X86 下的SSDT HOOK

最新推荐文章于 2025-05-26 12:35:30 发布
转载 最新推荐文章于 2025-05-26 12:35:30 发布 · 146 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/iBinary/p/11223324.html

本文详细介绍了x32环境下SSDTHOOK的基本原理与实现步骤。通过直接获取系统描述符表及调用号,实现对特定内核函数(如NtTerminateProcess)的拦截与替换。文章提供了具体的代码实例,并探讨了在没有服务号情况下如何进行HOOK。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

SSDTHOOK

1.SSDTHOOK 原理.

x32下,直接获取系统描述符表.以及调用号.就可以进行HOOK了.

x64下可以设置回调来进行过滤我们想要的功能.当然如果你简单的过一下PatchGuard也可以设置SSDT HOOK.

1.x32下的SSDT HOOK

首先SSDT 我们是可以在windbg下看到的

1197364-20190721170230138-1751686552.png

SSDT表的结构如下:


typedef struct _KSERVICE_TABLE_DESCRIPTOR {
    PULONG_PTR Base;
    PULONG Count;
    ULONG Limit;
    PUCHAR Number;
} KSERVICE_TABLE_DESCRIPTOR, *PKSERVICE_TABLE_DESCRIPTOR;

在WRK中的 ke.h中可以看到.

1197364-20190721172427281-1993747791.png

查看定义

1197364-20190721172615107-597204956.png

在wrk中也可以看到定义的地方. 所以我们只需要在我们的函数中引用这个全局变量即可.

其中这个结构第一项是表的首地址 第二项是表的个数. *表 + n = 第某个函数的地址
也就是 base[10]就是第十项的地址.

KeServiceDescriptorTable

1197364-20190721172947276-1892523212.png

对应PCHunter查看.

1197364-20190721173015818-1774961741.png

所以我们想要HOOK就很简单了.

  1. 导入全局变量. 则获得SSDT表的地址
  2. 获取你想HOOK函数的位置
  3. 进行HOOK
  4. HOOK之前关闭一下CR0得写保护

代码如下:

2.SSDT HOOK代码


#include "Driver.h"

NTKERNELAPI UCHAR* PsGetProcessImageFileName(IN PEPROCESS Process);

void UnHook();
void DriverUnLoad(PDRIVER_OBJECT pDriverObj)
{
    UnHook();
    KdPrint(("驱动卸载成功"));
}

typedef struct _KSERVICE_TABLE_DESCRIPTOR {
    PULONG_PTR Base;
    PULONG Count;
    ULONG Limit;
    PUCHAR Number;
} KSERVICE_TABLE_DESCRIPTOR, *PKSERVICE_TABLE_DESCRIPTOR;

__declspec(dllimport) KSERVICE_TABLE_DESCRIPTOR KeServiceDescriptorTable; //导入全局变量

// sizeof(base) + 370 * 4 = NtTerMinateProcess

//extern KSERVICE_TABLE_DESCRIPTOR KeServiceDescriptorTable
typedef NTSTATUS(*PfnZwTerminateProcess)(
    IN HANDLE              ProcessHandle OPTIONAL,
    IN NTSTATUS            ExitStatus);

PfnZwTerminateProcess OldZwTerminateProcess;
NTSTATUS Hook_ZwTerminateProcess(
    IN HANDLE              ProcessHandle OPTIONAL,
    IN NTSTATUS            ExitStatus)
{
    NTSTATUS rc;
    PEPROCESS pRocess;
    UCHAR *pszProcessName;
    //UCHAR *pszProcessName = PsGetProcessImageFileName();
    rc = ObReferenceObjectByHandle(ProcessHandle, GENERIC_ALL, *PsProcessType, KernelMode, &pRocess, NULL);
    if (!NT_SUCCESS(rc))
    {
        
        return OldZwTerminateProcess(ProcessHandle, ExitStatus);
    }
    pszProcessName = PsGetProcessImageFileName(pRocess);
    if (strstr(pszProcessName, "calc"))
    {
        return STATUS_ACCESS_DENIED;
        ObDereferenceObject(pRocess);
    }
    ObDereferenceObject(pRocess);
    rc = OldZwTerminateProcess(ProcessHandle, ExitStatus);
    return rc;
}
//关闭写保护 1111 1111 1111 1110 1111 1111 1111 1111 
VOID _CloseWriteProtected()
{
    __asm
    {
        push eax
        mov eax, cr0
        and eax, 0xFFFEFFFF
        mov cr0,eax
        pop eax
    }
    return;
}
VOID _OpenTheWriteProtected()
{
    __asm
    {
        push    eax
        mov        eax, cr0
        or eax, NOT 0xFFFEFFFF
        mov        cr0, eax
        pop        eax
    }
    return;
}
void HOOK()
{
    //370是ntTerminateProcess 也可以写成 base + sizeof(type) *n = *(KeServiceDescriptorTable.Base) + 4 * 370 = NtTinminateProcess的地址
    /*
    OldZwTerminateProcess = (PfnZwTerminateProcess)(*(KeServiceDescriptorTable.Base) + 370 * 4);
    */
    OldZwTerminateProcess = (PfnZwTerminateProcess)KeServiceDescriptorTable.Base[370];
    _CloseWriteProtected();
    //
    KeServiceDescriptorTable.Base[370] = (int)Hook_ZwTerminateProcess;

