最近在学习Ring0层Hook的一些知识点,很久就写完SSDTHook的代码了,但是一直没有整理成笔记,最近有时间也就整理整理。

介绍:

SSDTHook 实质是利用Ntoskrnl.exe 中全局导出的SSDT来进行Hook,SSDT(SystemServiceDescriptorTable,系统服务描述表),为什么要去用到SSDT表呢?

我们看一下ZwOpenProcess实现就明白了。为什么不用Nt系列函数,可以看我之前的文章。

kd> u 0x8485acd8

            nt!ZwOpenProcess:

            8485acd8 b8 be000000      mov     eax,0BEh

            8485acdd 8d542404        lea     edx,[esp+]

            8485ace1 9c              pushfd

            8485ace2 6a08            push

            8485ace4 e8d5190000      call    nt!KiSystemService (8485c6be)

            8485ace9 c21000          ret     10h

            nt!ZwOpenProcessToken:

            8485acec b8bf000000      mov     eax,0BFh

            8485acf1 8d542404        lea     edx,[esp+]

KiSystemService是系统调用的内核入口,也是从Ring3陷入Ring0的关键点。在第一句中mov eax,0BEh 中的BEh在我看来就是一个序号,相当于中断向量表中的中断类型号一样,在SSDT表中通过这序号,才找到真正的NtOpenProcess函数的代码出。很容易就能理解,我们为什么要找这个。原因在于:我们要把SSDT表中相应位置的函数地址替换掉,就实现了Hook。

 (一)

⚪首先找到全局导出的KeServiceDescriptorTable。

⚪然后从MmGetSystemRoutineAddress函数中获取ZwOpenProcess函数地址。

⚪从ZwOpenProcess中获取序号。

⚪将SSDT表所在页属性改为可读可写的状态。

⚪将自己写好的Fake函数地址替换进去即可。

Hook之前:                                                                               Hook之后:

             

(二)

/*

typedef struct _SYSTEM_SERVICE_DESCRIPTOR_TABLE_

{

    PVOID ServiceTableBase; //这个指向系统服务函数地址表

    PULONG ServiceCounterTableBase;

    ULONG NumberOfService; //服务函数的个数

    ULONG ParamTableBase;

}SYSTEM_SERVICE_DESCRIPTOR_TABLE, *PSYSTEM_SERVICE_DESCRIPTOR_TABLE;

0x84988b00 struct _SYSTEM_SERVICE_DESCRIPTOR_TABLE_ *

ServiceTableBase         0x8489d43c

ServiceCounterTableBase  0x00000000

NumberOfService          0x191

ParamTableBase           0x8489da84

*/

extern PSYSTEM_SERVICE_DESCRIPTOR_TABLE KeServiceDescriptorTable;

PUCHAR __ZwOpenProcess = NULL;

PMDL __MDL = NULL;

PVOID *__ServiceTableBase = NULL;

LPFN_NTOPENPROCESS __NtOpenProcess = NULL;

BOOLEAN __IsHook = FALSE;

#define SSDT_INDEX(ZwFunctionAddress) * (PULONG)((PUCHAR)ZwFunctionAddress +1)

#define SSDT_HOOK(ZwFunctionAddress,FakeFunctionAddress,OriginalFunctionAddress)\

                 OriginalFunctionAddress = (PVOID) InterlockedExchange((PLONG)&__ServiceTableBase[SSDT_INDEX(ZwFunctionAddress)],(LONG)FakeFunctionAddress)

#define SSDT_UNHOOK(ZwFunctionAddress,OriginalFunctionAddress)\

                   (PVOID) InterlockedExchange((PLONG)&__ServiceTableBase[SSDT_INDEX(ZwFunctionAddress)],(LONG)OriginalFunctionAddress)

NTSTATUS SSDTHook(BOOLEAN IsOk)

{

    NTSTATUS Status = STATUS_UNSUCCESSFUL;

    UNICODE_STRING v1;

    RtlInitUnicodeString(&v1, L"ZwOpenProcess");

    if (IsOk)

    {

        __ZwOpenProcess = (PUCHAR)MmGetSystemRoutineAddress(&v1);

        /*

        2: kd> u 0x8485acd8

            nt!ZwOpenProcess:

            8485acd8 b8 be000000      mov     eax,0BEh

            8485acdd 8d542404        lea     edx,[esp+4]

