ring0 SSDTHook

SSDT 的全称是 System Services Descriptor Table,系统服务描述符表。
这个表就是一个把 Ring3 的 Win32 API 和 Ring0 的内核 API 联系起来。
SSDT 并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。
通过修改此表的函数地址可以对常用 Windows 函数及 API 进行 Hook,从而实现对一些关心的系统动作进行过滤、监控的目的。
一些 HIPS、防毒软件、系统监控、注册表监控软件往往会采用此接口来实现自己的监控模块。
          
在 NT 4.0 以上的 Windows 操作系统中,默认就存在两个系统服务描述表,这两个调度表对应了两类不同的系统服务,
这两个调度表为:KeServiceDescriptorTable 和 KeServiceDescriptorTableShadow,
其中 KeServiceDescriptorTable 主要是处理来自 Ring3 层得 Kernel32.dll 中的系统调用,
而 KeServiceDescriptorTableShadow 则主要处理来自 User32.dll 和 GDI32.dll 中的系统调用,
并且 KeServiceDescriptorTable 在 ntoskrnl.exe(Windows 操作系统内核文件,包括内核和执行体层)是导出的,
而 KeServiceDescriptorTableShadow 则是没有被 Windows 操作系统所导出,
而关于 SSDT 的全部内容则都是通过 KeServiceDescriptorTable 来完成的

win32下KeSystemDescriptorTable的地址已经由ntoskrnl.exe导出, extern PKSERVICE_TABLE_DESCRIPTOR KeServiceDescriptorTable 即可获取SSDT的地址。
  在win64下,KeSystemDescriptorTable的地址没有被导出,不能通过win32下的方法获取地址。
  Win64下,我们可以通过msr寄存器获取 KiSystemCall64函数的地址,在这个函数开始地址向下搜索0x500字节左右,在通过特征码4c8d15,就能获取KeServiceDescriptorTable的地址。

Windbg下

kd>uf iSystemCall64
nt!KiSystemCall64:
fffff800`03e85640 0f01f8 swapgs
fffff800`03e85643 654889242510000000 mov qword ptr gs:[10h],rsp
fffff800`03e8564c 65488b2425a8010000 mov rsp,qword ptr gs:[1A8h]
fffff800`03e85655 6a2b push 2Bh
fffff800`03e85657 65ff342510000000 push qword ptr gs:[10h]
fffff800`03e8565f 4153 push r11
fffff800`03e85661 6a33 push 33h
。。。。。。。
fffff800`03e8575e 4889a3d8010000 mov qword ptr [rbx+1D8h],rsp
fffff800`03e85765 8bf8 mov edi,eax
fffff800`03e85767 c1ef07 shr edi,7
fffff800`03e8576a 83e720 and edi,20h
fffff800`03e8576d 25ff0f0000 and eax,0FFFh

nt!KiSystemServiceRepeat:
fffff800`03e85772 4c8d15c7202300 lea r10,[nt!KeServiceDescriptorTable (fffff800`040b7840)]
fffff800`03e85779 4c8d1d00212300 lea r11,[nt!KeServiceDescriptorTableShadow (fffff800`040b7880)]
fffff800`03e85780 f7830001000080000000 test dword ptr [rbx+100h],80h
fffff800`03e8578a 4d0f45d3 cmovne r10,r11
fffff800`03e8578e 423b441710 cmp eax,dword ptr [rdi+r10+10h]
fffff800`03e85793 0f83e9020000 jae nt!KiSystemServiceExit+0x1a7 (fffff800`03e85a82)

注意蓝色字节内容, KiSystemCall64的开始地址是fffff800`03e85640, 第二个蓝色标记处发现了KeServiceDescriptorTable,这条指令地址是fffff800`03e85772,对应的字节为4c8d15478c2300,Lea的对应字节为4c8d15,所以后边的字节478c2300为偏移地址,注意地址是反过来的,真正偏移地址是 00238c47,偏移地址是针对这条指令最后一个字节的地址的偏移,所以需要在加7字节,由此可得KeServiceDescriptorTable地址为:
fffff800`03e85772 + 00238c47 + 7 = fffff800`040b7840。
 
我们可以dd KeServiceDescriptorTable看一下地址
2: kd> dd KeServiceDescriptorTable
fffff800`040b7840 03e87300 fffff800 00000000 00000000
fffff800`040b7850 00000191 00000000 03e87f8c fffff800
fffff800`040b7860 00000000 00000000 00000000 00000000
fffff800`040b7870 00000000 00000000 00000000 00000000
fffff800`040b7880 03e87300 fffff800 00000000 00000000
fffff800`040b7890 00000191 00000000 03e87f8c fffff800
fffff800`040b78a0 00161f00 fffff960 00000000 00000000
fffff800`040b78b0 0000033b 00000000 00163c1c fffff960

