更加稳定的HOOK SSDT(通过MDL方式)

最新推荐文章于 2022-08-01 03:25:33 发布
原创 最新推荐文章于 2022-08-01 03:25:33 发布 · 4.9k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#hook #function #null

针对多核CPU中修改cr0寄存器后写入SSDT可能导致的不稳定性,本文提出了一种使用MDL(Memory Descriptor List)的更稳定方法来实现SSDT Hook。代码实现包括HOOK_SYSCALL、UNHOOK_SYSCALL和SYSCALL_INDEX的定义。

传说修改cr0寄存器后再写SSDT在多核CPU不稳定,因此提供一个更加稳定的写SSDT表的方式,代码如下

//
//  挂钩函数
 //
 BOOL HookSSDT()
 {
    PMDL pMdlSystemCall = NULL;
    DWORD * MappedSystemCallTable = 0;
       pMdlSystemCall = IoAllocateMdl(
                                   KeServiceDescriptorTable->ntoskrnl.ServiceTable,
                                   KeServiceDescriptorTable->ntoskrnl.CounterTable*4
                                   0,
                                   0,
                                   NULL
                                   );
       if(!pMdlSystemCall)
          return FALSE;
最低0.47元/天 解锁文章
galihoo
关注
SSDTHook实现解析(x86)
KOOKNUT的博客
02-18 561
在说到SSDTHook实现之前,我们首先来了解一下Win32API的调用过程,我们以ReadFile()为例,来看看从Ring3层到Ring0层的调用过程: 在一个Ring3进程Test.exe中调用ReadFile()函数,此时我们调用的是kernel32.dll中的导出函数,接下来ReadFile()会调用到位于ntdll.dll中的NtReadFile()或者ZwReadFile(),在nt...
SSDT Hook底层原理介绍以及如何实现进程保护
linuxguitu的博客
12-03 1099
目录 SSDT Hook效果图 SSDT简介 SSDT结构 SSDT HOOK原理 Hook前准备 如何获得SSDT中函数的地址呢 SSDT Hook流程 SSDT Hook实现进程保护 SSDT Hook效果图 加载驱动并成功Hook NtTerminateProcess函数: 当对 指定的进程进行保护后,尝试使用“任务管理器”结束进程的时候,会弹出“拒绝访问”的窗口,说明,我们的目的已经达到: SSDT简介 SSDT 的全称是 System Services Descr.
SSDTHookMDL
kernweak的博客
09-03 1670
SSDT HOOK 首先要明白SSDTHOOK就是自己再写一份函数,替换了SSDT表中的地址替换掉 如何访问系统服务表呢? SSDT 的全称是 System Services Descriptor Table,系统服务描述符表 下面这个是个全局变量 kd> dd KeServiceDescriptorTable(SSDT) 这个导出的 声明一下就可以使用了 kd&g...
MDL 中实际包含的内容是什么?
weixin_34347651的博客
10-12 204
MDL 中实际包含的内容是什么? 更新日期: 2008年01月11日 内存描述符列表 (MDL) 是一个系统定义的结构,通过一系列物理地址描述缓冲区。执行直接 I/O 的驱动程序从 I/O 管理器接收一个 MDL 的指针,并通过 MDL 读写数据。一些...
钩住SSDT以及隐藏进程的代码HideProcessHookMDL
02-11
钩住SSDT以及隐藏进程的代码HideProcessHookMDL
使用MDL读写内存的SSDT HOOK
kernweak的博客
05-30 2485
X64下有patchguard,所以先讨论x86的 思路 首先找到函数地址,如果是导出函数,可以使用MmGetSystemRoutineAddress,如果未导出加载符号通过特征码 实现新新函数替换原函数 恢复函数 关于系统从应用层进入内核,xp前是int2e,之后32位是sysenter,64是syscall https://bbs.pediy.com/thread-226254.h...
SSDT表函数Hook原理
墨鱼菜鸡
06-25 308
其实SSDTHook的原理是很简单的,我们可以知道在SSDT这个数组中呢,保存了系统服务的地址,比如对于Ring0下的NtQuerySystemInformation这个系统服务的地址,就保存在KeServiceDescriptorTable[105h]中(计算公式address...
MDL绕过SSDT内存保护
05-06
"MDL绕过SSDT内存保护" 在写驱动保护进程时,通过修改SSDT是一个很有效的方法,但是系统对SSDT都是只读的,不能写。如果试图去写,肯定会很现实的给你蓝脸,当然这种保护很容易被绕过,其中一种就是MDL绕过。 MDL...
基于SSDT Hook的进程隐藏Rootkit技术分析
