Win64 驱动内核编程-18.SSDT

最新推荐文章于 2022-09-09 23:27:00 发布
原创 最新推荐文章于 2022-09-09 23:27:00 发布 · 2.3k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#驱动 #SSDT #X64 SSDT

本文介绍了在Win64环境下动态获取SSDT(系统服务描述表)基址和函数地址的方法。在Win32中,KeServiceDescriptorTable被直接导出,而在Win64中则需要通过特定寄存器和特征码搜索。通过读取C0000082寄存器得到KiSystemCall64地址,进而找到SSDT。此外,还讨论了如何在Ring3层获取函数INDEX,并提供了两种计算SSDT函数地址的方法。文章总结了Win32与Win64在SSDT处理上的差异,并给出了测试代码。

SSDT

 学习资料:http://blog.youkuaiyun.com/zfdyq0/article/details/26515019

 学习资料:WIN64内核编程基础 胡文亮

 

   SSDT(系统服务描述表),刚开始接触什么进程保护XXX啥的,都是看到在说SSDT(虽然说目前很多杀软都已经采用稳定简单的回调姿势了)。这次就弄清楚两个问题:

    如何在内核里动态获得 SSDT 的基址;

如何在内核里动态获得 SSDT 函数的地址;

    在 WIN32 下,第一个问题就根本不是问题,因为 KeServiceDescriptorTable 直接被导

出了。但是 WIN64 下 KeServiceDescriptorTable 没有被导出。所以必须搜索得到它的地址。

反汇编:uf KisystemCall64


    上面看到,貌似直接反汇编uf KiSystemServiceRepeat 试了下,一样可以找到SSDT基址,但是问题是,KiSystemServiceRepeat这个东西的地址找不到,而KiSystemCall64的地址直接可以直接读取指定的 msr 得出。

