Kaspersky 7.0 HOOK SSDT分析

最新推荐文章于 2024-12-04 12:41:12 发布
最新推荐文章于 2024-12-04 12:41:12 发布
阅读量1.8k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 病毒汇编和调试逆向技术加脱壳 windows底层核心編程 文章标签: hook 测试 windows mobile email byte
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/iiprogram/article/details/2220574
本文详细解析了卡巴斯基反病毒软件如何通过逆向工程手段向系统服务函数表(SSDT)注入自定义服务函数的过程。文章深入介绍了驱动程序如何通过修改SSDT表来实现HOOK技术,为读者提供了实现类似功能的指导。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

作者:Cloud
Email:shangguanwan2@yahoo.cn
2007-11-6

一、 测试版本和环境
卡巴斯基反病毒软件7.0 版本7.0.0.125d (简体中文版)
平台:Windows XP Professional(5.1,版本2600)
   Mobile Inter? Celeron? CPU 1.60GHz
工具:IDA Version 5.0.0.879(32bit)
目标文件:卡巴的核心驱动klif.sys,位于SystemDirectory/system32/drivers目录下

二、目标
通过逆向工程,分析卡巴是怎样向系统服务函数表(SSDT)添加自己的服务函数的,并写出自己的实现。

三、 分析
使用IDA分析在sub_291A0处发现驱动向SSDT添加自己的系统服务函数。基本流程就是分配内存,构造一个自己的SSDT,再把系统的KeServiceDescriptorTable改为指向这个构造的SSDT。最后还要修改一个叫KeAddSystemServiceTable的结构。

下面来一步一步分析:

sub_291A0 proc near

var_pKeAddSystemServiceTable= dword ptr -8
var_NewSerNum= dword ptr -4

sub     esp, 8
mov     eax, ds:KeServiceDescriptorTable
push    ebx
push    ebp
push    esi
mov     esi, [eax+8]
push    edi
add     esi, 0Dh        ; 增加SSDT的服务函数的数目,
                        ; 之后会添加一些自己的系统服务
mov     [esp+18h+var_NewSerNum], esi
call    CheckKeAddSystemServiceTable
test    eax, eax
mov     [esp+18h+var_pKeAddSystemServiceTable], eax
jnz     short loc_291D0

驱动先取得SSDT表的指针,获取系统服务数目,保存在esi中,然后把它增大0Dh(13d),之后会增加13个自己的系统服务到SSDT。然后调用了CheckKeAddSystemServiceTable,在这个函数中将KeAddSystemServiceTable函数代码所在的页进行确认,确保代码全部被交换到内存中。返回后eax保存的就是KeAddSystemServiceTable函数的地址。

loc_291D0:
mov     ecx, ds:KeServiceDescriptorTable
mov     edi, ds:ExAllocatePoolWithTag
lea     eax, ds:0[esi*4]
push    2D536542h       ; Tag
mov     edx, [ecx+8]    ; ecx+8,指向SSDT中系统服务数
push    eax             ; NumberOfBytes
push    0               ; PoolType
mov     ds:NumOfOldSSDT, edx
call    edi ; ExAllocatePoolWithTag ; 在SSDT中分配空间以保存自定义的
                        ; 服务函数
mov     ebx, eax
test    ebx, ebx
jz      loc_29352

然后开始分配内存保存自定义的SSDT,大小等于新的系统服务数*4,返回的地址保存在ebx。

push    2D536542h       ; Tag
push    esi             ; NumberOfBytes
push    0               ; PoolType
call    edi ; ExAllocatePoolWithTag
mov     ebp, eax
test    ebp, ebp
jz      loc_2934B
接着在再次分配内存,大小esi,用于保存参数表。返回的地址在ebp。然后就开始构造SSDT和SSPT。