而采用MDL方式则更为隐蔽和稳定:通过MmCreateMdl创建对SSDT所在内存区域的映射,再调用MmMapLockedPagesSpecifyCache将其映射为可写内存页面,从而合法地获取对SSDT的写访问权限,避免直接操作CR0带来的风险。...
学习笔记-SSDT_HOOK
a2a_66666的博客
08-31 312
0x00SSDT:   SSDT 的全称是 System Services Descriptor Table,系统服务描述符表。   内核中有两个系统服务描述符表,一个是KeServiceDescriptorTable,另一个是KeServieDescriptorTableShadow。   KeServiceDescriptorTable 主要是处理来自 Ring3 层得 Ke...
Hook集合----SSDTHook(x86 Win7)
qq_42021840的博客
03-30 294
最近在学习Ring0层Hook的一些知识点,很久就写完SSDTHook的代码了,但是一直没有整理成笔记,最近有时间也就整理整理。 介绍: SSDTHook 实质是利用Ntoskrnl.exe 中全局导出的SSDT来进行HookSSDT(SystemServiceDescriptorTable,系统服务描述表),为什么要去用到SSDT表呢? 我们看一下Zw...
初步认识MDL
热门推荐
chenyujing1234的专栏
12-17 1万+
一、 内存描述符列表 (MDL) 是一个系统定义的结构,通过一系列物理地址描述缓冲区。执行直接 I/O 的驱动程序从 I/O 管理器接收一个 MDL 的指针,并通过 MDL 读写数据。一些驱动程序在执行直接 I/O 来满足设备 I/O 控制请求时也使用 MDL。 驱动程序编写人员不应该假设 MDL 描述的内存页的顺序或内容。驱动程序不得依赖于 MDL 指向的任何位置的数据值,并且不应该直接取消
驱动使用 MDL 方式读写内存
LYSM
06-24 7551
背景 通常,我们在内核中修改内存的时候,都是通过修改 CR0 寄存器,关闭内存写保护属性,然后再写入内存的方式来修改内存。我个人不喜欢这种方式,因为总感觉我们使用没有线程接口函数的方法,总感觉不太稳定,而且,在 64 位程序下,CR0 方式不再适用了。 所以,我强烈推荐在内核下使用 MDL 方式来修改内存,在 32 位内核和 64 位内核下同样有效。 实现过程 内存描述符列表 (MDL) 是一个系统定义的结构,通过一系列物理地址描述缓冲区。MDL的全称是 Memory Descriptor List,即内存
MDL 内存映射实现HOOK
Doub1's Blog
04-11 1272
简单的NT式驱动 typedef NTSTATUS (*REALZWQUERYDIRECTORYFILE)(IN HANDLE hFile, IN HANDLE hEvent OPTIONAL, IN PIO_APC_ROUTINE IoApcRoutine OPTIONAL, IN PVOID IoApcContext OPTIONAL, OUT PIO_STATUS_BLOCK pIoSt...
通过MDL实现CR0的WP功能
weixin_34357928的博客
10-12 326
前段时间在群里有人问起什么是MDL,当时三言两语也不知道解释清楚了没,今天闲着无事,索性记录下来吧,就当是做个笔记,以后忘了也好查阅。 我们知道,系统中一些重要的表项如SSDT是只读的,如果我们强行对其进行修改就会造成BSOD的严重后果。当然这种保护方式很容易被绕过,我们曾经介绍了通过修改cr0来禁用WP(Write Protect,写保护)位的方法,现在再介绍一种不需要使...
逆向基础-Windows驱动开发【SSDT HOOK
AppWhite_Star的博客
08-01 2104
驱动开发,SSDT HOOK
SSDT Hook实现内核级的进程保护
曾是土木人
06-29 8594
SSDT Hook效果图 加载驱动并成功Hook  NtTerminateProcess函数: 当对 指定的进程进行保护后,尝试使用“任务管理器”结束进程的时候,会弹出“拒绝访问”的窗口,说明,我们的目的已经达到: SSDT简介 SSDT 的全称是 System Services Descriptor Table,系统服务描述符表。 这个表
Windows简单驱动编程(三):SSDT HOOK
yan_star的博客
12-09 721
ssdt hook NtOpenProcess win7 32环境,注释已标明一些解释 #include <ntddk.h> #include <ntstatus.h> ULONG uOldNtOpenProcess; //定义system_service_table结构体 typedef struct _KSYSTEM_SERVICE_TABLE { PULO...
SSDTHook实例--编写稳定Hook过滤函数
aofan9566的博客
01-02 284
解说怎样写Hook过滤函数,比方NewZwOpenProcess。打开进程。非常多游戏保护都会对这个函数进行Hook。因为我们没有游戏保护的代码,无法得知游戏公司是怎样编写这个过滤函数。 我看到非常多奇形怪状的Hook过滤函数的写法。看得蛋痛无比。比方: http://bbs.pediy.com/showthread.php?t=126802 http://bbs.p...
掌握进程源码保护:使用HOOK SSDT隐藏技术
Hook SSDT是通过替换或者修改SSDT表项来达到隐藏或者保护进程的目的。这是一种在内核级别拦截系统服务调用的方法。通过这种方式,恶意软件或者安全程序可以替换某些系统调用的处理函数,使得它们能在不被发现的情况...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值