    _OpenTheWriteProtected();
}
void UnHook()
{
    _CloseWriteProtected();
    //
    KeServiceDescriptorTable.Base[370] = (int)OldZwTerminateProcess;

    _OpenTheWriteProtected();
}
NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObj, PUNICODE_STRING pRegPath)
{
    
    pDriverObj->DriverUnload = DriverUnLoad;
    
    HOOK();
    return STATUS_SUCCESS;
}

3.结果

1197364-20190721182848242-1248421744.png

4.总结

总的来说如果按照服务号来HOOK是很简单的.如果没有服务号你怎么HOOK?
其实在32位下.你调用的函数.里面就有调用号.内核也跟应用层的调用号是息息相关的.我们可以取得函数调用号进行HOOK也可以.

如:

未测试.
KeServiceDescriptorTable.Base[*(PULONG)((PUCHAR)_FUNCTION +1)];

其中_FUNCTION用名字修改即可.
1197364-20190721183734730-454236112.png

转载于:https://www.cnblogs.com/iBinary/p/11223324.html

SSDTHook实现解析(x86)
KOOKNUT的博客
02-18 473
在说到SSDTHook实现之前,我们首先来了解一下Win32API的调用过程,我们以ReadFile()为例,来看看从Ring3层到Ring0层的调用过程: 在一个Ring3进程Test.exe中调用ReadFile()函数,此时我们调用的是kernel32.dll中的导出函数,接下来ReadFile()会调用到位于ntdll.dll中的NtReadFile()或者ZwReadFile(),在nt...
HOOK集合----SSDT Inline Hook(X86 win7)
qq_42021840的博客
04-24 345
介绍: SSDT InlineHook是在SSDT Hook 基础上来进一步Hook的,SSDTHook 是直接将SSDT表中的 Nt*函数替换成Fake函数,而SSDT Inline Hook是将原函数代码的前五个字节改变为 E9 _ _ _ _ ,后面跟的是Offset,也就是我们Fake函数的偏移地址,这样当Ring3层函数,比如OpenProcess在Ring3 层被调用...
HOOK技术:SSDT HOOK(x86)
weixin_43742894的博客
04-02 558
在进行SSDT Hook之前我们要先了解SSDT的概念和作用。 SSDT: System Services Descriptor Table(系统服务描述符表),在内核中是KeServiceDescriptorTable。这个表就是一个把ring3的Win32 API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服...
全面兼容x86/x64的高级Hook技术
最新发布
weixin_30661119的博客
05-26 1013
Hook技术,直译为“钩子”,是计算机科学领域中一种广泛应用于软件开发和系统分析的技术手段。它允许开发者或研究人员通过拦截软件中的函数调用或数据流动,进而改变程序的行为或数据内容。Hook技术最初主要用于Windows操作系统中,随着时间的发展,现在几乎所有主流操作系统和编程语言都支持某种形式的Hook技术。在实际应用中,Hook技术可以实现多种功能,比如监控和记录软件运行过程、调试程序、扩展软件功能等。而在安全领域,它也常被用于恶意软件的检测和防护,以及合法软件的授权验证等方面。
x86下以ntopenprocess为例的SSDTHook
baidu_36226689的博客
03-23 456
找了一些32位下获取SSDT的文章 很多很笼统 现在以SSDThook为例 展示如何更改SSDT中函数表的函数
Linux x86架构内核Hook实现
qq_42931917的博客
12-27 5357
Linux x86架构内核Hook实现 一、内核函数 text_poke()函数用于在内核动态替换opcode,从而达到Inline Hook的效果。 /** * text_poke - Update instructions on a live kernel * @addr: address to modify * @opcode: source of the copy * @len: length to copy * * Only atomic text poke/set should be
HOOK SSDT,获取 SSDT 函数地址
LYSM
06-24 626
背景 我们要开始向大家演示 SSDT HOOK 的使用方式,帮助我们的程序实现隐藏或是监控等工作。我们之前也一直提到过,在 32 位系统上,要想实现隐藏或是监控的操作,大多数操作就是对 SSDT 函数各种 HOOK,可以是 SSDT HOOK,也可以是 Inline HOOK。但,这些通过对 SSDT 表内存修改而实现的操作,在 64 位系统上不再适用,因为 64 位系统的 Patch Guard 保护机制,把 SSDT 的内存作为重点保护对象,只要对 SSDT 的内存进行修改,都会触发 Patch Gua