mov     eax, ds:KeServiceDescriptorTable
mov     edi, ebx
mov     ecx, [eax+8]
mov     esi, [eax]      ; 取得SSDT的基地址
shl     ecx, 2          ; 即ecx*4
mov     eax, ecx
shr     ecx, 2          ; 将整个SSDT复制到
                        ; 刚才第一次分配的内存中
rep movsd
mov     ecx, eax
and     ecx, 3
rep movsb
mov     eax, ds:KeServiceDescriptorTable
mov     edi, ebp
mov     ecx, [eax+8]
mov     esi, [eax+0Ch]  ; [eax+0ch]指向参数表的基地址
mov     edx, ecx        ; 复制参数表
shr     ecx, 2
rep movsd
mov     ecx, edx
and     ecx, 3
rep movsb
mov     eax, ds:KeServiceDescriptorTable
mov     esi, offset off_33D0C ; 这里的off_33D0C指向的就是卡巴自己的
                        ; 系统服务,分析卡巴逻辑最重要的就是这里
mov     ecx, [eax+8]
lea     edi, [ebx+ecx*4]
mov     ecx, 0Dh        ; 复制自定义系统服务到刚才
                        ; 第一次分配的内存中去
rep movsd
mov     edx, ds:KeServiceDescriptorTable
mov     ecx, dword_33D40 ; 这是卡巴自己的服务函数的参数信息
                        ; 拷贝这些信息到SSPT中去
xor     esi, esi
mov     eax, [edx+8]
add     eax, ebp
mov     [eax], ecx
mov     edx, dword_33D44
mov     [eax+4], edx
mov     ecx, dword_33D48
mov     [eax+8], ecx
mov     dl, byte_33D4C
mov     [eax+0Ch], dl   ; 至此,已经构造了一个完整的SSDT
mov     eax, ds:KeServiceDescriptorTable
cmp     [eax+4], esi
jz      short loc_29310

以上注释写得很清楚,就不说了。最后的地方它测试KeServiceDescriptorTable结构的ServiceCounterTableBase成员,等于零就可以修改KeServiceDescriptorTable,完成HOOK。不等于零的情况下会重新分配内存换一种方式构造SSDT,如果你有兴趣可以自己分析。

loc_29314:
mov     ecx, ds:KeServiceDescriptorTable
pop     edi
pop     esi
mov     [ecx], ebx      ; 修改SSDT entry,指向卡巴构建的SSDT
mov     edx, ds:KeServiceDescriptorTable
mov     ecx, [esp+10h+var_NewSSDTNum]
mov     [edx+0Ch], ebp  ; 修改参数表地址
mov     edx, ds:KeServiceDescriptorTable
mov     [edx+8], ecx    ; 更新服务数目
mov     [eax+0Ch], ebp
mov     [eax], ebx
mov     [eax+8], ecx
pop     ebp             ; 从这里的操作来看,KeAddSystemServiceTable
                        ; 和KeServiceDescriptorTable的结构应该是相同的
mov     ds:flag_bSuccess, 1 ; 修改标志,成功
xor     eax, eax
pop     ebx
add     esp, 8
retn

