SSDT HOOK

已于 2023-06-27 15:22:11 修改
阅读量413 收藏 2
点赞数 1
分类专栏: windows内核 文章标签: windows 驱动开发 c语言
于 2023-06-22 21:49:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_45844442/article/details/131344633
版权
该文详细介绍了如何通过获取系统路径加载ntdll,使用MmCreateSection和MmMapViewInSystemSpace加载到内存,查找导出表找到目标函数,然后修改SSDT表实现函数钩子,以控制ZwOpenProcess函数为例展示了具体流程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

先说一下大致思路
1.首先通过SharedUserData成员NtSystemRoot获取系统路径,进而组装成ntdll的全路径
2.接着通过MmCreateSectionMmMapViewInSystemSpace将ntdll加载到内存中,然后进行导出表搜索找到目标函数的服务号
3.然后通过内核导出的变量KeServiceDescriptorTable进而找到SSDT表
4.最后通过在SSDT表修改目标函数地址为自定义地址即可
所有代码如下:

SSDT.h

#pragma once
#include <ntifs.h>

typedef struct _SsdtItem
{
	PULONG funcTable;
	ULONG_PTR totalCount;
	ULONG_PTR funcMaxNumber;
	PUCHAR paramTable;
}SsdtItem;

typedef struct _SsdtTable
{
	SsdtItem ssdt;
	SsdtItem sssdt;
}SsdtTable, * PSsdtTable;

tool.h

#pragma once
#include<ntifs.h>
PWCHAR GetSystemPath();
PVOID MapMemorry(PWCHAR systempath);
ULONG64 ExportTableFuncByName(char* pData, char* funcName);
VOID FuncDestroy();
VOID UmMapOfViewFile(PVOID mapBase);
ULONG GetFuncIndex();
VOID FuncInit();
VOID SSDTHook(char* funcName, PVOID FuncAddress);
extern PVOID address;
extern PUCHAR func;

tool.c

#include<ntifs.h>
#include<ntstrsafe.h>
#include<ntimage.h>
#include"SSDT.h"
#include<intrin.h>
#include"tool.h"
//导出服务表
extern PSsdtTable KeServiceDescriptorTable;

PVOID address = NULL;
PUCHAR func = NULL;

EXTERN_C NTSTATUS MmCreateSection(
    __deref_out PVOID* SectionObject,
    __in ACCESS_MASK DesiredAccess,
    __in_opt POBJECT_ATTRIBUTES ObjectAttributes,
    __in PLARGE_INTEGER InputMaximumSize,
    __in ULONG SectionPageProtection,
    __in ULONG AllocationAttributes,
    __in_opt HANDLE FileHandle,
    __in_opt PFILE_OBJECT FileObject
);


//关闭写保护
ULONG wpOff()
{
    ULONG cr0 = __readcr0();
    _disable();   //关闭中断
    __writecr0(cr0 & (~0x10000));   //关闭写保护
    return cr0;
}

VOID wpOn(ULONG value)
{
    __writecr0(value);
    _enable();
}

PWCHAR GetSystemPath()
{
    //获取系统目录
    PWCH systempath = (PWCH)ExAllocatePool(PagedPool, PAGE_SIZE);
    memset(systempath, 0, PAGE_SIZE);
    //拼接完整的路径
    RtlStringCbPrintfW(systempath, PAGE_SIZE, L"\\??\\%s\\system32\\ntdll.dll", SharedUserData->NtSystemRoot);
    DbgPrintEx(77, 0, "[db]:%S\r\n", systempath);

    return systempath;
}

PVOID MapMemorry(PWCHAR systempath)
{
    UNICODE_STRING Psystempath = { 0 };
    RtlInitUnicodeString(&Psystempath, systempath);
    PHANDLE hFile;
    OBJECT_ATTRIBUTES objAttributes;
    IO_STATUS_BLOCK IoStatusBlock = { 0 };
    InitializeObjectAttributes(&objAttributes, &Psystempath, OBJ_CASE_INSENSITIVE, NULL, NULL);

