SSDT表的知识目录:

A、了解SSDT结构

B、由SSDT索引号获取当前函数地址       

C、如何获取索引号

D、获取起源地址-判断SSDT是否被HOOK

E、如何向内核地址写入自己代码

A、了解SSDT结构

SSDT的全称是 System  ServicesDescriptor Table--系统服务描述符表,是由 ntoskrnl.exe导出KeServiceDescriptorTable 这个表,是全局的,声明导出即可在编程中使用。

typedef  struct  ServiceDescriptorEntry

{

   unsigned  int  *ServiceTableBase;       //SystemService Dispatch Table 的基地址

   unsigned  int  *ServiceCounterTable(0);

//包含着 SSDT 中每个服务被调用次数的计数器。这个计数器一般由 sysenter  更新。

   unsigned  int   NumberOfServices;     //由 ServiceTableBase描述的服务的数目。

   unsigned  char  *ParamTableBase;

//包含每个系统服务参数字节数表的基地址-系统服务参数表

 } SSDT_Entry;

用windbg 了解SSDT结构,命令:

dp    nt!KeServiceDescriptorTable

B、由SSDT索引号获取当前函数地址

[[KeServiceDescriptorTable基址] + index*4]

 

C、如何获取SSDT索引号

用工具查看如:狙剑、火眼等

D、获取起源地址-判断SSDT是否被HOOK

MmGetSystemRoutineAddress函数,得到系统导出函数的地址

包含头文件Wdm.h 或Ntddk.h

//NTKERNELAPI

PVOID

MmGetSystemRoutineAddress (

    __in    PUNICODE_STRING   SystemRoutineName

    )

/*++

Routine Description:

    This functionreturns the address of the argument function pointer if

    it is in the kernelor HAL, NULL if it is not.

Arguments:

    SystemRoutineName -Supplies the name of the desired routine.

Return Value:

    Non-NULL functionpointer if successful.  NULL if not.

Environment:

    Kernel mode,PASSIVE_LEVEL, arbitrary process context.

--*/

{

    PKTHREADCurrentThread;

    NTSTATUS Status;

    PKLDR_DATA_TABLE_ENTRY DataTableEntry;

    ANSI_STRINGAnsiString;

    PLIST_ENTRYNextEntry;

    UNICODE_STRINGKernelString;

    UNICODE_STRINGHalString;

    PVOIDFunctionAddress;

    LOGICAL Found;

    ULONGEntriesChecked;

    ASSERT(KeGetCurrentIrql() == PASSIVE_LEVEL);

    EntriesChecked = 0;

    FunctionAddress =NULL;

    KernelString.Buffer= (const PUSHORT) KERNEL_NAME;

    KernelString.Length= sizeof (KERNEL_NAME) - sizeof (WCHAR);

   KernelString.MaximumLength = sizeof KERNEL_NAME;

    HalString.Buffer =(const PUSHORT) HAL_NAME;

    HalString.Length =sizeof (HAL_NAME) - sizeof (WCHAR);

   HalString.MaximumLength = sizeof HAL_NAME;

    do {

        Status =RtlUnicodeStringToAnsiString (&AnsiString,

                                               SystemRoutineName,

                                               TRUE);

        if (NT_SUCCESS(Status)) {

            break;

        }

       KeDelayExecutionThread (KernelMode, FALSE,(PLARGE_INTEGER)&MmShortTime);

    } while (TRUE);

    //

    // Arbitraryprocess context so prevent suspend APCs now.

    //

    CurrentThread =KeGetCurrentThread ();

    KeEnterCriticalRegionThread(CurrentThread);

   ExAcquireResourceSharedLite (&PsLoadedModuleResource, TRUE);

    //

    // Check only thekernel and the HAL for exports.

    //

    NextEntry =PsLoadedModuleList.Flink;

    while (NextEntry !=&PsLoadedModuleList) {

        Found = FALSE;

        DataTableEntry= CONTAINING_RECORD(NextEntry,

                                          KLDR_DATA_TABLE_ENTRY,

                                          InLoadOrderLinks);

        if (RtlEqualUnicodeString(&KernelString,

                                  &DataTableEntry->BaseDllName,

                                  TRUE)) {

            Found =TRUE;

           EntriesChecked += 1;

        }

        else if(RtlEqualUnicodeString (&HalString,

                                       &DataTableEntry->BaseDllName,

                                       TRUE)){

            Found =TRUE;

           EntriesChecked += 1;