通过读取 C0000082 寄存器,能够得到 KiSystemCall64 的地址,然后从

KiSystemCall64 的地址开始,往下搜索 0x500 

最低0.47元/天 解锁文章
Win64 驱动内核编程-2.基本框架(安装.通讯.HelloWorld)
天使也掉毛
02-26 4538
驱动安装,通讯,Hello World 开发驱动的简单流程是这样,开发驱动安装程序,开发驱动程序,然后安装程序(或者其他程序)通过通讯给驱动传命令,驱动接到之后进行解析并且执行,然后把执行结果返回。 驱动程序Hello World 之前总结了驱动环境的搭建,这里就直接继续之前搭建好的环境创建项目,打开vs2015创建一个驱动项目: 写代码之前先配置下编译选项: 然
遍历 SSDT ShadowSSDT 编号和函数名
小烟的博客
02-26 662
遍历 SSDT ShadowSSDT 编号和函数名
WIN64驱动编程基础教程
12-06
详细目录如下: 0.基础的基础 |-学习WIN64驱动开发的硬件准备 |-配置驱动开发环境 ------------------------------ 1.驱动级HelloWorld |-配置驱动测试环境 |-编译和加载内核HelloWorld ------------------------------ 2.内核编程基础 |-WIN64内核编程的基本规则 |-驱动程序与应用程序通信 |-内核里使用内存 |-内核里操作字符串 |-内核里操作文件 |-内核里操作注册表 |-内核里操作进线程 |-驱动里的其它常用代码 ------------------------------ 3.内核HOOK与UNHOOK |-系统调用、WOW64与兼容模式 |-编程实现突破WIN7的PatchGuard |-系统服务描述表结构详解 |-SSDT HOOK和UNHOOK |-SHADOW SSDT HOOK和UNHOOK |-INLINE HOOK和UNHOOK ------------------------------ 4.无HOOK监控技术 |-无HOOK监控进线程启动和退出 |-无HOOK监控模块加载 |-无HOOK监控注册表操作 |-无HOOK监控文件操作 |-无HOOK监控进线程句柄操作 |-使用对象回调监视文件访问 |-无HOOK监控网络访问 |-无HOOK监视修改时间 ------------------------------ 5.零散内容 |-驱动里实现内嵌汇编 |-DKOM隐藏进程+保护进程 |-枚举和隐藏内核模块 |-强制结束进程 |-强制读写进程内存 |-枚举消息钩子 |-强制解锁文件 |-初步探索PE32+格式文件 ------------------------------ 6.用户态HOOK与UNHOOK |-RING3注射DLL到系统进程 |-RING3的INLINE HOOK和UNHOOK |-RING3的EAT HOOK和IAT HOOK ------------------------------ 7.反回调 |-枚举与删除创建进线程回调 |-枚举与删除加载映像回调 |-枚举与删除注册表回调 |-枚举与对抗MiniFilter |-枚举与删除对象回调
WIN64驱动编程基础教程合订版本
05-20
WIN64驱动编程基础教程合订版本 把每个章节合成一个完整的PDF文件
普及X64 ssdtshadow inline HOOK
落笔飞花笑百生的博客
09-22 3196
序: 我只想说~~再不发帖老大就 不搭理我了~~~ 原因:玩保护玩到了 XINGCODE3 就他的各种检测就让我不得不重视这个问题了:o: 各种窗口 各种X 我的工具 让我忍无可忍,就决定先HOOK了在说其他 最开始我用TA 的代码里面的 HOOK 方法 在 挂钩 NT 内核中的函数算是无往不利 在SHADOWSSDT中就蛋疼菊花紧了~~ 于是 开始自己搞:mad::mad:
Win64 驱动内核编程-22.SHADOW SSDT HOOK(宋孖健)
墨鱼菜鸡
12-18 470
SHADOWSSDTHOOK HOOK和UNHOOKSHADOWSSDT跟之前的HOOK/UNHOOKSSDT类似,区别是查找SSSDT的特征码,以及根据索引计算函数地址的公式,还有一个就是吧跳转函数写在什么位置,SSDT的时候是写在蓝屏函数里了。 一、获得wKeServ...
Win64 驱动内核编程-32.枚举与删除注册表回调
墨鱼菜鸡
12-18 349
枚举与删除注册表回调 注册表回调是一个监控注册表读写的回调,它的效果非常明显,一个回调能实现在SSDT上HOOK十几个API的效果。部分游戏保护还会在注册表回调上做功夫,监控service 键的子键,实现双层拦截驱动加载(在映像回调那里还有一层)。而在卡巴斯基等HIPS类软件里,...
Win64 驱动内核编程-19.HOOK-SSDT
天使也掉毛
03-19 5030
HOOK SSDT     在 WIN64 上 HOOK SSDT 和 UNHOOK SSDT 在原理上跟 WIN32 没什么不同,甚至说 HOOK 和 UNHOOK 在本质上也没有不同,都是在指定的地址上填写一串数字而已 (填写代理函数的地址时叫做 HOOK,填写原始函数的地址时叫做 UNHOOK)。不过实现起来还是很大不同的。 一 、 HOOK SSDT     要挂钩 SSDT,必然
Win64 驱动内核编程-17. MINIFILTER(文件保护)
墨鱼菜鸡
12-18 481
MINIFILTER(文件保护) 使用HOOK来监控文件操作的方法有很多,可以在SSDT上HOOK一堆和FILE有关的函数,也可以对FSD进行IRPHOOK,不过这些方法既不方便,也不安全。微软推荐的文件操作过滤方法是使用过滤驱动,在VISTA之后,推荐使用MINI...
Win64DriverStudy_Src:WIN64驱动编程基础教程-源码作者:胡文亮
