SSDT Hook底层原理介绍以及如何实现进程保护

原创 于 2020-12-03 20:34:24 发布 · 1.1k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#hook #ssdt hook #windows #mfc #经验分享

本文详细介绍了SSDT Hook的原理,包括SSDT的结构和作用,以及如何在Windows系统中实现进程保护。通过Hook NtTerminateProcess函数,达到阻止非法进程结束的目的。此外,还探讨了Hook前的准备工作,如修改内存保护机制,并提供了实现SSDT Hook的流程和关键代码。

目录

  1. SSDT Hook效果图
  2. SSDT简介
  3. SSDT结构
  4. SSDT HOOK原理
  5. Hook前准备
  6. 如何获得SSDT中函数的地址呢
  7. SSDT Hook流程
  8. SSDT Hook实现进程保护

SSDT Hook效果图

加载驱动并成功Hook  NtTerminateProcess函数:

当对 指定的进程进行保护后,尝试使用“任务管理器”结束进程的时候,会弹出“拒绝访问”的窗口,说明,我们的目的已经达到:

SSDT简介

SSDT 的全称是 System Services Descriptor Table,系统服务描述符表。

 

这个表就是一个把 Ring3 的 Win32 API 和 Ring0 的内核 API 联系起来。

SSDT 并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。

通过修改此表的函数地址可以对常用 Windows 函数及 API 进行 Hook,从而实现对一些关心的系统动作进行过滤、监控的目的。

一些 HIPS、防毒软件、系统监控、注册表监控软件往往会采用此接口来实现自己的监控模块。

 

SSDT结构

SSDT即系统服务描述符表,它的结构如下(参考《Undocument Windows 2000 Secretes》第二章):

 

// KSYSTEM_SERVICE_TABLE 和 KSERVICE_TABLE_DESCRIPTOR
// 用来定义 SSDT 结构
typedef struct _KSYSTEM_SERVICE_TABLE
{
    PULONG  ServiceTableBase;                               // SSDT (System Service Dispatch Table)的基地址
    PULONG  ServiceCounterTableBase;                        // 用于 checked builds, 包含 SSDT 中每个服务被调用的次数
    ULONG   NumberOfService;                                // 服务函数的个数, NumberOfService * 4 就是整个地址表的大小
    ULONG   ParamTableBase;                                 // SSPT(System Service Parameter Table)的基地址
} KSYSTEM_SERVICE_TABLE, *PKSYSTEM_SERVICE_TABLE;

typedef struct _KSERVICE_TABLE_DESCRIPTOR
{
    KSYSTEM_SERVICE_TABLE   ntoskrnl;                       // ntoskrnl.exe 的服务函数
    KSYSTEM_SERVICE_TABLE   win32k;                         // win32k.sys 的服务函数(GDI32.dll/User32.dll 的内核支持)
    KSYSTEM_SERVICE_TABLE   notUsed1;
    KSYSTEM_SERVICE_TABLE   notUsed2;
}KSERVICE_TABLE_DESCRIPTOR, *PKSERVICE_TABLE_DESCRIPTOR;