        }

        if (Found ==TRUE) {

           FunctionAddress = MiFindExportedRoutineByName(DataTableEntry->DllBase,

                                                         &AnsiString);

            if(FunctionAddress != NULL) {

                break;

            }

            if (EntriesChecked== 2) {

                break;

            }

        }

        NextEntry =NextEntry->Flink;

    }

   ExReleaseResourceLite (&PsLoadedModuleResource);

   KeLeaveCriticalRegionThread (CurrentThread);

    RtlFreeAnsiString(&AnsiString);

    returnFunctionAddress;

}

//WRK中的源码

E、如何向内核地址写入自己代码

在后期版本的操作系统中,要求SSDT是只读的,因此任何合法的程序都不可能修改这个表,不过聪明的大牛们还是想出了修改SSDT表的方法。

方法一:更改注册表(需要重启)

HKLM\SYSTEM\CurrentControlset\Control\SessionManger\MemoryManagement\EnforceWriteProtection= 0

HKLM\SYSTEM\CurrentControlset\Control\SessionManger\MemoryManagement\DisablePagingExecutive= 1

方法二:修改CR0寄存器的第1位即wp位置0

//关闭内存保护

_asm

{

    push eax

    mov eax, CR0

    and eax, 0FFFEFFFFh

    mov CR0, eax

    pop eax

} 

//恢复内存保护

_asm

{

    push eax

    mov eax, CR0

    or eax , not 0FFFEFFFFh

    mov CR0, eax

    pop eax

}

方法三:利用MDL(Memory Descriptor List)来绕过写保护

//MDL reference defined inntddk.h

typedef struct  _MDL{

                      Struct  _MDL   *Next;

                      CSHORT  Size;

                      CSHORT  MdlFlags;

                      Struct  _EPROCESS  *Process;

                      PVOID   MappedSystemVa;

                      PVOID   StartVa;

                      ULONG   ByteCount;

                      ULONG   ByteOffset;

}MDL,*PMDL; 

//MDL Flags

#define	MDL_MAPPED_TO_SYSTEM_VA             0x0001

#define	MDL_PAGES_LOCKED                    0x0002

#define	MDL_SOURCE_IS_NONPAGED_POOL         0x0004

#define	MDL_ALLOCATED_FIXED_SIZE            0x0008

#define MDL_PARTIAL                         0x0010

#define	MDL_PARTIAL_HAS_BEEN_MAPPED         0x0020

#define	MDL_IO_PAGE_READ                    0x0040

#define	MDL_WRITE_OPERATION                 0x0080

#define	MDL_PARENT_MAPPED_SYSTEM_VA         0x0100

#define MDL_LOCK_HELD                       0x0200

#define MDL_PHYSICAL_VIEW                   0x0400

#define MDL_IO_SPACE                        0x0800

#define	MDL_NETWORK_HEADER                  0x1000

#define	MDL_MAPPING_CAN_FAIL                0x2000

#define	MDL_ALLOCATED_MUST_SUCCEED          0x4000 

//声明

#pragma pack(1)

typedef struct  ServiceDescriptorEntry{

                                        unsigned int*   ServiceTableBase;

					unsigned int*   ServiceCounterTableBase;

					unsigned int    NumberOfService;

					unsigned char*  ParamTableBase;

}SSDT_Entry;

#pragma pack()

//导出SSDT表

_declspec(dllimport)SSDT_Entry KeServiceDescriptorTable;

//保存原始的系统调用地址

PMDL g_pmdlSystemCall;

PVOID *MappedSystemCallTable;

//创建MDL

g_pmdlSystemCall = MmCreateMdl(NULL, KeServiceDescriptorTable, ServiceTableBase, KeServcieDescriptorTable.NumberOfService*4);

if(!g_pmdlSystemCall)

{

	return STATUS_UNSUCCESSFUL;

}

//构建非分页内存

MmBuildMdlForNonPagedPool(g_pmdlSystemCall);

//改变MDL的标志

g_pmdlSystemCall->MdlFlags = g_pmdlSystemCall->MdlFlags | MDL_MAPPED_TO_SYSTEM_VA ;

//锁定内存

MappedSystemCallTable = MmMapLockedPages(g_pmdlSystemCall, KernelMode);

参考资料:

《Windows内核的安全防护》推荐

http://blog.csdn.net/evi10r/article/details/6840564

SSDT表结构的深入学习的更多相关文章

  1. VSTO学习笔记(八)向 Word 2010 中写入表结构

    原文:VSTO学习笔记(八)向 Word 2010 中写入表结构 前几天公司在做CMMI 3级认证,需要提交一系列的Word文档,其中有一种文档要求添加公司几个系统的数据库中的表结构.我临时接到了这项 ...

