool, AddrLength, 'orig');

  if(NameBuffer == NULL)
  {
    return STATUS_UNSUCCESSFUL;
  }

  if(AddrBuffer == NULL)
  {
    ExFreePool(NameBuffer);
    return STATUS_UNSUCCESSFUL;
  }
  
  if(AddrOrig == NULL)
  {
    ExFreePool(NameBuffer);
    ExFreePool(AddrBuffer);
    return STATUS_UNSUCCESSFUL;
  }

  //
  //  get information
  //

  Status = GetSSDTInfo(NameBuffer, AddrBuffer, AddrOrig);


  //
  //  print result
  //

  if(NT_SUCCESS(Status))
  {
    for( i = 0; i < AddrLength/4; i++)
    {
      DbgPrint("%3d\t\t%s\t\t\t0x%08x\t0x%08x\n", 
           i, 
           (ULONG)NameBuffer + i * 0x32, 
           *(PULONG)((ULONG)AddrOrig + i * 0x04),
           *(PULONG)((ULONG)AddrBuffer + i * 0x04));
    }
  }


  //
  //  free memory
  //

  if(NameBuffer != NULL)
  {
    ExFreePool(NameBuffer);
    NameBuffer = NULL;
  }

  if(AddrBuffer != NULL)
  {
    ExFreePool(AddrBuffer);
    AddrBuffer = NULL;
  }
  if(AddrOrig != NULL)
  {
    ExFreePool(AddrOrig);
    AddrBuffer = NULL;
  }

  return Status;
}

VOID 
UnloadMe(
  IN PDRIVER_OBJECT DriverObject)
{
  UNREFERENCED_PARAMETER( DriverObject ); 

