博客
关于我
SSDT——框架编写与hook实例
阅读量:205 次
发布时间:2019-02-28

本文共 1813 字,大约阅读时间需要 6 分钟。

SSDT——hook与框架

SSDT框架综述

SSDT Hook 框架可不是大伙眼里的什么 .Net 框架啊,MVC 框架啊之类的,没那么复杂,算到底也就是一个 .cpp 和一个 .h 的文件而已,然后再在其中对外公开几个 API 即 OK 了 ~

SSDThook综述

ssdt竟然是一个数组,那么我们就需要先得到这个数组的首地址,于是这个结构就出来了。

typedef struct ServiceDescriptorEntry {       unsigned int *ServiceTableBase;    unsigned int *ServiceCounterTableBase;    unsigned int NumberOfServices;    unsigned char *ParamTableBase;} ServiceDescriptorTableEntry_t, *PServiceDescriptorTableEntry_t;

ServiceTableBase,这个参数是ssdt数组的基址,有了它,我们再给出具体函数的偏移,就能找到正确的函数地址了。

NumberOfService,这个是ssdt这个数组的最大值,也就是ssdt中函数的个数。
有了这个结构过后,按照偏移就可以找到想要Hook的函数的地址了。但是hook之前,需要修改内核保护,否则会无情蓝屏。

cli指禁止中断发生

sti指允许中断发生
Cr0这个寄存器就保存了内核保护的标志位,用 10000h取反再和他进行与运算,就使标志位从1变成0了,就可以修改内核了

void PageProtectOff(){       __asm{           cli            mov  eax,cr0            and  eax,not 10000h            mov  cr0,eax        }}

当然,完成后得修改回来

void PageProtectOn(){       __asm{           mov  eax,cr0        or   eax,10000h        mov  cr0,eax        sti    }}

修改了内核保护后,就可以把自己定义的函数地址写在ssdt里面了。但是为了系统安全,我们需要把之前的函数地址保存下来,在我们卸载驱动的时候恢复回去,以免导致系统不能正常工作。

以OpenProcess函数为例

可以通过火绒剑或Kernel Detective查看OpenProcess函数的偏移地址

NTSTATUS ssdt_hook(){       O_NtOpenProcess=KeServiceDescriptorTable.ServiceTableBase[122];    PageProtectOff();    KeServiceDescriptorTable.ServiceTableBase[122]=(unsigned int)MyNtOpenProcess;    PageProtectOn();    return STATUS_SUCCESS;}

为了使驱动完成指定的任务,比如我们要保护记事本这个进程不被OpenProcess打开,于是我们在自己的NtOpenProcess函数中进行过滤

看看NtOpenProcess函数的声明

NTSTATUS MyNtOpenProcess (    __out PHANDLE ProcessHandle,    __in ACCESS_MASK DesiredAccess,    __in POBJECT_ATTRIBUTES ObjectAttributes,    __in_opt PCLIENT_ID ClientId    )

参数:ClientId,是目标进程的一个结构,目标进程也就是其它进程想到打开的进程。

typedef struct _CLIENT_ID {       HANDLE UniqueProcess;    HANDLE UniqueThread;} CLIENT_ID;

想要查看内核的NtProcess偏移,需要cmd中解开调试限制,需要在BIOS中解除限制,忘记了bios密码,正在更换芯片中,等填坑

转载地址:http://rzri.baihongyu.com/

你可能感兴趣的文章
mysql8 配置文件配置group 问题 sql语句group不能使用报错解决 mysql8.X版本的my.cnf配置文件 my.cnf文件 能够使用的my.cnf配置文件
查看>>
MySQL8.0.29启动报错Different lower_case_table_names settings for server (‘0‘) and data dictionary (‘1‘)
查看>>
MYSQL8.0以上忘记root密码
查看>>
Mysql8.0以上重置初始密码的方法
查看>>
mysql8.0新特性-自增变量的持久化
查看>>
Mysql8.0注意url变更写法
查看>>
Mysql8.0的特性
查看>>
MySQL8修改密码报错ERROR 1819 (HY000): Your password does not satisfy the current policy requirements
查看>>
MySQL8修改密码的方法
查看>>
Mysql8在Centos上安装后忘记root密码如何重新设置
查看>>
Mysql8在Windows上离线安装时忘记root密码
查看>>
MySQL8找不到my.ini配置文件以及报sql_mode=only_full_group_by解决方案
查看>>
mysql8的安装与卸载
查看>>
MySQL8,体验不一样的安装方式!
查看>>
MySQL: Host '127.0.0.1' is not allowed to connect to this MySQL server
查看>>
Mysql: 对换(替换)两条记录的同一个字段值
查看>>
mysql:Can‘t connect to local MySQL server through socket ‘/var/run/mysqld/mysqld.sock‘解决方法
查看>>
MYSQL:基础——3N范式的表结构设计
查看>>
MYSQL:基础——触发器
查看>>
Mysql:连接报错“closing inbound before receiving peer‘s close_notify”
查看>>