【转】关于SSDT HOOK取消内存写保护的问题

原帖 关于SSDT HOOK取消内存写保护的问题

有些人说不去掉也不会蓝屏,照样能HOOK成功
确实,我当时也是这样过。。。
不过拿给别人机器一测试就蓝了

网上找到了MJ给出的答案:
当使用大页面映射内核文件时,代码段和数据段在一块儿,所以页必须是可写的,这种情况下直接改是没有问题的

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management下面增加两个DWORD值‘LargePageMinimum" = 0xFFFFFFFF, "EnforceWriteProtection" = 1,重启,重新跑自己的驱动。。。 
win2k上RAM超过127M,winxp和win server 2003上RAM超过255M,内存管理器会使用大页面(x86上4M,IA64和X86-64上16M)来映射Ntoskrnl.exe,这样由于代码和数据可能驻留在同一个页面,所以代码写保护是被禁止的。以上两个注册表修改项,第一个指明了当内存数量达到多少时使用大页面来映射ntoskrnl,设置成0xFFFFFFFF就是相当于无限大,因此不会使用大页面。第二个开启代码写保护。

一般去掉写保护有三种方法:
1.更改注册表(需要重启)
HKLM/SYSTEM/CurrentControlset/Control/Session Manger/
Memory Management/EnforceWriteProtection=0

HKLM/SYSTEM/CurrentControlset/Control/Session Manger/
Memory Management/DisablePagingExecutive=1

2.修改控制寄存器cr0
就是把CR0中的WP(写保护)位设置为0,就可以禁止内存保护了。

//取消内存保护
_asm
{
    Push eax
    Mov eax,CR0
    And eax,0FFFEFFFFh
    Mov CR0,eax
    Pop eax
}
//重新开启内存保护
_asm
{
    Push eax
    Mov eax,CR0
    Or eax NOT 0FFFEFFFFh
    Mov CR0,eax
    Pop eax
}

3.利用MDL(Memory Descriptor List)来绕过写保护
我们可以在MDL中描述一段内存,包括内存段的起始位置、所拥有的进程、字节数、内存段的标志等等。

//MDL reference defined in ntddk.h
Typedef    struct    _MDL{
    Struct    _MDL    *Next;
    CSHORT    Size;
    CSHORT    MdlFlags;
    Struct    _EPROCESS    *Process;
    PVOID    MappedSystemVa;
    PVOID    StartVa;
    ULONG    ByteCount;
    ULONG    ByteOffset;
}MDL,*PMDL;
//MDL Flags
#define    MDL_MAPPED_TO_SYSTEM_VA        0x0001
#define    MDL_PAGES_LOCKED                0x0002
#define    MDL_SOURCE_IS_NONPAGED_POOL    0x0004
#define    MDL_ALLOCATED_FIXED_SIZE        0x0008
#define    MDL_PARTIAL                        0x0010
#define    MDL_PARTIAL_HAS_BEEN_MAPPED    0x0020
#define    MDL_IO_PAGE_READ                0x0040
#define    MDL_WRITE_OPERATION                0x0080
#define    MDL_PARENT_MAPPED_SYSTEM_VA    0x0100
#define    MDL_LOCK_HELD                    0x0200
#define    MDL_PHYSICAL_VIEW                0x0400
#define    MDL_IO_SPACE                        0x0800
#define    MDL_NETWORK_HEADER            0x1000
#define    MDL_MAPPING_CAN_FAIL            0x2000
#define    MDL_ALLOCATED_MUST_SUCCEED    0x4000

为了改变内存的标志,下面的代码首先声明一个结构体,用来保存从windows内核中导出的KeServiceDescriptorTable。当调用MmCreateMdl时,需要知道KeServiceDescriptorTable的基地址和它所拥有的函数入口的数量。这个函数定义了你想要MDL描述的内存段的起始地址和大小,然后应用程序在内存的非分页内存中创建MDL。在应用程序中可以通过改变MDL的标志使得可以写内存段,也就是把MDLFlag设置为MDL_MAPPED_TO_SYSTEM_VA,然后调用MmMapLockedPages来锁定内存中的MDL页。在下面的代码中,MappedSystemCallTable中的地址与SSDT的内容相一致,但是现在你可以修改它了。

