SSDTHook实现解析(x86)

最新推荐文章于 2025-02-20 08:20:11 发布
最新推荐文章于 2025-02-20 08:20:11 发布
阅读量467 收藏
点赞数 2
分类专栏: Windows开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_42253797/article/details/104352520
版权
本文介绍了SSDT Hook的工作原理,以ReadFile()函数为例,详细阐述了从Ring3到Ring0的调用过程,包括如何通过系统调用号找到内核函数,并通过修改SSDT表实现Hook。代码示例中,重点展示了构建MDL以修改内存属性,并使用InterlockedExchange进行原子替换。文章强调理解Hook原理的重要性,并提醒在Hook完成后要恢复SSDT表。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在说到SSDTHook实现之前,我们首先来了解一下Win32API的调用过程,我们以ReadFile()为例,来看看从Ring3层到Ring0层的调用过程:
在一个Ring3进程Test.exe中调用ReadFile()函数,此时我们调用的是kernel32.dll中的导出函数,接下来ReadFile()会调用到位于ntdll.dll中的NtReadFile()或者ZwReadFile(),在ntdll.dll中的这两个函数实现是一样的,通过Windbg调试器查看如下:
在这里插入图片描述
在这里插入图片描述

通过调用ntdll.dll中的NtReadFile()函数会将系统调用号放入EAX寄存器中,以便切入内核时在SSDT表中找到对应的内核函数;如果内核采用自陷指令int 0x2e时,将堆栈上的参数块起始地址放入EDX寄存器中,以便于在内核层拷贝用户层所传递参数;接下来会通过int 0x2E自陷指令,切入到内核中去,此处的0x2E是系统中断向量表中的中断向量,也是IDT表

