博客
关于我
SSDT——框架编写与hook实例
阅读量:205 次
发布时间:2019-02-28

本文共 1813 字,大约阅读时间需要 6 分钟。

SSDT——hook与框架

SSDT框架综述

SSDT Hook 框架可不是大伙眼里的什么 .Net 框架啊,MVC 框架啊之类的,没那么复杂,算到底也就是一个 .cpp 和一个 .h 的文件而已,然后再在其中对外公开几个 API 即 OK 了 ~

SSDThook综述

ssdt竟然是一个数组,那么我们就需要先得到这个数组的首地址,于是这个结构就出来了。

typedef struct ServiceDescriptorEntry {       unsigned int *ServiceTableBase;    unsigned int *ServiceCounterTableBase;    unsigned int NumberOfServices;    unsigned char *ParamTableBase;} ServiceDescriptorTableEntry_t, *PServiceDescriptorTableEntry_t;

ServiceTableBase,这个参数是ssdt数组的基址,有了它,我们再给出具体函数的偏移,就能找到正确的函数地址了。

NumberOfService,这个是ssdt这个数组的最大值,也就是ssdt中函数的个数。
有了这个结构过后,按照偏移就可以找到想要Hook的函数的地址了。但是hook之前,需要修改内核保护,否则会无情蓝屏。

cli指禁止中断发生

sti指允许中断发生
Cr0这个寄存器就保存了内核保护的标志位,用 10000h取反再和他进行与运算,就使标志位从1变成0了,就可以修改内核了

void PageProtectOff(){       __asm{           cli            mov  eax,cr0            and  eax,not 10000h            mov  cr0,eax        }}

当然,完成后得修改回来

void PageProtectOn(){       __asm{           mov  eax,cr0        or   eax,10000h        mov  cr0,eax        sti    }}

修改了内核保护后,就可以把自己定义的函数地址写在ssdt里面了。但是为了系统安全,我们需要把之前的函数地址保存下来,在我们卸载驱动的时候恢复回去,以免导致系统不能正常工作。

以OpenProcess函数为例

可以通过火绒剑或Kernel Detective查看OpenProcess函数的偏移地址

NTSTATUS ssdt_hook(){       O_NtOpenProcess=KeServiceDescriptorTable.ServiceTableBase[122];    PageProtectOff();    KeServiceDescriptorTable.ServiceTableBase[122]=(unsigned int)MyNtOpenProcess;    PageProtectOn();    return STATUS_SUCCESS;}

为了使驱动完成指定的任务,比如我们要保护记事本这个进程不被OpenProcess打开,于是我们在自己的NtOpenProcess函数中进行过滤

看看NtOpenProcess函数的声明

NTSTATUS MyNtOpenProcess (    __out PHANDLE ProcessHandle,    __in ACCESS_MASK DesiredAccess,    __in POBJECT_ATTRIBUTES ObjectAttributes,    __in_opt PCLIENT_ID ClientId    )

参数:ClientId,是目标进程的一个结构,目标进程也就是其它进程想到打开的进程。

typedef struct _CLIENT_ID {       HANDLE UniqueProcess;    HANDLE UniqueThread;} CLIENT_ID;

想要查看内核的NtProcess偏移,需要cmd中解开调试限制,需要在BIOS中解除限制,忘记了bios密码,正在更换芯片中,等填坑

转载地址:http://rzri.baihongyu.com/

你可能感兴趣的文章
MySQL事务详解结合MVCC机制的理解
查看>>
MySQL事务隔离级别:读未提交、读已提交、可重复读和串行
查看>>
MySQL事务隔离级别:读未提交、读已提交、可重复读和串行
查看>>
webpack css文件处理
查看>>
mysql二进制包安装和遇到的问题
查看>>
MySql二进制日志的应用及恢復
查看>>
mysql互换表中两列数据方法
查看>>
mysql五补充部分:SQL逻辑查询语句执行顺序
查看>>
mysql交互式连接&非交互式连接
查看>>
MySQL什么情况下会导致索引失效
查看>>
Mysql什么时候建索引
查看>>
MySql从入门到精通
查看>>
MYSQL从入门到精通(一)
查看>>
MYSQL从入门到精通(二)
查看>>
mysql以下日期函数正确的_mysql 日期函数
查看>>
mysql以服务方式运行
查看>>
mysql优化--索引原理
查看>>
MySQL优化之BTree索引使用规则
查看>>
MySQL优化之推荐使用规范
查看>>
Webpack Critical CSS 提取与内联教程
查看>>