    NTSTATUS status = ZwCreateFile(&hFile, GENERIC_READ, &objAttributes, &IoStatusBlock, NULL,
        FILE_ATTRIBUTE_NORMAL, FILE_SHARE_READ, FILE_OPEN, FILE_NON_DIRECTORY_FILE | FILE_SYNCHRONOUS_IO_NONALERT, NULL, NULL);

    if (!NT_SUCCESS(status))
    {
        NtClose(hFile);
    }

    //创建节区
    PVOID hSection = NULL;
    OBJECT_ATTRIBUTES sectionAddr;
    InitializeObjectAttributes(&sectionAddr, NULL, OBJ_CASE_INSENSITIVE, NULL, NULL);
    LARGE_INTEGER InputMaximumSize = { 0 };
    status = MmCreateSection(&hSection, SECTION_ALL_ACCESS, &sectionAddr,
        &InputMaximumSize, PAGE_EXECUTE_READWRITE, 0x1000000, hFile, NULL);

    if (!NT_SUCCESS(status))
    {
        ZwClose(hFile);
        return 0;
    }

    PVOID mapBase = NULL;
    SIZE_T viewSize = { 0 }; 
    status = MmMapViewInSystemSpace(hSection, &mapBase, &viewSize);

    ObDereferenceObject(hSection);
    ZwClose(hFile);

    if (NT_SUCCESS(status))
    {
        return mapBase;
    }

    return 0;
}

ULONG64 ExportTableFuncByName(char* pData, char* funcName)
{
    PIMAGE_DOS_HEADER pHead = (PIMAGE_DOS_HEADER)pData;
    PIMAGE_NT_HEADERS pNt = (PIMAGE_NT_HEADERS)(pData + pHead->e_lfanew);
    int numberRvaAndSize = pNt->OptionalHeader.NumberOfRvaAndSizes;
    PIMAGE_DATA_DIRECTORY pDir = (PIMAGE_DATA_DIRECTORY)&pNt->OptionalHeader.DataDirectory[0];

    PIMAGE_EXPORT_DIRECTORY pExport = (PIMAGE_EXPORT_DIRECTORY)(pData + pDir->VirtualAddress);

    ULONG64 funcAddr = 0;
    for (int i = 0; i < pExport->NumberOfNames; i++)
    {
        int* funcAddress = pData + pExport->AddressOfFunctions;
        int* names = pData + pExport->AddressOfNames;
        short* fh = pData + pExport->AddressOfNameOrdinals;
        int index = -1;
        char* name = pData + names[i];

        if (strcmp(name, funcName) == 0)
        {
            index = fh[i];
        }
        if (index != -1)
        {
            funcAddr = pData + funcAddress[index];
            break;
        }
    }

    if (!funcAddr)
    {
        KdPrint(("没有找到函数%s\r\n", funcName));
    }
    else
    {
        KdPrint(("找到函数%s addr %p\r\n", funcName, funcAddr));
    }

    return funcAddr;
}

VOID FuncInit()
{
    PWCHAR path = GetSystemPath();
    address = MapMemorry(path);

    ExFreePool(path);
    return TRUE;
}

ULONG GetFuncIndex(PVOID FuncAddress)
{
    PUCHAR funcd = ExportTableFuncByName(address, FuncAddress);
    if (funcd == NULL)
    {
        return -1;
    }
    return *(PULONG)(funcd + 1);
}

VOID UmMapOfViewFile(PVOID mapBase)
{
    if (!mapBase) return;
    MmUnmapViewInSystemSpace(mapBase);
}

VOID FuncDestroy()
{
    if (!address)
    {
        return;
    }
    UmMapOfViewFile(address);
    address = NULL;
}

PSsdtTable SsdtGet()
{
    return (PSsdtTable)((PUCHAR)KeServiceDescriptorTable + 0x40);
}