了解本专栏 订阅专栏 解锁全文 超级会员免费看
Kaspersky 7.0 HOOK SSDT分析
shangguanwaner的专栏
12-02 1526
Kaspersky 7.0 HOOK SSDT分析-卡巴驱动klif.sys逆向工程作者:CloudEmail:shangguanwan2@yahoo.cn2007-11-6一、 测试版本和环境卡巴斯基反病毒软件7.0 版本7.0.0.125d (简体中文版)平台:Windows XP Professional(5.1,版本2600)   Mobile Inter? Celeron
SSDT Hook实现内核级的进程保护
曾是土木人
06-29 8501
SSDT Hook效果图 加载驱动并成功Hook  NtTerminateProcess函数: 当对 指定的进程进行保护后,尝试使用“任务管理器”结束进程的时候,会弹出“拒绝访问”的窗口,说明,我们的目的已经达到: SSDT简介 SSDT 的全称是 System Services Descriptor Table,系统服务描述符表。 这个表
SSDTHook
dre4merp
05-16 372
准备学习一下Hook技术,从最简单的SSDT Hook开始。 关于SSDT是什么参考:SSDT知识 SSDT Hook的实现思路就是 将SST表中储存的函数地址换成我们的fake函数的地址,并保存原函数地址 执行我们的fake函数后再调用原函数 从而实现在调用指定函数前进行自定义的处理。 首先我们要找到要挂钩的函数的地址,并保存起来 UNICODE_STRING v1; RtlInitUnicodeString(&v1, L"ZwOpenProcess"); __ZwOpen
SSDTHOOK
落笔飞花笑百生的博客
04-27 553
 #include "ntddk.h" void PageProtectOff(); void PageProtectOn(); #pragma pack(1) typedef struct ServiceDescriptorEntry { unsigned int *ServiceTableBase; unsigned int *ServiceCounterTableBase;
SSDThook
93Storm
12-31 433
SSDT hook整个流程: 获取SSDT表,自定义函数替换表中函数地址。 通过以下的方式获取SSDT表的内容: typedef struct ServiceDescriptorTable { PVOID ServiceTableBase; PVOID ServiceCounterTable; unsigned int NumberOfSection;
SSDTHook_ssdt_SSDTHook_
10-01
ssdt hooking for windows kernel
深入理解SSDTShadow与hook技术防断点的实现
### 知识点一:SSDT与SSDTShadow概念解析 SSDT(System Service Dispatch Table)即系统服务调度表,是Windows操作系统中一个非常重要的内核数据结构。它记录了系统服务例程(如文件操作、进程管理、内存管理等)与...
检测win7x86系统内核态SSDT是否被hook的工具
总结而言,CheckSSDHOOK_nosew78是一个为Windows 7 x86设计的内核态工具,通过加载特定的驱动程序文件"FirstDriver",来检测和识别是否被rootkit技术通过hook手段篡改了系统的关键数据结构——SSDT。这种检测对于...
x64环境下APIHook类的应用与实现
- **APIHook.cpp**: 这是一个实现APIHook类的源代码文件,它包含了具体的C++代码来定义类的方法和行为。 - **APIHook.h**: 这是一个头文件,通常包含APIHook类的声明以及相关宏定义、内联函数和必要的外部依赖。 ##...
全面解析x64驱动加载与hook技术教程
- SSDT hook(System Service Dispatch Table hook):在Windows内核中,SSDT负责系统服务调用的分派,通过修改SSDT表项可以拦截系统服务调用。 - inline hook:通过修改指令序列的首几条指令来重定向执行流。 4. ...
SSDTHook实例--编写稳定的Hook过滤函数
Fly20141201. 的专栏
07-04 3229
讲解如何写Hook过滤函数,比如NewZwOpenProcess。打开进程。很多游戏保护都会对这个函数进行Hook。由于我们没有游戏保护的代码,无法得知游戏公司是如何编写这个过滤函数。   我看到很多奇形怪状的Hook过滤函数的写法。看得蛋痛无比。比如: http://bbs.pediy.com/showthread.php?t=126802 http://bbs.pediy.com/sh
SSDTHook实现进程保护
06-29
SSDTHook实现进程保护:http://blog.youkuaiyun.com/php_fly/article/details/9202379
SSDT_HOOK
最新发布
m0_68259687的博客
02-20 264
先放一个成品小demo。
【顶】Rootkit技术之内核钩子原理
12-02 895
      我们知道,应用程序总是离不开系统内核所提供的服务,比如它要使用内存的时候,只要跟操作系统申请就行了,而不用自己操心哪里有空闲的内存空间等问题,实际上,这些问题是由操作系统的内核来代劳的。站在黑客的角度讲,如果能够控制内核,实际上就是控制了内核之上的各种应用程序。本文将向您介绍如何建立内核级钩子来控制操作系统向上提供的各种低级功能。有了内核级钩子,我们不但能够控制、监视其他程序并过滤有关
SSDT-hook,IDT-hook原理
fun0526的专栏
08-04 2590
<br /><br />【详细过程】<br />这次主要说说核心层的hook。包括SSDT-hook,IDT-hook,sysenter-hook。欢迎讨论,指正!内核层需要驱动,有这方面的基础最好,如果不会,了解下其中的思路也可以的。<br /><br />II. SSDT-hook,IDT-hook,sysenter-hook<br />一.SSDT-hook<br />()一般思路:<br />1.先来了解一下,什么是SSDT<br />SSDT既System Service Dispath Tab
SSDT HOOK
125096
11-17 442
#include #include NTKERNELAPI UCHAR * PsGetProcessImageFileName(__in PEPROCESS Process); #pragma pack(1) typedef struct _SystemServiceEntry { ULONG *ServiceTableBase; ULONG *Ser
Windows驱动开发学习笔记(五)—— SSDT HOOK
lzyddf的博客
12-14 1529
Windows驱动开发学习笔记(五)—— SSDT HOOK前言系统服务表系统服务描述符表 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 系统服务表 描述: 全称:SystemServiceTable(系统服务表) 可以通过系统服务描述符表访问系统服务表 系统服务描述符表 描述: 全称:System Services Desc...
win 64 SSDT HOOK
weixin_30815469的博客
10-01 325
以下内容参考黑客防线2012合订本第294页 其实没什么好说的,直接上代码: ssdt的结构,和win32差不多,但是要注意这里的指针类型不能用ULONG替代,如果要非要替代应该用ULONGLONG,原因就不说了. //SSDT的结构 typedef struct _SystemServiceDescriptorTable { PVOID ServiceT...
内核层 SSDT Hook
星星我啊,已经很努力在学习了, 有人一起学习吗?Ziansec-1
04-17 245
31 30 29 28 19 18 17 16 15 6 5 4 3 2 1 0 PG CD NW AM WP NE ET TS EM MP PE 将WP位从1改为0来关闭写保护。可以通过将 ZwOpenProcess 的第二个参数改为0(访问权限为拒绝访问)来保护进程。2.在函数找SSDT表的路上jmp到新的SSDT表(360是这样的)SSDT表的物理页是只读的,想修改SSDT表需要先对寄存器进行操作。通过 SSDT Hook 保护进程。
2023第五届苏研数模赛
07-28
很抱歉,我无法回答关于2023第五届苏研数模赛的问题。因为在提供的引用内容中没有提到与该赛事相关的信息。如果您有其他问题,我将很乐意为您提供帮助。 #### 引用[.reference_title] - *1* *3* [2022年(2023届)计算机保研经历分享(清深、自所、计算所、浙科南、北航、哈工等)](https://blog.youkuaiyun.com/qq_45717425/article/details/127143482)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [2022 数学建模B题 高教社杯 含半成品论文 部分代码 全部数学模型 和全套思路](https://blog.youkuaiyun.com/yeqianqian_/article/details/126897252)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down28v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

KookNut39

感谢您请我喝咖啡哈哈哈哈

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值