Kernel下检测还原正确的SSDT

最新推荐文章于 2022-05-09 01:41:33 发布
最新推荐文章于 2022-05-09 01:41:33 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: Rootkit﹏ 文章标签: descriptor buffer attributes struct module resources
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wangsizhe09/article/details/5857109
版权
本文介绍了如何在内核级别修复Service Descriptor Table (SSDT)的过程。首先通过NtQuerySystemInformation获取ntkrnlpa.exe或ntoskrnl.exe基址,然后读取正确SSDT的偏移和长度。接着计算并更新SSDT中的调用地址,最后在禁用中断的情况下进行SSDT的内存复制。提供了RestoreServiceDescriptorTable函数的详细实现。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 
步骤说明:
1)        用NtQuerySystemInformation取得内核模块ntkrnlpa.exe或ntoskrnl.exe的基址KernelBase,获取内核模块的文件名称,到底是ntkrnlpa.exe还是ntoskrnl.exe.
2)        读取ntkrnlpa.exe或ntoskrnl.exe的映象基址ImageBase,和.Text节中虚拟偏移Virtual Offset,实际偏移Real Offset.
3)        从ntkrnlpa.exe或ntoskrnl.exe读出正确的SSDT: 正确SSDT在ntkrnlpa.exe或ntoskrnl.exe文件中偏移 = *(PULONG)KeServiceDescriptorTable - KernelBase –Virtual Offset + Real Offset.读取长度 = KeServiceDescriptorTable->NumberOfService * 4.
4)        这里读出的内容每4字节就是一个调用的地址,但这样读出的内容还不是SSDT. 计算出正确的SSDT: 每4个字节 - ImageBase + KernelBase.
5)        禁用中断 -> memcpy写SSDT -> 启用中断.
以下是代码了,需要用到我前篇文章写的IrpFile.h,去复制就OK啦.
//RestoreSSDT_Kernel.c/
#include "IrpFile.h"
 
#define SystemModuleInformation 11
 
typedef struct _SYSTEM_MODULE_INFORMATION
{
     ULONG    Reserved[2];
     PVOID    Base;
     ULONG    Size;
     ULONG    Flags;
     USHORT   Index;
     USHORT   Unknown;
     USHORT   LoadCount;
     USHORT   ModuleNameOffset;
     CHAR ImageName[256];
} SYSTEM_MODULE_INFORMATION, *PSYSTEM_MODULE_INFORMATION;
 
typedef struct
{
     ULONG                            NumberOfModules;
     SYSTEM_MODULE_INFORMATION   smi;
} MODULES, *PMODULES;
 
NTSYSAPI
NTSTATUS
NTAPI
NtQuerySystemInformation(
     IN ULONG SysInfoClass,
     IN OUT PVOID SystemInformation,
     IN ULONG SystemInformationLength,
     OUT PULONG Re

