博客
关于我
SSDT——框架编写与hook实例
阅读量:205 次
发布时间:2019-02-28

本文共 1813 字,大约阅读时间需要 6 分钟。

SSDT——hook与框架

SSDT框架综述

SSDT Hook 框架可不是大伙眼里的什么 .Net 框架啊,MVC 框架啊之类的,没那么复杂,算到底也就是一个 .cpp 和一个 .h 的文件而已,然后再在其中对外公开几个 API 即 OK 了 ~

SSDThook综述

ssdt竟然是一个数组,那么我们就需要先得到这个数组的首地址,于是这个结构就出来了。

typedef struct ServiceDescriptorEntry {       unsigned int *ServiceTableBase;    unsigned int *ServiceCounterTableBase;    unsigned int NumberOfServices;    unsigned char *ParamTableBase;} ServiceDescriptorTableEntry_t, *PServiceDescriptorTableEntry_t;

ServiceTableBase,这个参数是ssdt数组的基址,有了它,我们再给出具体函数的偏移,就能找到正确的函数地址了。

NumberOfService,这个是ssdt这个数组的最大值,也就是ssdt中函数的个数。
有了这个结构过后,按照偏移就可以找到想要Hook的函数的地址了。但是hook之前,需要修改内核保护,否则会无情蓝屏。

cli指禁止中断发生

sti指允许中断发生
Cr0这个寄存器就保存了内核保护的标志位,用 10000h取反再和他进行与运算,就使标志位从1变成0了,就可以修改内核了

void PageProtectOff(){       __asm{           cli            mov  eax,cr0            and  eax,not 10000h            mov  cr0,eax        }}

当然,完成后得修改回来

void PageProtectOn(){       __asm{           mov  eax,cr0        or   eax,10000h        mov  cr0,eax        sti    }}

修改了内核保护后,就可以把自己定义的函数地址写在ssdt里面了。但是为了系统安全,我们需要把之前的函数地址保存下来,在我们卸载驱动的时候恢复回去,以免导致系统不能正常工作。

以OpenProcess函数为例

可以通过火绒剑或Kernel Detective查看OpenProcess函数的偏移地址

NTSTATUS ssdt_hook(){       O_NtOpenProcess=KeServiceDescriptorTable.ServiceTableBase[122];    PageProtectOff();    KeServiceDescriptorTable.ServiceTableBase[122]=(unsigned int)MyNtOpenProcess;    PageProtectOn();    return STATUS_SUCCESS;}

为了使驱动完成指定的任务,比如我们要保护记事本这个进程不被OpenProcess打开,于是我们在自己的NtOpenProcess函数中进行过滤

看看NtOpenProcess函数的声明

NTSTATUS MyNtOpenProcess (    __out PHANDLE ProcessHandle,    __in ACCESS_MASK DesiredAccess,    __in POBJECT_ATTRIBUTES ObjectAttributes,    __in_opt PCLIENT_ID ClientId    )

参数:ClientId,是目标进程的一个结构,目标进程也就是其它进程想到打开的进程。

typedef struct _CLIENT_ID {       HANDLE UniqueProcess;    HANDLE UniqueThread;} CLIENT_ID;

想要查看内核的NtProcess偏移,需要cmd中解开调试限制,需要在BIOS中解除限制,忘记了bios密码,正在更换芯片中,等填坑

转载地址:http://rzri.baihongyu.com/

你可能感兴趣的文章
MySQL 索引深入解析及优化策略
查看>>
MySQL 索引的面试题总结
查看>>
mysql 索引类型以及创建
查看>>
MySQL 索引连环问题,你能答对几个?
查看>>
Mysql 索引问题集锦
查看>>
Mysql 纵表转换为横表
查看>>
mysql 编译安装 window篇
查看>>
mysql 网络目录_联机目录数据库
查看>>
MySQL 聚簇索引&&二级索引&&辅助索引
查看>>
Mysql 脏页 脏读 脏数据
查看>>
mysql 自增id和UUID做主键性能分析,及最优方案
查看>>
Mysql 自定义函数
查看>>
mysql 行转列 列转行
查看>>
Mysql 表分区
查看>>
mysql 表的操作
查看>>
mysql 视图,视图更新删除
查看>>
MySQL 触发器
查看>>
mysql 让所有IP访问数据库
查看>>
mysql 记录的增删改查
查看>>
MySQL 设置数据库的隔离级别
查看>>