03-24
#### WIN64驱动编程基础教程作者:胡文亮 原始码的编译环境是WDK7600 以下是记者介绍 【原创+福利+源码包】WIN64驱动编程基础教程(含PASS DSE的文件) 大家好,我的是Tesla.Angela。 这份指南本来是拿来出售的,不过由于某些原因导致部分章节出现在了互联网上,于是决定彻底公开了。 详细目录如下: 0.基础的基础 |-学习WIN64驱动开发的硬件准备 |-配置驱动开发环境 1.驱动级HelloWorld |-配置驱动测试环境 |-编译和加载内核HelloWorld 2.内核编程基础 | -WIN64内核编程的基本规则 |-驱动程序与应用程序通信 |-内核里使用内存 |-内核里操作字符串 |-内核里操作文件 |-内核里操作注册表 |-内核里操作进线程 |-驱动里的其他常用代码 3.内核HOOK与UNHOOK |-系统调用,WOW64与兼容模式 |-编程
【原创】shadow ssdt学习笔记(一)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
08-14 1124
标 题: 【原创】shadow ssdt学习笔记(一) 作 者: zhuwg 时 间: 2007-12-22,22:01:29 链 接: http://bbs.pediy.com/showthread.php?t=56955 1。取得shadow ssdt真实地址 系统只提供了KeServiceDescriptorTable导出 KeServiceDescriptorTableSh
获取Powershell命令行参数
墨鱼菜鸡
09-09 1093
这个是偶然发现的,通过测试可以在r0中拿到在powershell输入的命令行参数。 原理是hook NtAlpcSendWaitReceivePort函数,通过解析该函数的第三个参数发现类型为0x01d8时候在偏移0xd0的位置就是powershell参数的位置 下面是代码 #include <Ntifs.h> #include &...
VT笔记(2)突破patchguard保护完成X64Hook
kernweak的博客
06-24 9955
win10,2018新年版后好像不支持了? MSR hook MSR (Model Specific Registers)是CPU 的一组64 位寄存器,可以分别通过RDMSR 和WRMSR 两条指令进行读和写的操作,前提要在ECX 中写入MSR 的地址(MSR地址就像一个宏STAR,LSTAR,CSTAR,SFMASK)。对于RDMSR 指令,将会返回相应的MSR 中64bit 信息到(ED...
Win7 64位的SSDTHOOK(1)---SSDT表的寻找
whatday的专栏
09-14 3407
最近在学习64驱动,涉及到了SSDT的知识,结果发现64位下的SSDT和32位下的SSDT有所不同。 开始发现64位下的KeServiceDescriptorTable是未导出的函数。首先要找到KeServiceDescriptorTable的地址。 方法1: 读取c0000082寄存器 [cpp] view plain copy  
WIN64内核编程-的基础知识
墨鱼菜鸡
09-28 423
  WIN64内核编程基础班(作者:胡文亮) https://www.dbgpro.com/x64driver   我们先从一份“简历”说起:   姓名:X86或80x86   性别:?   出生年月:1978   出生地点:美国   所属公司:主要是INTEL和AMD   主要历史(摘自维基百科):x86架构于1978年推出的Intel 8086中央处理器中首度出   现,它是从Intel...
SSDT HOOK技术(2)——获取SSDT表地址以及从中获取指定SSDT函数的地址
苞米地里捉小鸡的博客
08-19 1603
32 位系统和 64 位上,获取 SSDT 表的方式并不相同,获取 SSDT 表中的函数地址也不相同。 由于32位系统中SSDT是可以通过Ntoskrnl.exe导出的,所以可以直接获取SSDT地址。然而在64位系统上,SSDT不能导出,需要通过特征码寻找到KeServiceDescriptorTable的地址 1.32位获取SSDT的地址 在 32 位系统中,SSDT 表是内核 Ntoskrnl.exe 导出的一张表,导出符号为 KeServiceDescriptorTable,该表含有一个指针指向
内核编程驱动之学习笔记
ATree的博客
11-10 829
驱动程序挂靠任意进程最近学习了内核编程,虽然说学的比较浅,但是也不能有一丝丝的懈怠,生怕自己听不懂,又被班同学落(la)下……就如我的QQ个性签名一样,“有的时候,我们不停地跑啊跑,只是为了能追上那个被寄予厚望的自己……” 操作系统的内核是非常强大的,强大到令你吃惊,内存管理,进程管理,中断机制,保护机制……内核中没有进程,只有线程,都是属于系统进程下的线程,所以我们加载的驱动,都是跑在系统进程下的
Win64 驱动内核编程-9.系统调用、WOW64与兼容模式
墨鱼菜鸡
12-18 314
系统调用、WOW64与兼容模式 这种东西都是偏向于概念的,我就把资料上的东西整理下粘贴过来,资料来源于胡文亮,感谢这位前辈。 WIN64的系统调用比WIN32要复杂很多,原因很简单,因为WIN64系统可以运行两种EXE,而且WIN32EXE的执行效率并不差(据我本人用3D...
全面解析WIN64驱动编程内核级技术
### WIN64驱动编程基础教程知识点详解 #### 0.基础的基础 ##### 学习WIN64驱动开发的...以上内容构成了WIN64驱动编程的基础,涵盖了从入门到高级的多个层面,是深入了解和学习Windows内核编程不可或缺的知识体系。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值