最低0.47元/天 解锁文章
进程隐藏学习总结
bcbobo21cn的专栏
05-08 4859
怎么隐藏进程 工具/原料 HideToolz 步骤/方法 1 在百度上面搜索HideToolz ,打开第一个搜索结果,点击进入下载。把HideToolz 下载到你的电脑里面。 2 鼠标双击打开该压缩包,再直接双击该软件即可打开该软件了。并且在软件里面可以看见目前的进程数为多少个。 3 按Ctrl + Alt + . 【启动任务管理器】,在 HideTool
浅谈hook攻防
hongduilanjun的博客
05-09 3268
攻与防都是相对的,只有掌握细节才能更好的对抗。 基础知识 对于Windows系统,它是建立在事件驱动机制上的,说白了就是整个系统都是通过消息传递实现的。hook(钩子)是一种特殊的消息处理机制,它可以监视系统或者进程中的各种事件消息,截获发往目标窗口的消息并进行处理。所以说,我们可以在系统中自定义钩子,用来监视系统中特定事件的发生,完成特定功能,如屏幕取词,监视日志,截获键盘、鼠标输入等等。 钩子的种类很多,每种钩子可以截获相应的消息,如键盘钩子可以截获键盘消息,外壳钩子可以截取、启动和关闭应用程序的消息
内核重载-让所有的SSDT函数全部走自己的路!过任何驱动保护
07-31
内核重载-让所有的SSDT函数全部走自己的路!过任何驱动保护 一份 非常不错的源码。。 内核重载了,让所有的SSDT函数全部走自己的路 。爆发式的驱动源码公开。代表了我国民间驱动技术已逐渐成熟,韩国棒子的NP技术终将被完结! 内核重载:内核重载后指定某个程序使用你重载的内核,可以绕过原有内核上面的所有hook
绕过安全软件挂钩SSDT检测
04-16 1414
很多安全软件都靠挂钩SSDT中的函数来检测恶意代码,就拿卡巴举例吧,他挂了NtCreateKey来检测注册表的创建,NtCreateThread和NtResumeThread/NtWriteVirtualMemory来检测远程注入, 等等,这些钩子让我们后期的动作很可能暴露,怎么样才能为所欲为呢?我这里提一种方案:1. 首先在用户态读取NTOSKRNL.EXE,找出原始的SSDT的位置,提交到内核
SSDT检测与恢复
08-28 1503
为避免检测失效(rootkit惯用的hook,inline hook)一个有效的方法是,我们在进行每一项检测之前都确保自身所使用的函数没有被hook,这样就不得不涉及到ssdt恢复和一些inline hook恢复了.ssdt是啥?原理之类的网上很多,相信感兴趣的你肯定不缺乏这方面的知识.我这里提供个方便,放个片段,//枚举SSDT表typedef struct _tagSSDT {  
驱动编程-ssdt hook--系统服务表
健景的博客
05-04 667
整理下自己的驱动编程。 ssdt是系统服务表,每个window系统都会维护自己的系统服务表。我们可以使用kernel detective看下ssdt表。 以openProcess为例子: 开windbg kd> u nt!ZwOpenProcess nt!ZwOpenProcess: 804ff720 b87a000000      mov     eax,7Ah  //7A 8
构建API调用框架绕过杀软hook
hongduilanjun的博客
05-09 790
我们知道杀软在API函数的监控上一般有两种手段,一种是在3环直接通过挂钩到自己的函数判断是否调用了这个API,另外一种方式就是在0环去往SSDT表的路径上挂钩来判断进0环后的操作。那么我们如果不想杀软监控我们的行为,之前提过的内核重载是一种绕过的方式,但是内核重载的动静太大,这里我们就通过直接重写3环到0环的API,通过重写KiFastCallEntry来自己调用内核的函数,以达到规避杀软的效果。 调用过程 我们首先来看一下API函数的调用过程,这里以OpenProcess函数为例 首先在kernel32
基于文件与内容比较检测SSDT变化
热门推荐
小驹的专栏
12-18 1万+
在DriverEntry中FindOriAddress(3)得到文件基址中的SSDT索引号为3的函数地址 调试结果如下: 通过脚本查看到的SSDT的信息如下图: 脚本来源于:http://bbs.pediy.com/showthread.php?t=34018 $$ ntcall Script v0.1 $$ by 小喂 2006.10.29 $$ $$><d:
hp dl388 install linux 无法识别raid,HP Proliant DL580 G5安装centos7 x64无法识别阵列卡问题...
weixin_30498015的博客
05-14 726
1、进入安装光盘,用上下键选择安装centos——Install Centos7(注意不可按Enter键),如图: 2、按Tab键,对安装进行额外配置,在屏幕最下方会显示如下字样: 3、在额外配置的命令行上添加配置: hpsa.hpsa_simple_mode=1 hpsa.hpsa_allow_any=1,如图所示: 4、按回车继续安装经过以上几步,安装程序即可识别出HP服务器的硬盘。参考:ht...
Do All In One EXE File Under Win32
10-25 1223
文章提交:icelord (icelord_at_sohu.com)希望题目没有语法错误。    Exe可执行,可以使用系统提供的各种服务,do all in one exe看起来是句废话。仅作技术研究,各位不要为几个文字争论。很早就看过高手写过的文章,>、>,今天我也来班门弄斧一把。做后门、木马,现在的技术不知道是什么样的,但是个人认为将他们做到内核之中,将更有威力。当然,这也是把双刃剑。见过一
PE-64位-重定位表-读取解析-保存修改-代码
插件开发
03-14 1977
重定位表(Relocation Table)用于在程序加载到内存中时,进行内存地址的修正。一个简单程序test.exe需要三个动态链接库dll(a.dll,b.dll,c.dll),假设test.exe的ImageBase为400000H,而a.dll、b.dll、c.dll的基址ImageBase均为1000000H。
一份内核重载代码的学习笔记
0xDQ的博客
04-21 1305
0x00 前言 参考文章:https://blog.youkuaiyun.com/whatday/article/details/14160875 https://blog.youkuaiyun.com/pjz969/article/details/8615085 首先重载内核不是什么新技术,对于绕过HOOK是一种一刀切的做法,不过对于我这样初探内核的小白还是很有总结意义的。 本篇涉及的知识点:0环和3环通信...
PE总结14---PE文件结构之重定位表 (IMAGE_BASE_RELOCATION)
oBuYiSeng的博客
12-11 5843
重定位就是你本来这个程序理论上要占据这个地址,但是由于某种原因,这个地址现在不能让你霸占,你必须转移到别的地址,这就需要基址重定位。 // 【基址重定位位于数据目录表的第六项,共8 + N字节】 typedef struct _IMAGE_BASE_RELOCATION { DWORD VirtualAddress; //重定位数据开始的RVA 地址 DWORD SizeOfBloc
windows PE Image 文件分析
ymzhou117的专栏
03-10 3623
转自:http://www.mouseos.com/windows/PE_image1.html 上面是 windows PE 可执行文件格式的结构图,分为 4 个部分:DOS 文件头、NT 文件头、Section 表以及 Directory 表格。 windows 的 executable image 文件使用的是这种 PE 格式,而 object 文件使用的是 COFF 文件格式。
PE文件结构处理经验总结
点点灵犀
04-21 1299
这个是我原先发在看雪上的一个帖子。 本文不是讲解Pe文件格式的,而是对Pe格式编程时遇到的问题的记录和总结。 如果对Pe文件不是很熟悉,请先查阅其他人写的PE文章。   该贴是我在写加壳工具的时候遇到问题的总结。记录下来,供以后温习,希望对各位也有一定帮助。   由于本人接触该方面时间不长,免不了存在失误之处,敬请拍砖。      1. IMAGE_DOS_HEADER
深度解析内存读写拦截技术及其应用
- **SSDT Hooking**:修改系统服务描述表(SSDT)来改变系统调用的入口点。 ### DLL注入 DLL注入是一种向正在运行的进程注入DLL的技术,通常用于提供额外的功能或修改程序行为。DLL注入方法多样,包括但不限于: - ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值