  2. Activiti学习(二)数据表结构

    Activiti工作流引擎数据库表结构 数据库表的命名 Acitiviti数据库中表的命名都是以ACT_开头的.第二部分是一个两个字符用例表的标识.此用例大体与服务API是匹配的. l        ...

  3. Oracle 学习系列之一(表空间与表结构)

    create tablespace user3 datafile 'e:\test\user3_data.dbf' size 20M --表空间初始大小为: 20Mautoextend on next ...

  4. oracle 学习笔记 复制表结构

    1.复制表结构以及数据 create table d_table_name as select * from s_table_name;  ---注意并不会创建索引 2.只复制表结构 create t ...

  5. SQL server学习(二)表结构操作、SQL函数、高级查询

    数据库查询的基本格式为: select ----输出(显示)你要查询出来的值 from -----查询的依据 where -----筛选条件(对依据(数据库中存在的表)) group by ----- ...

  6. Spring batch学习 持久化表结构详解(2)

    #接上一篇 这一篇讲一下持久化需要表 batch_job_execution, batch_job_execution_context, batch_job_execution_params, bat ...

  7. hive学习5(复制表结构)

    hive复制表结构 CREATE TABLE new_table LIKE old_table; 例:创建一个和stg_job表一样表结构的s_job表 create table s_job like ...

  8. Mysql学习—查看表结构、修改和删除数据表

    原文出自:http://blog.csdn.net/junjieguo/article/details/7668775 查看表结构 查看表结构可以用语句DESCRIBE或SHOW CREATE TAB ...

  9. android 基础学习(6)-----sqlite3查看表结构

    原文:http://blog.csdn.net/richnaly/article/details/7831933 sqlite3查看表结构 在android下通过adb shell命令可以进入sqli ...

随机推荐

  1. 不使用map和set实现LRU——那用List?

    遇到一道面试题,不使用map和set实现LRU,要求get的时间复杂度为O(logn),put的时间复杂度不超过O(n).想到了用ArrayList来实现,保存有序的key.然而牵涉add节点,在保证 ...

  2. 理解ASP.NET Core 中的WebSocket

    在本文中,我们将详细介绍RFC 6455 WebSocket规范,并配置一个通用的.NET 5应用程序通过WebSocket连接与SignalR通信. 我们将深入底层的概念,以理解底层发生了什么. 关 ...

  3. 通过kubeadm快速部署K8S集群

    kubeadm是官方社区推出的一个用于快速部署kubernetes集群的工具. 这个工具能通过两条指令完成一个kubernetes集群的部署: # 创建一个 Master 节点 $ kubeadm i ...

  4. CCF(317号子任务)-35分:Dijikstra算法

    317号子任务 201903-5 为了过前60分,想使用dijikstra优化算法的,但是最后还是只过了35分.这里的思路只需要先将所有的行星据点进行一次dijikstra,分别存储所有点到行星的最短 ...

  5. 腾讯云容器服务 TKE 拿下新加坡 MTCS 最高级别安全认证

    近日,腾讯云容器服务 TKE 荣获新加坡 MTCS 最高级安全认证,标志着腾讯云 TKE 在为用户提供可靠.易部署.灵活扩展等基础服务上,已经全面满足了新加坡监管机构以及多个行业客户对服务安全的要求. ...

  6. Python中OS对目录的操作以及引用

    路径的获取 对当前目录的获取 1 path = os.getcwd() 2 print("获取到的当前目录是:({})".format(path)) 获取当前文件所在的绝对路径 i ...

  7. Prometheus自定义指标

    1.  自定义指标 为了注册自定义指标,请将MeterRegistry注入到组件中,例如: public class Dictionary { private final List<String ...

  8. allure报告详解+jenkins配置

    今天的博客分为两部分 1.allure报告实战 2.allure结合jenkins 一.allure 1.allure安装 a.下载路径 https://repo.maven.apache.org/m ...

  9. Flutter 改善套娃地狱问题(仿喜马拉雅PC页面举例)

    前言 这篇文章是我一直以来很想写的一篇文章,终于下定决心动笔了. 写Flutter的小伙伴可能都感受到了:掘金的一些热门的Flutter文章下,知乎的一些Flutter的话题下或者一些论坛里面,喷Fl ...

  10. linux中c语言编程main函数和参数

    linux下main函数的的标准调用函数的标准形式 int main(int char,char *argv[]) 在main函数的两个参数中,argc必须是整型变量,其是命令行的参数的数目,argv ...