【转】关于SSDT HOOK取消内存写保护的问题

原帖 关于SSDT HOOK取消内存写保护的问题

有些人说不去掉也不会蓝屏，照样能HOOK成功
确实，我当时也是这样过。。。
不过拿给别人机器一测试就蓝了

网上找到了MJ给出的答案：
当使用大页面映射内核文件时，代码段和数据段在一块儿，所以页必须是可写的，这种情况下直接改是没有问题的

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management下面增加两个DWORD值‘LargePageMinimum" = 0xFFFFFFFF, "EnforceWriteProtection" = 1，重启，重新跑自己的驱动。。。 
win2k上RAM超过127M，winxp和win server 2003上RAM超过255M，内存管理器会使用大页面（x86上4M，IA64和X86-64上16M）来映射Ntoskrnl.exe，这样由于代码和数据可能驻留在同一个页面，所以代码写保护是被禁止的。以上两个注册表修改项，第一个指明了当内存数量达到多少时使用大页面来映射ntoskrnl，设置成0xFFFFFFFF就是相当于无限大，因此不会使用大页面。第二个开启代码写保护。

一般去掉写保护有三种方法：
1.更改注册表（需要重启）
HKLM/SYSTEM/CurrentControlset/Control/Session Manger/
Memory Management/EnforceWriteProtection=0
与
HKLM/SYSTEM/CurrentControlset/Control/Session Manger/
Memory Management/DisablePagingExecutive=1

2.修改控制寄存器cr0
就是把CR0中的WP(写保护)位设置为0，就可以禁止内存保护了。

//取消内存保护
_asm
{
    Push eax
    Mov eax,CR0
    And eax,0FFFEFFFFh
    Mov CR0,eax
    Pop eax
}
//重新开启内存保护
_asm
{
    Push eax
    Mov eax,CR0
    Or eax NOT 0FFFEFFFFh
    Mov CR0,eax
    Pop eax
}

3.利用MDL(Memory Descriptor List)来绕过写保护
我们可以在MDL中描述一段内存，包括内存段的起始位置、所拥有的进程、字节数、内存段的标志等等。

//MDL reference defined in ntddk.h
Typedef    struct    _MDL{
    Struct    _MDL    *Next;
    CSHORT    Size;
    CSHORT    MdlFlags;
    Struct    _EPROCESS    *Process;
    PVOID    MappedSystemVa;
    PVOID    StartVa;
    ULONG    ByteCount;
    ULONG    ByteOffset;
}MDL,*PMDL;
//MDL Flags
#define    MDL_MAPPED_TO_SYSTEM_VA        0x0001
#define    MDL_PAGES_LOCKED                0x0002
#define    MDL_SOURCE_IS_NONPAGED_POOL    0x0004
#define    MDL_ALLOCATED_FIXED_SIZE        0x0008
#define    MDL_PARTIAL                        0x0010
#define    MDL_PARTIAL_HAS_BEEN_MAPPED    0x0020
#define    MDL_IO_PAGE_READ                0x0040
#define    MDL_WRITE_OPERATION                0x0080
#define    MDL_PARENT_MAPPED_SYSTEM_VA    0x0100
#define    MDL_LOCK_HELD                    0x0200
#define    MDL_PHYSICAL_VIEW                0x0400
#define    MDL_IO_SPACE                        0x0800
#define    MDL_NETWORK_HEADER            0x1000
#define    MDL_MAPPING_CAN_FAIL            0x2000
#define    MDL_ALLOCATED_MUST_SUCCEED    0x4000

为了改变内存的标志，下面的代码首先声明一个结构体，用来保存从windows内核中导出的KeServiceDescriptorTable。当调用MmCreateMdl时，需要知道KeServiceDescriptorTable的基地址和它所拥有的函数入口的数量。这个函数定义了你想要MDL描述的内存段的起始地址和大小，然后应用程序在内存的非分页内存中创建MDL。在应用程序中可以通过改变MDL的标志使得可以写内存段，也就是把MDLFlag设置为MDL_MAPPED_TO_SYSTEM_VA，然后调用MmMapLockedPages来锁定内存中的MDL页。在下面的代码中，MappedSystemCallTable中的地址与SSDT的内容相一致，但是现在你可以修改它了。

//声明
#pragma pack(1)
Typedef    struct    ServiceDescriptorEntry{
    Unsigned int*    ServiceTableBase;
    Unsigned int*    ServiceCounterTableBase;
    Unsigned int    NumberOfService;
    Unsigned char*    ParamTableBase;
}SSDT_Entry;
#pragma pack()
_declspec(dllimport) SSDT_Entry KeServiceDescriptorTable;
PMDL     g_pmdlSystemCall;
PVOID    *MappedSystemCallTable;
//保存原始的系统调用地址，映射到我们的域中，来改变MDL的保护
g_pmdlSystemCall = MmCreateMdl(NULL,
                KeServiceDescriptorTable,
                ServiceTableBase,
                KeServcieDescriptorTable.NumberOfService*4);
If(!g_pmdlSystemCall)
    Return STATUS_UNSUCCESSFUL;
MmBuildMdlForNonPagedPool(g_pmdlSystemCall);
//改变MDL的标志
g_pmdlSystemCall->MdlFlags = g_pmdlSystemCall->MdlFlags |
                        MDL_MAPPED_TO_SYSTEM_VA
MappedSystemCallTable = MmMapLockedPages(g_pmdlSystemCall,KernelMode);

下面列出几个对SSDT Hook比较有用的几个宏。

#define HOOK_INDEX(function2hook) *(PULONG)((PUCHAR)function2hook + 1)
#define HOOK(functionName, newPointer2Function, oldPointer2Function )  /
oldPointer2Function = (PVOID) InterlockedExchange( (PLONG) &NewSystemCallTable[HOOK_INDEX(functionName)], (LONG) newPointer2Function)
#define UNHOOK(functionName, oldPointer2Function)  /
InterlockedExchange( (PLONG) &NewSystemCallTable[HOOK_INDEX(functionName)], (LONG) oldPointer2Function)
#define UNHOOK(functionName, oldPointer2Function)  /
InterlockedExchange( (PLONG) &NewSystemCallTable[HOOK_INDEX(functionName)], (LONG) oldPointer2Function)