SSDT Hook_内核_x86_ssdthook_驱动_
10-03
本项目"SSDT Hook_内核_x86_ssdthook_驱动_"显然是一个针对32位(x86架构)系统的SSDT Hook实现示例,通过提供的文件名如"SSDT Hook.sln",我们可以推断这可能是一个Visual Studio解决方案文件,包含了项目的源代码...
hook pte_菜鸟开始学习SSDT HOOK((附带源码)
weixin_35399893的博客
01-17 674
看了梦无极的ssdt_hook教程,虽然大牛讲得很细,但是很多细节还是要自己去体会,才会更加深入。在这里我总结一下我的分析过程,若有不对的地方,希望大家指出来。首先我们应该认识 ssdt是什么?从梦无极的讲解过程中,我联想到了这样一个场景:古时候有一户人家,姓李,住在皇宫外面,他们家有一个女儿进皇宫当宫女。有一天,李家的老大爷要送东西给他女儿,我们假定他可以进皇宫,于是就开始了这样一个过程。进皇宫...
Hook集合----SSDTHook(x86 Win7)
qq_42021840的博客
03-30 283
最近在学习Ring0层Hook的一些知识点,很久就写完SSDTHook的代码了,但是一直没有整理成笔记,最近有时间也就整理整理。 介绍: SSDTHook 实质是利用Ntoskrnl.exe 中全局导出的SSDT来进行HookSSDT(SystemServiceDescriptorTable,系统服务描述表),为什么要去用到SSDT表呢? 我们看一下Zw...
SSDT钩子 隐藏进程_SSDT HOOK没用汇编代码修改CR0的第16位,修改SSDT进程列表及进程的时间属性值.zip
01-28
1. `hook.c` - 这是一个C语言源代码文件,很可能包含了实现SSDT钩子的代码。开发者可能使用了Windows API函数,如NtSetSystemServiceHook或 ZwSetSystemInformation,来设置钩子,而没有直接操作硬件寄存器。 2. `...
HOOK 完美支持 x86、x64
05-24
完美支持x86、x64下的API HOOK,采用多中选项,x64模式下可以选择 5字节跳转,12字节跳转,和14字节跳转,调用更灵活。
HOOK API 完美支持 x86 x64
05-24
完美支持 x86、x64 HOOK,有多种选项,x64 下支持 5字节跳转,12字节跳转和14字节跳转,另有内核版本。
【C++】D3D11 最新HOOK 源码支持X86_X64
05-21
【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64 【C++】D3D11 最新HOOK 源码支持X86_X64
Hook NtCreateSection的SSDT实现
10-29
这个我学习天书夜读后的大作业。尽管SSDT没有前途了,不过还是可以玩玩的
Windows下x86和x64平台的Inline Hook介绍
PeaZomboss的博客
02-17 2375
Windows下Inline Hook技术可以用来拦截一个指定的函数,并使其跳转到指定的地址执行相应的程序,从而实现某种想要的效果,本文介绍了x86和x64平台下Inline Hook的原理和基本使用方法,着重于x64下可行的方案,以及适用于多线程的方法。
【A-Protect】x86 Hook 系统调用
依然那霖哥
09-15 824
  代码 DriverEntry 创建线程,部分执行代码如下: VOID IsKernelBooting(IN PVOID Context) { // ... _asm { pushad; mov ecx, 0x176; // msr EIP rdmsr; mov KiFastCallEntry, eax; popad...
x86的缓冲区读写 还有hook
qq_41071646的博客
11-18 256
x86hook 其实很简单  其实我们在od里就可以知道 E9+(跳转的地址-现在的地址-5) 然后 跳来跳去就可以 而  缓冲区读写有个很重要的概念就是 #define sub_code CTL_CODE(FILE_DEVICE_UNKNOWN,     0x801,     METHOD_BUFFERED,FILE_ANY_ACCESS) (这是比喻一下 这个是我们的code 值 比如...
关于Win7 x64 Shadow SSDT 的探索和 Inline HOOK
fyfy
05-15 4294
http://bbs.pediy.com/thread-210481.htm 来看雪一年了,在这里面学到了很多知识,非常感谢各位前辈对知识的分享和不懈的研究,也非常感谢各位大神对我们这些小白的照顾,特别要感谢MaMy、hksoobe、luolinlove等大神的指导。我也一直非常希望能为看雪贡献一点什么,但是小白的理解估计大神也看不上,这次也是注册看雪一周年,冲着这个也来发表一点自己的理
掌握Ring3级别Hook ShadowSSDT技术要点
由于直接操作内核级别的数据结构(如SSDT)需要在内核模式(Ring0)下进行,因此在Ring3下进行Hook通常是通过API Hook或某些特殊的Hook技术,比如微软的Detours或EasyHook库,来间接实现。 Hook ShadowSSDT Ring3...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值