VOID SSDTHook(char* funcName,PVOID FuncAddress)
{
    //获取SSDT位置
   PSsdtTable ssdtA = SsdtGet();
   if (!ssdtA)
   {
       return;
   }
   ULONG index = GetFuncIndex(funcName);
   if (index == -1)
   {
       return;
   }
   func = (PULONG)ssdtA->ssdt.funcTable[index];
   ULONG wp = wpOff();
   ssdtA->ssdt.funcTable[index] = FuncAddress;
   wpOn(wp);
}

DriverEntry.c

#include<ntifs.h>
#include"SSDT.h"
#include<ntstrsafe.h>
#include"tool.h"

typedef NTSTATUS (NTAPI* OpenProcessProc)(
	_Out_ PHANDLE ProcessHandle,
	_In_ ACCESS_MASK DesiredAccess,
	_In_ POBJECT_ATTRIBUTES ObjectAttributes,
	_In_opt_ PCLIENT_ID ClientId
); 

NTSTATUS NTAPI MyZwOpenProcess
(
	_Out_ PHANDLE ProcessHandle,
	_In_ ACCESS_MASK DesiredAccess,
	_In_ POBJECT_ATTRIBUTES ObjectAttributes,
	_In_opt_ PCLIENT_ID ClientId
)
{
	DbgPrintEx(77, 0, "[db]:%s\r\n", __FUNCTION__);
	OpenProcessProc fun = (OpenProcessProc)func;

	return fun(ProcessHandle, DesiredAccess, ObjectAttributes, ClientId);
};

VOID DriverUnload(_In_ struct _DRIVER_OBJECT* DriverObject)
{
	SSDTHook("ZwOpenProcess", func);
	FuncDestroy();
	
	LARGE_INTEGER inTime = { 0 };
	inTime.QuadPart = -10000 * 10000;  //10s
	KeDelayExecutionThread(KernelMode, FALSE, &inTime);
}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRING pRegistryPath)
{
	//映射ntdll并获取系统服务号
	FuncInit();

	SSDTHook("ZwOpenProcess", MyZwOpenProcess);

	pDriverObject->DriverUnload = DriverUnload;
	