  //
  //  nothing to do
  //
}

添加一张截图:
名称: QQ截图20110830201507.jpg查看次数: 572文件大小: 176.4 KB

呃,最后说一句,这个程序只适合WinXp,Win7下不成功,没有调试,可能是由于用于定位的特征字节不对造成的~~~

ListSSDT.zip

SSDT获取原始服务地址的方法与原理(灯灯灯灯,我肥来了..)
GaA.Ra的自留地 in Csdn
11-18 7507
好吧,我胡汉三肥来了..(确实肥了- -),几个月没发什么文章.其实.我也只是一个新丁~欢迎大家交流,高手勿喷,谢谢合作^_^     对于SSDT,不知道的同学请自己百度,判断出SSDT被HOOK之后,如何恢复成原始服务地址?主要方法有两个,简单来说,一个Ring0,一个Ring3的方法(可能分类不够准确),我今天除了介绍方法之外,主要还是讲讲里面的原理吧,原理神马的才是最吸引人的对吧.
SSDT原始地址, 现在地址
Rootkit ﹏
09-28 719
<br />#include <windows.h> #include <winnt.h> #include <WindowsX.h> #include <commctrl.h> #include <stdio.h> #define ibaseDD *(PDWORD)&ibase HINSTANCE g_hInst; HWND hWinMain,hList; #define ID_LISTVIEW 104 #pragma comment(lib,"comctl32") typedef
获取内核函数原始地址
sgzwiz的专栏
04-29 3212
本文以获取NtReadVirtualMemory讲述当该函数被HOOK后如何获取到正确的地址为例,解析获取原始内核函数地址的一种思路。思路虽然比较笨拙,但是也不失为一种解决办法。    图片:1.bmp  上图中NtReadVirtualMemory函数被hook了,如果我们从SSDT获取函数地址,则获取到的函数地址为0XA1277AFE而不是原始函数地址0x805884F7,并且
获得SSDT函数
cqyczj的专栏
04-18 1836
代码:  ULONG GetSSDTName() {  KdBreakPoint();  if (KeGetCurrentIrql() > PASSIVE_LEVEL)  {   return STATUS_UNSUCCESSFUL;  }  //设置NTDLL路径  UNICODE_STRING uniFileName;  RtlInitUnicodeString(&uniFileName, 
SSDT索引号的获取
yjz1409276的专栏
11-30 2152
SSDT索引号的获取 系统服务描述符,System Service Dispatch Table,SSDT KeServiceDescriptorTable是由内核导出的。该拥有一个指针(其实仅有ntoskrnel一项,没有包含win32k),指向SSDT中包含由Ntoskrnl.exe实现的核心系统服务的相应部分,它是内核的主要组成部分。 typedef struct _Syst
R0层获取ShadowSSDT函数原始地址实例
11-20
本实例由VS2008开发,在提供了一套驱动开发框架的同时,又演示了如何获取Shadow SSDT函数原始地址的办法。 主要函数:ULONG GetShadowSSDT_Function_OriAddr(ULONG index); 原理说明: 根据特征码搜索导出函数...
获取SSDT,SSSDT原始函数地址
zhuhuibeishadiao
05-02 4726
SSDT 当前函数地址 = KiSeviceTable + *(KiServiceTalbe + index * 4); TableRVA = KiSeviceTable - 内核真实加载地址 ; ImageBase = 0x140000000;(理想加载地址) ImageKiSeviceTable = ImageBase + TableRVA; LoadDLLBase = LoadLi
Shadow SSDT服务函数原始地址
12-01
获取Shadow SSDT服务函数原始地址的过程通常涉及以下步骤: 1. **获取SSDT地址**:在用户模式下,我们无法直接访问内核数据结构,但可以通过一些API函数,如 ZwQuerySystemInformation 或 NtQuerySystemInformation...
掌握Shadow SSDT服务函数地址获取方法
在实际操作中,获取Shadow SSDT服务函数原始地址是一个复杂的技术过程,需要对Windows内核有充分的理解,同时还需要使用特殊的工具和方法。这些知识点是IT行业尤其是系统安全和内核开发领域专业人员必须掌握的技能。...
驱动级的隐藏进程代码,在驱动层通过替换ssdt地址中的函数来隐藏进程...
06-26
本篇将详细解释这种技术,并着重讨论如何在驱动层通过替换System Service Dispatch Table (SSDT)中的函数来实现进程隐藏。 驱动级编程是操作系统核心的一部分,允许程序在内核模式下运行,享有更高级别的权限。这种...
驱动SSDT未导出函数NtReadVirtualMemory.rtf
08-05
windows10获取SSDT未导出函数NtReadVirtualMemory详细步骤和代码,其他未导出函数同理
Windows内核函数
Masimaro的专栏
11-30 2137
字符串处理在驱动中一般使用的是ANSI字符串和宽字节字符串,在驱动中我们仍然可以使用C中提供的字符串操作函数,但是在DDK中不提倡这样做,由于C函数容易导致缓冲区溢出漏洞,针对字符串的操作它提供了一组函数分别用来处理ANSI字符串和UNICODE字符串。 针对两种字符串,首先定义了它们的结构体typedef struct _STRING { USHORT Length;//字符串的长度
驱动还原:恢复SSDT内核钩子(2)
weixin_30790841的博客
09-21 1195
SSDT 中文名称为系统服务描述符,该的作用是将Ring3应用层与Ring0内核层,两者的API函数连接起来,起到承上启下的作用,SSDT并不仅仅只包含一个庞大的地址索引,它还包含着一些其它有用的信息,诸如地址索引的基址、服务函数个数等,SSDT 通过修改此函数地址可以对常用 Windows 函数进行内核级的Hook,从而实现对一些核心的系统动作进行过滤、监控的目的。 通过前面...
一段获取ssdt及其中函数的简单代码
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-22 777
一段获取ssdt及其中函数的简单代码 typedef struct _SYSTEM_SERVICE_TABLE {     PNTPROC    ServiceTable ;    // array of entry points     PULONG    CounterTable ;    // array of usage counters . be NULL     U
发个获得SSDT函数名和索引号的代码
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-09 1920
通过枚举ntdll.dll的导出,先是判断是不是Nt开头的,是的话再判断第一要语句是不是mov eax,是的话再取得索引号。 具体见源码,没有什么技术含量。 只是觉得前面有很多人写过了,但是后面可能还有很多人写,所以丢出来,供大家娱乐一下。 引用: // 使用说明例子 #include "GetSSDTInformation.h" #include  i
HOOK SSDT获取 SSDT 函数地址
LYSM
06-24 623
背景 我们要开始向大家演示 SSDT HOOK 的使用方式,帮助我们的程序实现隐藏或是监控等工作。我们之前也一直提到过,在 32 位系统上,要想实现隐藏或是监控的操作,大多数操作就是对 SSDT 函数各种 HOOK,可以是 SSDT HOOK,也可以是 Inline HOOK。但,这些通过对 SSDT 内存修改而实现的操作,在 64 位系统上不再适用,因为 64 位系统的 Patch Guard 保护机制,把 SSDT 的内存作为重点保护对象,只要对 SSDT 的内存进行修改,都会触发 Patch Gua
[Windows 驱动开发] 驱动中获取函数地址
墨鱼菜鸡
04-15 281
跟ring3 GetProcAddress相似. PVOIDMmGetSystemRoutineAddress( PUNICODE_STRING SystemRoutineName ); 驱动程序可以使用这个例程...
ssdt函数索引号_技术分享 - 32位系统上获取SSDT地址以及从中获取指定SSDT函数地址...
weixin_39758953的博客
12-19 344
背景SSDT 全称为 System Services Descriptor Table,即系统服务描述符SSDT 的作用就是把 ring3 的 WIN32 API 函数和 ring0 的内核 API 函数联系起来。对于ring3下的一些API,最终会对应于 ntdll.dll 里一个 Ntxxx 函数,例如 CreateFile,最终调用到 ntdll.dll 里的 NtCreateFile...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值