本文共 1813 字,大约阅读时间需要 6 分钟。
SSDT Hook 框架可不是大伙眼里的什么 .Net 框架啊,MVC 框架啊之类的,没那么复杂,算到底也就是一个 .cpp 和一个 .h 的文件而已,然后再在其中对外公开几个 API 即 OK 了 ~
ssdt竟然是一个数组,那么我们就需要先得到这个数组的首地址,于是这个结构就出来了。
typedef struct ServiceDescriptorEntry { unsigned int *ServiceTableBase; unsigned int *ServiceCounterTableBase; unsigned int NumberOfServices; unsigned char *ParamTableBase;} ServiceDescriptorTableEntry_t, *PServiceDescriptorTableEntry_t; ServiceTableBase,这个参数是ssdt数组的基址,有了它,我们再给出具体函数的偏移,就能找到正确的函数地址了。
NumberOfService,这个是ssdt这个数组的最大值,也就是ssdt中函数的个数。 有了这个结构过后,按照偏移就可以找到想要Hook的函数的地址了。但是hook之前,需要修改内核保护,否则会无情蓝屏。cli指禁止中断发生
sti指允许中断发生 Cr0这个寄存器就保存了内核保护的标志位,用 10000h取反再和他进行与运算,就使标志位从1变成0了,就可以修改内核了void PageProtectOff(){ __asm{ cli mov eax,cr0 and eax,not 10000h mov cr0,eax }} 当然,完成后得修改回来
void PageProtectOn(){ __asm{ mov eax,cr0 or eax,10000h mov cr0,eax sti }} 修改了内核保护后,就可以把自己定义的函数地址写在ssdt里面了。但是为了系统安全,我们需要把之前的函数地址保存下来,在我们卸载驱动的时候恢复回去,以免导致系统不能正常工作。
可以通过火绒剑或Kernel Detective查看OpenProcess函数的偏移地址
NTSTATUS ssdt_hook(){ O_NtOpenProcess=KeServiceDescriptorTable.ServiceTableBase[122]; PageProtectOff(); KeServiceDescriptorTable.ServiceTableBase[122]=(unsigned int)MyNtOpenProcess; PageProtectOn(); return STATUS_SUCCESS;} 为了使驱动完成指定的任务,比如我们要保护记事本这个进程不被OpenProcess打开,于是我们在自己的NtOpenProcess函数中进行过滤
看看NtOpenProcess函数的声明
NTSTATUS MyNtOpenProcess ( __out PHANDLE ProcessHandle, __in ACCESS_MASK DesiredAccess, __in POBJECT_ATTRIBUTES ObjectAttributes, __in_opt PCLIENT_ID ClientId )
参数:ClientId,是目标进程的一个结构,目标进程也就是其它进程想到打开的进程。
typedef struct _CLIENT_ID { HANDLE UniqueProcess; HANDLE UniqueThread;} CLIENT_ID; 想要查看内核的NtProcess偏移,需要cmd中解开调试限制,需要在BIOS中解除限制,忘记了bios密码,正在更换芯片中,等填坑
转载地址:http://rzri.baihongyu.com/