            8485ace1 9c              pushfd

            8485ace2 6a08            push    8

            8485ace4 e8d5190000      call    nt!KiSystemService (8485c6be)

            8485ace9 c21000          ret     10h

            nt!ZwOpenProcessToken:

            8485acec b8bf000000      mov     eax,0BFh

            8485acf1 8d542404        lea     edx,[esp+4]

        */

        if (__ZwOpenProcess)

        {

            if (__MDL == NULL)

            {

                __MDL = MmCreateMdl(NULL, KeServiceDescriptorTable->ServiceTableBase,

                    KeServiceDescriptorTable->NumberOfService * sizeof(PVOID));

                if (!__MDL)

                {

                    return Status;

                }

                MmBuildMdlForNonPagedPool(__MDL);

                //设置标志让内存变成读写

                __MDL->MdlFlags = __MDL->MdlFlags | MDL_MAPPED_TO_SYSTEM_VA;

                __ServiceTableBase = MmMapLockedPages(__MDL, KernelMode);

            }

            if (__ServiceTableBase)

            {

                if (!__IsHook)

                {

                    //开始HOOK

                    SSDT_HOOK(__ZwOpenProcess, FakeNtOpenProcess, __NtOpenProcess);

                    Status = STATUS_SUCCESS;

                    /*

                    2: kd> u 0x84a31ba1

                        nt!NtOpenProcess:

                        84a31ba1 8bff            mov     edi,edi

                        84a31ba3 55              push    ebp

                        84a31ba4 8bec            mov     ebp,esp

                        84a31ba6 51              push    ecx

                        84a31ba7 51              push    ecx

                        84a31ba8 64a124010000    mov     eax,dword ptr fs:[00000124h]

                        84a31bae 8a803a010000    mov     al,byte ptr [eax+13Ah]

                        84a31bb4 8b4d14          mov     ecx,dword ptr [ebp+14h]

                    */

                    __IsHook = TRUE;

                }

            }

        }

    }

    else

    {

        if (__IsHook)

        {

            SSDT_UNHOOK(__ZwOpenProcess, __NtOpenProcess);

            __IsHook = FALSE;

        }

        if (__MDL)

        {

            MmUnmapLockedPages(__ServiceTableBase, __MDL);

            IoFreeMdl(__MDL);

            __MDL = NULL;

            Status = STATUS_SUCCESS;

        }

    }

    return Status;

}

NTSTATUS FakeNtOpenProcess( PHANDLE ProcessHandle, ACCESS_MASK DesiredAccess, POBJECT_ATTRIBUTES ObjectAttributes, PCLIENT_ID ClientId)

{

    __try

    {

        PEPROCESS EProcess = PsGetCurrentProcess();

        if (EProcess != NULL && IsRealProcess(EProcess))

        {

            char * ProcessName = (ULONG_PTR)EProcess + x86_IMAGEFILENAME_OFFSET;

            if (strcmp(ProcessName, "HookRing3.exe")==)

            {

                return STATUS_ACCESS_DENIED;

            }

        }

    }

    __except ()

    {

        return GetExceptionCode();

    }

    return ((LPFN_NTOPENPROCESS)__NtOpenProcess)(ProcessHandle, DesiredAccess, ObjectAttributes, ClientId);

}
 

Hook集合----SSDTHook(x86 Win7)的更多相关文章

  1. 一个简单的Object Hook的例子(win7 32bit)

    Object Hook简单的来说就是Hook对象,这里拿看雪上的一个例子,因为是在win7 32位上的,有些地方做了些修改. _OBJECT_HEADER: kd> dt _OBJECT_HEA ...

  2. Android的so注入( inject)和函数Hook(基于got表) - 支持arm和x86

    本文博客地址:http://blog.csdn.net/qq1084283172/article/details/53942648 前面深入学习了古河的Libinject注入Android进程,下面来 ...

  3. android hook 框架 libinject2 简介、编译、运行

    Android so注入-libinject2 简介.编译.运行 Android so注入-libinject2  如何实现so注入 Android so注入-Libinject 如何实现so注入 A ...

  4. 01.WAMP搭建 [Win7+Apache2.4+MySQL5.7+PHP7

    WAMP搭建[Win7+Apache2.4+MySQL5.7+PHP7 一.背景 将电脑光驱位拆换成固态硬盘(120g),专门装了一个系统用于工作.之前一直使用PHPstudy和WAMP这种集成环境, ...