	return STATUS_SUCCESS;
}
SSDT Hook
zhuhuibeishadiao
04-10 3332
看看大概的调用情况 左边是2000有的,右边是xp后走的 Ntdll.dll 中的 API 是一个简单的包装函数。 当 Kernel32.dll 中的 API 通过 Ntdll.dll 时,会完成参数的检查再调用一个中断(int 2Eh 或者 SysEnter 指令),从而实现从 Ring3 进入 Ring0 层 并且将所要调用的服务号(也就是在 S
SSDT Hook实现内核级的进程保护
曾是土木人
06-29 8489
SSDT Hook效果图 加载驱动并成功Hook  NtTerminateProcess函数: 当对 指定的进程进行保护后,尝试使用“任务管理器”结束进程的时候,会弹出“拒绝访问”的窗口,说明,我们的目的已经达到: SSDT简介 SSDT 的全称是 System Services Descriptor Table,系统服务描述符表。 这个表
SSDT_HOOK
最新发布
m0_68259687的博客
02-20 252
先放一个成品小demo。
SSDT-hook,IDT-hook原理
fun0526的专栏
08-04 2581
<br /><br />【详细过程】<br />这次主要说说核心层的hook。包括SSDT-hook,IDT-hook,sysenter-hook。欢迎讨论,指正!内核层需要驱动,有这方面的基础最好,如果不会,了解下其中的思路也可以的。<br /><br />II. SSDT-hook,IDT-hook,sysenter-hook<br />一.SSDT-hook<br />(一)一般思路:<br />1.先来了解一下,什么是SSDT<br />SSDT既System Service Dispath Tab
SSDT-HOOK
qq_31507523的博客
04-17 534
SSDT-HOOK
ssdt_hook.rar_ssdt_ssdt hook_ssdt_hook_struct.h
09-21
标题“ssdt_hook.rar_ssdt_ssdt hook_ssdt_hook_struct.h”中提到了几个关键点: 1. **ssdt_hook.rar**:这是一个压缩包文件,可能包含了关于SSDT Hook的相关代码和资源。 2. **ssdt**:这是SSDT的缩写,表示我们要...
SSDTHook_ssdt_SSDTHook_
10-01
标题“SSDTHook_ssdt_SSDTHook_”暗示了这个压缩包可能包含了一个关于SSDT Hooking的工具或者教程。这个工具或教程可能是为了帮助用户理解和实践如何在Windows内核层面上进行系统服务的挂钩。 描述“ssdt hooking ...
src_过pg_过windowspg_64位SSDThook实现方法_过PG_
09-30
标题中的“src_过pg_过windowspg_64位SSDThook实现方法_过PG_”似乎是指一个关于在64位Windows系统下绕过Process Guard (PG)并通过修改System Service Dispatch Table (SSDT)实现hook的技术教程。描述中的“WINDOWS ...
ssdt.Recover.21yu3:绕过卡巴斯基主动防御,加载驱动,unhook所有ssdt hook及shadow ssdt hook
05-06
ssdt.Recover.21yu3 ...然后DLL加载驱动,unhook所有ssdt hook及shadow ssdt hook 威力非常大的一份代码,当年没有流出是非常明智的。 如今win10已经面世,希望能给后来人借鉴的价值。 我现在的blog:
SSDT.zip_hook_hook nt_hook ssdt_ssdt_ssdt hook
09-23
在本压缩包中,"SSDT.zip_hook_hook nt_hook ssdt_ssdt_ssdt hook" 提到了几个关键概念,包括SSDT Hook、nt!zwReadVirtualMemory以及相关的hook技术。 1. SSDT Hook:这是一种技术,用于修改SSDT中的函数指针,以便...
ssdthook-hook
11-27
ssdthook
win10 x64中inlineHook SSDT里面的函数
吾无法无天的博客
02-13 4880
inlineHook的原理: 为了方便好理解,一些变量名和函数名在这里使用中文命名,有些编译器不支持中文命名,在这里要注意(我的是VS2019) hook.h: #pragma once #include<ntifs.h> #include<ntddk.h> #pragma intrinsic(__readmsr) //SSDT表 typedef str...
SSDT —— Hook
weixin_48257887的博客
10-23 347
Win7 x32:注:SSDTShadow包含SSDT,在Xp系统下,SSDTShadow在SSDT上面(偏移0x40)在WIN7 x32下,SSDTShadow在SSDT下面(偏移0x40),如上图0x9C0+0x40=0xA00。
HOOK SSDT
qq_41071646的博客
01-15 919
这篇文章是根据作者Tesla.Angela 在 看雪论坛 发布的文章所写 这个 X86还是比较好实现的  但是  X64 就有些绕了 而且   比较麻烦吧     其实x64做的保护 听容易看出来的   他先把ssdt 搞成动态 然后 又把 ssdt 放入的地址搞成偏移地址  这个让我有点奇怪     我先发一下  作者 Tesla.Angela的原话   知道了这一套机制,HOOK SS...
Rookit技术之SSDT_Hook
Hades的博客
04-27 591
Rookit技术之SSDT_Hook Rookit技术之SSDT_Hook 0x0 SSDT简介 0x1 测试环境 0x2 达到目标 0x3 主要思路 0x4 关键代码 0x5 测试效果 0x0 SSDT简介 SSDT全称为System Services Descriptor Table,中文为系统服务描述符表,ssdt表就是把ring3的Win32 API和ring0的...
[内核安全2]内核态Rootkit之SSDT Hook
輚至消亡
12-06 691
/*++ * @Description * 主逻辑控制函数 * @Param * @Return * @Attention --*/ void Running(); /*++ * @Description * 不接收换行的从标准输入内收到键入,是一个安全函数 * * @Param * lpszBuf: 接受键盘输入的缓冲区 * uiSizeOfBuf: 描述lpszBuf的大小 * * @Return * 返回状态码 * * @Attention --*/ NTSTATUS kgets(OUT.
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值