可以看出上述计算是正确的。

时间: 2024-10-10 23:50:06

ring0 SSDTHook的相关文章

ring0 SSDTHook 实现x64/x86

#include "HookSSDT.h" #include <ntimage.h> #define SEC_IMAGE 0x001000000 ULONG32 __NtOpenProcessIndex = 0; PVOID __ServiceTableBase = NULL; ULONG32 __OldNtOpenProcessOffset = 0; PVOID __OldNtOpenProcess = NULL; UCHAR __OldCode[15] = {0}; B

ring0 恢复SSDTHook

原理: 用ZwQuerySystemInformation 功能号为11(SystemModuleInformation)  得到所有系统模块的地址 遍历搜索得到ntos模块的基地址 读Ntos模块到System进程空间中 在ntos中找到函数真正地址 将地址转换为ssdt的索引 //X64版本#include "ResumeSSDTHook.h" #define SEC_IMAGE 0x1000000 PVOID __NtosModuleBaseAddress = NULL; ULO

SSDTHook实例--编写稳定的Hook过滤函数

解说怎样写Hook过滤函数,比方NewZwOpenProcess.打开进程. 非常多游戏保护都会对这个函数进行Hook. 因为我们没有游戏保护的代码,无法得知游戏公司是怎样编写这个过滤函数. 我看到非常多奇形怪状的Hook过滤函数的写法.看得蛋痛无比. 比方: http://bbs.pediy.com/showthread.php?t=126802 http://bbs.pediy.com/showthread.php? t=126077 第一个bug: 调用这个函数 status = PsLo

Ring0级的探索

内核基础知识介绍: 内核概述:Interx86系列处理器使用"环"的概念实施访问控制,共4个权限级别.一般情况下,操作系统的内核程序.驱动程序等都在Ring0级别上运行.研究内核漏洞,需要首先掌握一些内核基础知识.例如内核驱动程序的开发.编译和运行,以及内核中重要的数据结构等. 驱动编写之Hello World 代码,保存为Helloworld.c 路径 D:\0day\HelloWorld\helloworld.c #include <ntddk.h> #define D

【code】ring0下的安全拷贝

ring0下的安全拷贝 BOOLEAN SafeCopyMemory(PVOID pDestination, PVOID pSourceAddress, SIZE_T SizeOfCopy) { PMDL pMdl = NULL; PVOID pSafeAddress = NULL; if(!MmIsAddressValid(pDestination) || !MmIsAddressValid(pSourceAddress)) return FALSE; pMdl = IoAllocateMdl

OD: Ring0 &amp; Kernel

开发技术讲究封装与模块化,安全技术强调底层安全性.安全技术需要打开封装.追根溯源! <0day 安全:软件漏洞分析技术(第2版)> 第21章 探索 Ring0 笔记 Intel x86 系列处理器使用"环"的概念来实施访问控制,共有 4 个权限级别,由高到低分别为 Ring0.Ring1.Ring2.Ring3,其中 Ring0 权限最高,Ring3 权限最低.Windows(从 NT 开始)和 Linux 等多数操作系统在 Intel x86 处理器上只使用了 Ring0

ring0和ring3的区别

现在探讨内核程序和应用程序之间的本质区别.除了能用WDK编写内核程序和阅读一部分Windows的内核代码之外,我们还需要了解它们的本质是什么,它们和我们熟悉的应用程序有什么区别. Intel的x86处理器是通过Ring级别来进行访问控制的,级别共分4层,从Ring0到Ring3(后面简称R0.R1.R2.R3).R0层拥有最高的权限,R3层拥有最低的权限.按照Intel原有的构想,应用程序工作在R3层,只能访问R3层的数据:操作系统工作在R0层,可以访问所有层的数据:而其他驱动程序位于R1.R2

Ring3 和Ring0 解释

这得从CPU指令系统(用于控制CPU完成各种功能的命令)的特权级别说起.在CPU的所有指令中,有一些指令是非常危险的,如果错用,将导致整个系统崩溃.比如:清内存.设置时钟等.如果所有的程序都能使用这些指令,那么你的系统一天死机n回就不足为奇了.所以,CPU将指令分为特权指令和非特权指令,对于那些危险的指令,只允许操作系统及其相关模块使用,普通的应用程序只能使用那些不会造成灾难的指令.形象地说,特权指令就是那些儿童不宜的东东,而非特权指令则是老少皆宜. Intel的CPU将特权级别分为4个级别:R

RING0,RING1,RING2,RING3

Intel的CPU将特权级别分为4个级别:RING0,RING1,RING2,RING3.Windows只使用其中的两个级别RING0和RING3,RING0只给操作系统用,RING3谁都能用.如果普通应用程序企图执行RING0指令,则Windows会显示“非法指令”错误信息.  挑战: 大部分modern CPU 并不支持可虚拟化, 如x86 需直接访问内存和硬件的操作系统特权代码必须在Ring 0执行 CPU虚拟化必须在Guest OS下面添加VMM(Ring 0) 一些关键指令在非Ring