  5. win7 xp 双系统安装记录

    原机win7 64 增加xp x86 win7在c盘,xp装h盘 1.老毛桃pe,雨林木风gho,蓝屏,0000007b 2.通用pe.雨林木风gho,蓝屏,00000007b 3.pe设置h盘为系统 ...

  6. Android下so注入和hook

    一.前言 总结一下这两天学习的Android注入so文件,通过遍历got表hook函数调用 1.注入so文件 2.so文件中遍历got表hook函数 二.注入so文件 1)注入进程 1.编程思路分为以 ...

  7. android hook 框架 libinject 如何实现so注入

    前面两篇 android hook 框架 libinject2 简介.编译.运行 android hook 框架 libinject2 如何实现so注入 实际运行并分析了 Android中的so注入( ...

  8. CApiHook__Api钩子类

    见过网上有很多ApiHook的类,但是都不尽入人意,要么就是写的不够好不够完善,要么就是跑不起来. 用别人写的代码总是有种不安心,所以自己就花了一晚上写了CApiHook类.已经尽量确保自己写的类是非 ...

  9. UDP收发buffer尺寸对收发包流量的影响

    下午验证一个高流量发包问题时,发现了一个值得记录的问题:socket的收发buffer尺寸是会影响收发包的效率的,高流量通讯时,若socket的收发buffer尺寸过小会一定程度降低收发包效率. 自己 ...

随机推荐

  1. Ubuntu 16.04 PXE+kickstart部署系统

    #PXE+TFTP+Kickstart 自动部署服务器系统系统Ubuntu16.04apt-get install isc-dhcp-servervim /etc/default/isc-dhcp-s ...

  2. 5G将会是量变到质变的新科技时代

    ​马斯洛需求分为5层,最底层的需求是温饱,过去几十年都无人反驳,但随着科技的发展,人类最基本最底层的需求已经不再是温饱,而是手机和WIFI,当然,这只是网友的调侃罢了,但也从侧面反映出了手机和WFI网 ...

  3. 没有admin权限如何免安装使用Node和NPM

    此教程只针对于在windows系统上没有admin权限和软件安装权限,但是又希望能像安装版一样使用Node和NPM的用户. 步骤一: 下载压缩版node 访问https://nodejs.org/en ...

  4. 从iPhone下滑 看科技转型之困

    看科技转型之困" title="从iPhone下滑 看科技转型之困"> 毫无疑问,苹果正在面临一次关键转型.最近苹果股价较高点134.54美元下跌21%以上的实事, ...

  5. 记录一下自己写PHP程序时走过的一些坑

    写在前面: 喔噢,转眼间发现自己正式开发程序(PHP)已经有快有1个月了,一路上走了许多的坑,有时遇到坑的时候真想放弃,但是还是坚持下来了!所以写了这篇文章来帮助那些刚刚接触PHP的小白们.[: )] ...

  6. python爬虫之字体反爬

    一.什么是字体反爬? 字体反爬就是将关键性数据对应于其他Unicode编码,浏览器使用该页面自带的字体文件加载关键性数据,正常显示,而当我们将数据进行复制粘贴.爬取操作时,使用的还是标准的Unicod ...

  7. nginx 命令行参数 启动 重启 重载 停止

    今天和大家分享关于 nginx 的一些参数使用 首先,你应该安装了nginx CentOS 安装 nginx 这是很早之前的一篇博客,可以参考. 之前,我们如何去操作 nginx ##简单粗暴法 pk ...

  8. 压力测试(九)-Jmeter压测课程总结和架构浅析

    安装常见问题 1.问题 [root@iZwz95j86y235aroi85ht0Z bin]# ./jmeter-server Created remote object: UnicastServer ...

  9. 前端每日实战:111# 视频演示如何用纯 CSS 创作一只艺术的鸭子

    效果预览 按下右侧的"点击预览"按钮可以在当前页面预览,点击链接可以全屏预览. https://codepen.io/comehope/pen/aaoveW 可交互视频 此视频是可 ...

  10. HTTP GET请求302重定向问题

    1.问题描述 ① 在华为云服务器中搭建了java环境,并在tomcat中部署了一个空的web项目 ② 在此web项目中上传了一个名为:plugin_DTDREAM_LIVING_DEHUMIDIFIE ...