OK,分析完毕。根据以上分析,你完全可以写一个自己的实现代码。 

SSDTHook实现解析(x86)
KOOKNUT的博客
02-18 473
在说到SSDTHook实现之前,我们首先来了解一下Win32API的调用过程,我们以ReadFile()为例,来看看从Ring3层到Ring0层的调用过程: 在一个Ring3进程Test.exe中调用ReadFile()函数,此时我们调用的是kernel32.dll中的导出函数,接下来ReadFile()会调用到位于ntdll.dll中的NtReadFile()或者ZwReadFile(),在nt...
KasperskyHook:使用卡巴斯基的虚拟机管理程序在Windows上执行Hook系统调用
03-17
卡巴斯基挂钩 使用卡巴斯基的虚拟机管理程序在Windows上执行Hook系统调用 它是如何工作的? 当支持硬件虚拟化以提供额外保护时,卡巴斯基将利用其虚拟机监控程序。 它通过更改IA32_LSTAR指向其自己的syscall处理程序(基本上是KiSystemCall64的副本)来挂接系统调用,以便将系统调用分派到其自己的处理程序(在进行初始化时,它会构建自己的分派表)。 该项目将加载klhk.sys(卡巴斯基的虚拟机管理程序模块)和与之连接的自定义驱动程序,以颠覆系统并挂接系统调用。 你为什么写这个? 在研究卡巴斯基组件时,我认为编写一个自定义项目是一个有趣的主意,该项目使我可以使用卡巴斯基的虚拟机管理程序来挂接系统调用,以更仔细地了解其功能。 构建步骤-如何使用它 下载 , ,克隆此存储库并构建解决方案。 确保KasperskyHook.sys和KasperskyHookLoad
探秘KasperskyHook:利用卡巴斯基虚拟化技术的系统调用钩子
gitblog_00284的博客
08-28 606
探秘KasperskyHook:利用卡巴斯基虚拟化技术的系统调用钩子 在这个充满挑战和创新的时代,了解并掌握深层系统运作机制对于开发者而言至关重要。今天,我们要带您深入探索一个独特且极具教育意义的开源项目——KasperskyHook。这个项目不仅展现了技术深度,更激发了对系统安全领域的深刻思考。 项目介绍 KasperskyHook是一个面向Windows操作系统的开源工具,它巧妙地利用了卡巴斯...
卡巴斯基常用hook列表(帮助各位分析日志)
weixin_34378922的博客
09-08 313
卡巴斯基使用的人很多,对于很多扫描器的日志中,都会提到高危位置被hook,搞得人心惶惶,其实某些危险行为是卡巴斯基自身的,这些是安全的。 下面给出卡巴斯基的基本hook列表 ssdt的 services的 kav_wks_hook_ssdt.GIF (55.24 KB) 2007-9-3 17:32 ...
Kaspersky Anti-Virus v7.0.0.321
10-30
Kaspersky(卡巴斯基)杀毒软件来源于俄罗斯,是世界上最优秀、最顶级的网络杀毒软件,查杀病毒性能远高于同类产品。Kaspersky(卡巴斯基)杀毒软件具有超强的中心管理和杀毒能力,能真正实现带毒杀毒!提供了一个广泛的...
卡巴斯基HOOK引擎分析
11-07
在本文中,我们将深入探讨卡巴斯基在用户空间和内核空间中使用的一些HOOK技术,特别是针对Kaspersky PURE3.0 Total Security在Windows 7 32位系统中的实现。 **用户空间进程** 卡巴斯基的主要ring3进程是"avp.exe...
卡巴斯基KAV 7.0激活码过期日期分析
首先,卡巴斯基实验室成立于1997年,是由尤金·卡巴斯基(Eugene Kaspersky)和两位合伙人共同创办的。尤金·卡巴斯基早年从事病毒分析工作,1989年发现了著名的Cascade病毒。卡巴斯基实验室很快在全球范围内建立了...
2009最新卡巴斯基Kaspersky Kis/Kav 6.0/7.0/8.0授权许可文件(Key)下载绝对能用
02-18
2009最新卡巴斯基Kaspersky Kis/Kav 6.0/7.0/8.0授权许可文件下载绝对能用,2009最新卡巴斯基 授权许可文件 Kaspersky Kis/Kav 6.0/7.0/8.0 最新Key
KasperskyHook 开源项目安装与使用指南
gitblog_00391的博客
08-24 350
KasperskyHook 开源项目安装与使用指南 一、项目目录结构及介绍 KasperskyHook 是一个专门针对 Kaspersky(卡巴斯基)防病毒软件的挂钩技术实现的开源项目。本节将详细介绍其核心目录结构及其重要组件。 . ├── README.md # 项目说明文件 ├── src # 源代码主目录 │ ├── Hook...
R0层获取ShadowSSDT函数原始地址实例
11-20
本实例由VS2008开发,在提供了一套驱动开发框架的同时,又演示了如何获取Shadow SSDT表函数原始地址的办法。 主要函数:ULONG GetShadowSSDT_Function_OriAddr(ULONG index); 原理说明: 根据特征码搜索导出函数KeAddSystemServiceTable来获取Shadow SSDT基址,以及通过ZwQuerySystemInformation()函数获取win32k.sys基址,然后解析PE定位到Shadow SSDT在win32k.sys的偏移地址,并通过进一步计算来得到Shadow SSDT表函数的原始地址。 这里只测试了三个函数:(460)NtUserMessageCall、(475)NtUserPostMessage和(502)NtUserSendInput,具体使用时可以举一反三,网上完整的源代码实例并不太多,希望可以帮到真正有需要的朋友。 系统环境: 在WinXP SP3系统 + 瑞星杀毒软件 打印输出: [ LemonInfo : Loading Shadow SSDT Original Address Driver... ] [ LemonInfo : 创建“设备”值为:0 ] [ LemonInfo : 创建“设备”成功... ] [ LemonInfo : 创建“符号链接”状态值为:0 ] [ LemonInfo : 创建“符号链接”成功... ] [ LemonInfo : 驱动加载成功... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP 开始... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP Enter IRP_MJ_DEVICE_CONTROL... ] [ LemonInfo : 获取ShadowSSDT表 (460)NtUserMessageCall 函数的“当前地址”为:0xB83ECFC4,“起源地址”为:0xBF80EE6B ] [ LemonInfo : 获取ShadowSSDT表 (475)NtUserPostMessage 函数的“当前地址”为:0xB83ECFA3,“起源地址”为:0xBF8089B4 ] [ LemonInfo : 获取ShadowSSDT表 (502)NtUserSendInput 函数的“当前地址”为:0xBF8C31E7,“起源地址”为:0xBF8C31E7 ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP_MJ_DEVICE_CONTROL 成功执行... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP 结束... ] [ LemonInfo : UnLoading Shadow SSDT Original Address Driver... ] [ LemonInfo : 删除“符号链接”成功... ] [ LemonInfo : 删除“设备”成功... ] [ LemonInfo : 驱动卸载成功... ]
KasperskyHook 项目常见问题解决方案
gitblog_00928的博客
12-03 722
KasperskyHook 项目常见问题解决方案 1. 项目基础介绍和主要编程语言 KasperskyHook 是一个开源项目,它利用 Kasperskyhypervisor 在 Windows 系统中挂钩系统调用。通过改变 IA32_LSTAR 寄存器指向,项目将系统调用重定向到自定义的处理器,从而实现对系统调用的监控和控制。该项目主要用于研究和分析 Kaspersky 组件的工作原理,并...
KasperskyHook 项目推荐
最新发布
gitblog_00769的博客
12-04 257
KasperskyHook 项目推荐 1. 项目基础介绍和主要编程语言 KasperskyHook 是一个开源项目,旨在通过利用 Kasperskyhypervisor 技术来钩取 Windows 系统调用。该项目的主要编程语言是 C++,适合有一定系统编程经验的开发者使用。 2. 项目核心功能 KasperskyHook 的核心功能是通过 Kasperskyhypervisor 模块...
KeServiceDescriptorTableShadow和KeAddSystemServiceTable函数的关系
linux-0.11调试教程
11-19 802
KeServiceDescriptorTableShadow和KeAddSystemServiceTable函数的关系
【原创】shadow ssdt学习笔记(一)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
08-14 1102
标 题: 【原创】shadow ssdt学习笔记(一) 作 者: zhuwg 时 间: 2007-12-22,22:01:29 链 接: http://bbs.pediy.com/showthread.php?t=56955 1。取得shadow ssdt真实地址 系统只提供了KeServiceDescriptorTable导出 KeServiceDescriptorTableSh
ShadowSSDT hook
kernweak的博客
06-01 506
ShadowSSDT保存在win32k.sys中,未导出,不是常驻内存。 采用硬编码,查到某些加载了shadowSSDT进程,所以找一个CSRSS进程,然后KeStackAttachProcess到一个有GUI线程的进程中,csrss.exe就刚好有。这个进程特征是句柄表中Portobject(type21)句柄是\\Windows\\ApiPort的PID就是就是。 然后考虑下标:下标只能硬...
Windows服务调用机制
在水一方
08-27 1242
一、序言  Windows系统服务调用是存在于Windows系统中的一个关键接口,常常称作System Call ,Sysem Service Call 或 System Service Dispatching等,在此我们就权且称之为Windows系统服务调用,它提供了操作系统环境由用户态切换到内核态的功能。虽然在国外关于Windows系统服务调用的讨论比较多,但却很少看到比较详细的中文资料,
shadow ssdt学习笔记
03-22 1119
1。取得shadow ssdt真实地址系统只提供了KeServiceDescriptorTable导出KeServiceDescriptorTableShadow是个未导出结构定义typedef struct _SYSTEM_SERVICE_TABLE{      PNTPROC  ServiceTable;  // array of entry points      PDWORD  Count
shadowssdt 地址 数量 遍历
05-15 677
#include "ntddk.h" //SSDT结构体 typedef struct ServiceDescriptorTable { unsigned int *ServiceTableBase; unsigned int *ServiceCounterTable; unsigned int NumberOfServices; unsigned int *ParamTable...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值