通过SSDT HOOK实现进程保护和进程隐藏

---恢复内容开始---

首先，我要说一件很重要的事，本人文采不好，如果哪里说的尴尬了，那你就尴尬着听吧。。。。。。

　　SSDT HOOK最初貌似源于Rookit，但是Rookit之前有没有其他病毒使用，这就不清楚了，总之这个功能很不错，那么什么是SSDT呢，SSDT全称是(System Services Descriptor Table)，它将ring3的Win32 API和ring0的内核函数联系起来，SSDT 并不仅仅只包含一个庞大的地址索引表，它还包含着一些其它有用的信息，诸如地址索引的基地址、服务函数个数等。

通过修改此表的函数地址可以对常用 Windows 函数及 API 进行 Hook，从而实现对一些关心的系统动作进行过滤、监控的目的。一些 HIPS、防毒软件、系统监控、注册表监控软件往往会采用此接口来实现自己的监控模块。

　　SSDT基址存储在KSYSTEM_SERVICE_TABLE->ServiceTableBase中，下面是这个结构的定义

kd> dt _KSYSTEM_SERVICE_TABLE
ssdtHook!_KSYSTEM_SERVICE_TABLE
   +0x000 ServiceTableBase :            Ptr32 Uint4B //SSDT (System Service Dispatch Table)的基地址

　　+0x004 ServiceCounterTableBase : 　　Ptr32 Uint4B　//用于 checked builds, 包含 SSDT 中每个服务被调用的次数　　+0x008 NumberOfService : Uint4B 
　　+0x00c ParamTableBase : Uint4B

　　其实ServiceTableBase也是一个数据结构，我们这里从WRK中看看它的定义

typedef struct _KSERVICE_TABLE_DESCRIPTOR {
    PULONG_PTR Base;　　
    PULONG Count;
    ULONG  Limit;
    PUCHAR Number;
} KSERVICE_TABLE_DESCRIPTOR, *PKSERVICE_TABLE_DESCRIPTOR;

　　这里的Base成员就是存储各函数地址的基址，再补充一点，内核中有两个系统服务描述符表,一个是KeServiceDescriptorTable(由ntoskrnl.exe导出),一个是KeServieDescriptorTableShadow(没有导出)。我们HOOK的是KeServiceDescriptorTable中的函数地址，KeServiceDescriptorTable是一个内核变量，可通过extern来使用它，而且它存储的就是_KSYSTEM_SERVICE_TABLE的首地址　

kd> dd KeServiceDescriptorTable
8055d700  80505450 00000000 0000011c 805058c4
8055d710  00000000 00000000 00000000 00000000
8055d720  00000000 00000000 00000000 00000000

kd> dt _KSYSTEM_SERVICE_TABLE 80505450
ssdtHook!_KSYSTEM_SERVICE_TABLE
   +0x000 ServiceTableBase : 0x805a5614  -> 0x9c68
   +0x004 ServiceCounterTableBase : 0x805f1adc  -> 0x8b55ff8b
   +0x008 NumberOfService  : 0x805f5312
   +0x00c ParamTableBase   : 0x805f1b0e

　　

　　这里我保护进程是HOOK的函数NtOpenProcess，隐藏进程是通过NtQuerySystemInformation实现的，为什么HOOK NtOpenProcess呢，因为任务管理器结束任务的时候，会通过OpenProcess获得被结束的进程句柄，然后再结束。 HOOK NtQuerySystemInformation的原因是因为可以通过它的参数，得到进程链(不同于EPROCESS)，然后摘除掉，这样任务管理器就不会显示了，NtOpenProcess的索引号可以通过OD得知    我要做的步骤如下：

　　第一： 首先用驱动创建个Device，然后绑定个符号链接，供其与R3程序进行通信

　　第二： HOOK NtOpenProcess和

---恢复内容结束---

首先，我要说一件很重要的事，本人文采不好，如果哪里说的尴尬了，那你就尴尬着听吧。。。。。。

　　SSDT HOOK最初貌似源于Rookit，但是Rookit之前有没有其他病毒使用，这就不清楚了，总之这个功能很不错，那么什么是SSDT呢，SSDT全称是(System Services Descriptor Table)，它将ring3的Win32 API和ring0的内核函数联系起来，SSDT 并不仅仅只包含一个庞大的地址索引表，它还包含着一些其它有用的信息，诸如地址索引的基地址、服务函数个数等。

通过修改此表的函数地址可以对常用 Windows 函数及 API 进行 Hook，从而实现对一些关心的系统动作进行过滤、监控的目的。一些 HIPS、防毒软件、系统监控、注册表监控软件往往会采用此接口来实现自己的监控模块。

　　SSDT基址存储在KSYSTEM_SERVICE_TABLE->ServiceTableBase中，下面是这个结构的定义

kd> dt _KSYSTEM_SERVICE_TABLE
ssdtHook!_KSYSTEM_SERVICE_TABLE
   +0x000 ServiceTableBase :            Ptr32 Uint4B //SSDT (System Service Dispatch Table)的基地址

　　+0x004 ServiceCounterTableBase : 　　Ptr32 Uint4B　//用于 checked builds, 包含 SSDT 中每个服务被调用的次数　　+0x008 NumberOfService : Uint4B 
　　+0x00c ParamTableBase : Uint4B

　　其实ServiceTableBase也是一个数据结构，我们这里从WRK中看看它的定义

typedef struct _KSERVICE_TABLE_DESCRIPTOR {
    PULONG_PTR Base;　　
    PULONG Count;
    ULONG  Limit;
    PUCHAR Number;
} KSERVICE_TABLE_DESCRIPTOR, *PKSERVICE_TABLE_DESCRIPTOR;

　　这里的Base成员就是存储各函数地址的基址，再补充一点，内核中有两个系统服务描述符表,一个是KeServiceDescriptorTable(由ntoskrnl.exe导出),一个是KeServieDescriptorTableShadow(没有导出)。我们HOOK的是KeServiceDescriptorTable中的函数地址，KeServiceDescriptorTable是一个内核变量，可通过extern来使用它，而且它存储的就是_KSYSTEM_SERVICE_TABLE的首地址　

kd> dd KeServiceDescriptorTable
8055d700  80505450 00000000 0000011c 805058c4
8055d710  00000000 00000000 00000000 00000000
8055d720  00000000 00000000 00000000 00000000

kd> dt _KSYSTEM_SERVICE_TABLE 80505450
ssdtHook!_KSYSTEM_SERVICE_TABLE
   +0x000 ServiceTableBase : 0x805a5614  -> 0x9c68
   +0x004 ServiceCounterTableBase : 0x805f1adc  -> 0x8b55ff8b
   +0x008 NumberOfService  : 0x805f5312
   +0x00c ParamTableBase   : 0x805f1b0e

　　

　　这里我保护进程是HOOK的函数NtOpenProcess，隐藏进程是通过NtQuerySystemInformation实现的，为什么HOOK NtOpenProcess呢，因为任务管理器结束任务的时候，会通过OpenProcess获得被结束的进程句柄，然后再结束。 HOOK NtQuerySystemInformation的原因是因为可以通过它的参数，得到进程链(不同于EPROCESS)，然后摘除掉，这样任务管理器就不会显示了，NtOpenProcess的索引号可以通过OD得知    我要做的步骤如下：

　　第一： 首先用驱动创建个Device，然后绑定个符号链接，供其与R3程序进行通信

　　第二： HOOK NtOpenProcess和