&

最低0.47元/天 解锁文章
linuxguitu
关注
SSDT Hook技术详解与应用
flydragonhero的专栏
03-10 7009
SSDT Hook技术详解与应用SSDT Hook技术详解与应用 一SSDT简介 1什么是SSDT 2SSDT结构 3应用层调用 Win32 API 的完整执行流程 二SSDT Hook原理 1SSDT Hook原理简介 2进程隐藏与保护 3文件隐藏与保护 4端口隐藏一、SSDT简介1、什么是SSDTSSDT 的全称是 System Services Descriptor Table,系统服
守护进程
大概只有风丶
05-16 489
一.简介 我们常用的进程一般分为三类:<1>交互进程 <2>批处理进程<3>守护进程。守护进程(Daemon)是一种运行在后台的一种特殊的进程。指的是在UNIX或其他多任务操作系统中在后台执行的电脑程序,并不会接受电脑用户的直接操控。此类程序会被以进程的形式初始化。它常常在系统启动时开始运行,在系统关闭时终止。 在linux/linux中,每个系统与用户进行交流...
SSDT HOOK实现进程保护
风随影动的专栏
07-14 1579
<br />转自灰狐<br />http://nokyo.blogbus.com/logs/35320995.html<br /><br />SSDT HOOK已经是很老的技术了,但对新手来说还是有一些嚼头的。根据常规的做法,我们应该挂钩 ZwTerminateProcess函数,不过这个函数仅有两个参数,其中一个是进程句柄,它指定了需要被结束的进程。<br />由于我们不能直接从进程句柄获取有关进程的一些信息,这就使得一些“懒惰”的家伙尝试找一些捷径。由 于要想获得句柄通常都需要首先调用ZwOpenP
SSDTHook原理
谢绝(无视)留言与私信
02-08 1026
前言分析了一个cm, cm中释放了一个驱动, 进行了SSDTHook, 用于保护cm. IDA的伪码翻译的真渣, 直接编译都过不了(已经将数据类型改对了), 翻译的和反汇编代码也有点对不上, 从反汇编开始自己翻译. 从反汇编层面看SSDTHook时, 先复习一下SSDT原理, 用Windbg做下试验.记录 /** // SSDT原理 // 假设要Hook ZwQu
守护进程原理
心路历程
04-22 2551
守护进程原理:(1)             在Client/Server模式下。服务器监听(Listen)在一个特定的端口上等待客户连接。连接成功后服务器和客户端通过端口进行数据通信。守护进程的工作就是打开一个端口,并且等待(Listen)进入连接。如果客户端产生一个连接请求,守护进程就创建(Fork)一个子服务器响应这个连接,而主服务器继续监听其他的服务请求。(2)       
进程处理之进程保护
Huaerge的专栏
05-30 2092
<br /> <br />思路:查询当前系统中运行的进程的快照,如果欲保护进程在快照中则表示进程处于运行状态,如果欲保护进程不在快照中,则启动进程。<br />步骤:<br />  创建线程函数<br />{<br />  检查进程是否运行<br />  若未运行启用进程<br />}<br /> <br />步骤一:<br /> <br />检查某进程是否处于运行状态,实现代码如下:<br />运行:返回1<br />未运行或加载toolhelp.dll失败:返回-1<br />int DetectPr
进程保护器(HOOK
08-27
进程保护器(HOOK)VC PE HOOK
基于SSDTHook进程保护实现技术解析
SSDTHook实现进程保护是一种基于Windows操作系统内核层...总体而言,SSDTHook实现进程保护是一项典型的高级内核编程实践,融合了操作系统原理、驱动开发与信息安全三大领域知识,对于深入理解Windows架构具有重要价值。
SSDT.rar_WINDOWS ssdt_hook_ssdt_ssdt hook_windows xp hook ss
09-21
3. **Hook SSDT技术**:介绍如何找到SSDT表在内存中的位置,替换其中的函数指针,以及设置钩子函数来拦截和控制特定的系统服务调用。 4. **Hook技术原理**:讨论钩子函数的工作方式,包括如何捕获调用、修改参数、...
基于SSDT Hook进程隐藏与保护技术详解
综上所述,本文件不仅系统地讲解了SSDT Hook的技术背景、实现原理及其在进程隐藏与保护中的具体应用,还间接揭示了操作系统安全与攻防对抗之间的深层博弈关系。掌握这些知识对于理解恶意软件行为、开发反Rootkit工具...
win7 64位 ssdthook
11-21
通过hook内核中ssdt表中的ntopenprocess函数,标号为35,可通过遍历ssdt表查找得知,可实现进程保护。 适用系统:win7 64,需关闭驱动签名保护 编程工具:vs2012+wdk8.0
windows下通过更改SSDThook内核函数
10-02
通过更改SSDT表的内核函数跳转地址来实现windows内核函数的hook,需要安装WDK来实现编译。 注:本例主要实现对内核函数ZwSetValueKey的hook,本程序仅用于学习用途,任何人不得利用该代码从事非法活动。
SSDTHOOK技术的Windows Ring0级进程保护组件设计与实现
本文主要探讨了在Windows环境下,如何利用SSDTHook技术(System Service Descriptor Table Hook实现Ring0级进程保护组件的设计与实现。Ring0级别意味着该组件具有对系统服务的直接访问权限,通常用于驱动程序开发...
进程实现原理
Demon-初来驾到
02-08 3595
引文:进程是操作系统最重要的基础知识之一,本文基于linux 0.11内核,重点介绍进程实现原理以及分析进程间的调度问题。 problem: Linux内核是如何初始化操作系统,并开始运行第一个程序呢? 我们都知道,系统启动过程为:bootsect.s —>setup.s —>head.s。姑且不去讨论这些汇编源程序的功能,假设操作系统的pc指正已经运行到了head.s 处的部
汇编与驱动-采用SSDT Hook NtOpenProcess保护进程
kingswb的博客
05-01 1472
标 题: 汇编与驱动-采用SSDT Hook NtOpenProcess保护进程 作 者: organic 时 间: 2012-07-09,21:05:47 链 接: http://bbs.pediy.com/showthread.php?t=153176 作为一个热爱汇编的人被迫使用C或者C++写驱动是一件很难受的事情,特别是在做一些邪恶的事情的时候,你总会发现汇编就是一只恶魔之手,
HOOK NtOpenProcess 保护指定进程
laobobo999的专栏
05-25 927
 汇编写的一个简单的HOOK SSDT例子
SSDT HOOK,通过hook NtOpenProcess达到保护制定进程效果
huangai93的专栏
06-07 975
SSDT hook技术是一种很老的技术了,但是作为新手还是有必要知道和学习的
内核编程之SSDTHook(2)Hook NtOpenProcess实现进程保护
zuishikonghuan的博客
03-11 7636
本博文由优快云博主zuishikonghuan所作,版权归zuishikonghuan所有,转载请注明出处: 上一篇博文“内核编程之SSDTHook(1)原理(地址:)”中,介绍SSDTHook原理,这一篇博文,我们来写一个实例,通过Hook NtOpenProcess来的实现进程保护。 我之前写过两篇Ring3下的API Inline Hook的博文,这两篇博文通过Inline
针对 NtOpenProcess服务函数HOOK SSDT示例代码,保护记事本进程
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
06-27 1526
#include ////////////////////////////////////////////////////////////////////////// //函数声明 NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject,PUNICODE_STRING pRegistryPath); VOID Unload(PDRIVER_OB
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值