//声明
#pragma pack(1)
Typedef    struct    ServiceDescriptorEntry{
    Unsigned int*    ServiceTableBase;
    Unsigned int*    ServiceCounterTableBase;
    Unsigned int    NumberOfService;
    Unsigned char*    ParamTableBase;
}SSDT_Entry;
#pragma pack()
_declspec(dllimport) SSDT_Entry KeServiceDescriptorTable;
PMDL     g_pmdlSystemCall;
PVOID    *MappedSystemCallTable;
//保存原始的系统调用地址,映射到我们的域中,来改变MDL的保护
g_pmdlSystemCall = MmCreateMdl(NULL,
                KeServiceDescriptorTable,
                ServiceTableBase,
                KeServcieDescriptorTable.NumberOfService*4);
If(!g_pmdlSystemCall)
    Return STATUS_UNSUCCESSFUL;
MmBuildMdlForNonPagedPool(g_pmdlSystemCall);
//改变MDL的标志
g_pmdlSystemCall->MdlFlags = g_pmdlSystemCall->MdlFlags |
                        MDL_MAPPED_TO_SYSTEM_VA
MappedSystemCallTable = MmMapLockedPages(g_pmdlSystemCall,KernelMode);

下面列出几个对SSDT Hook比较有用的几个宏。

#define HOOK_INDEX(function2hook) *(PULONG)((PUCHAR)function2hook + 1)
#define HOOK(functionName, newPointer2Function, oldPointer2Function )  /
oldPointer2Function = (PVOID) InterlockedExchange( (PLONG) &NewSystemCallTable[HOOK_INDEX(functionName)], (LONG) newPointer2Function)
#define UNHOOK(functionName, oldPointer2Function)  /
InterlockedExchange( (PLONG) &NewSystemCallTable[HOOK_INDEX(functionName)], (LONG) oldPointer2Function)
#define UNHOOK(functionName, oldPointer2Function)  /
InterlockedExchange( (PLONG) &NewSystemCallTable[HOOK_INDEX(functionName)], (LONG) oldPointer2Function)
时间: 2024-10-27 05:32:31

【转】关于SSDT HOOK取消内存写保护的问题的相关文章

SSDT Hook结构

目录 SSDT Hook效果图 SSDT简介 SSDT结构 SSDT HOOK原理 Hook前准备 如何获得SSDT中函数的地址呢 SSDT Hook流程 SSDT Hook实现进程保护 Ring3与Ring0的通信 如何安装启动停止卸载服务 参考文献 源码附件 版权 SSDT Hook效果图 加载驱动并成功Hook  NtTerminateProcess函数: 当对 指定的进程进行保护后,尝试使用“任务管理器”结束进程的时候,会弹出“拒绝访问”的窗口,说明,我们的目的已经达到: SSDT简介

SSDT HOOK实现内核级保护

SSDT Hook实现内核级的进程保护 目录 SSDT Hook效果图 SSDT简介 SSDT结构 SSDT HOOK原理 Hook前准备 如何获得SSDT中函数的地址呢 SSDT Hook流程 SSDT Hook实现进程保护 Ring3与Ring0的通信 如何安装启动停止卸载服务 参考文献 源码附件 版权 SSDT Hook效果图 加载驱动并成功Hook  NtTerminateProcess函数: 当对 指定的进程进行保护后,尝试使用“任务管理器”结束进程的时候,会弹出“拒绝访问”的窗口,说

HOOK - 进程隐藏与进程保护(SSDT Hook 实现)(二)

进程隐藏与进程保护(SSDT Hook 实现)(二) 文章目录:                   1. 引子 – Demo 实现效果: 2. 进程隐藏与进程保护概念: 3. SSDT Hook 框架搭建: 4. Ring0 实现进程隐藏: 5. Ring0 实现进程保护: 6. 隐藏进程列表和保护进程列表的维护: 7. 小结: 1. 引子 – Demo 实现效果: 上一篇<进程隐藏与进程保护(SSDT Hook 实现)(一)>呢把 SSDT 说得差不多了, 博文地址: http://www

进程隐藏与进程保护(SSDT Hook 实现)(二)

文章目录:                   1. 引子 – Demo 实现效果: 2. 进程隐藏与进程保护概念: 3. SSDT Hook 框架搭建: 4. Ring0 实现进程隐藏: 5. Ring0 实现进程保护: 6. 隐藏进程列表和保护进程列表的维护: 7. 小结: 1. 引子 – Demo 实现效果: 上一篇<进程隐藏与进程保护(SSDT Hook 实现)(一)>呢把 SSDT 说得差不多了, 博文地址: http://www.cnblogs.com/BoyXiao/archiv

HOOK - 进程隐藏与进程保护(SSDT Hook 实现)(三)

进程隐藏与进程保护(SSDT Hook 实现)(三) 文章目录:                   1. 引子: 2. 获取当前系统下所有进程: 3. 服务管理(安装,启动,停止,卸载): 4. 应用程序和内核程序通信: 5. 小结: 1. 引子: 关于这个 SSDT Hook 实现进程隐藏和进程保护呢,这是最后一篇博文了, 在文章的结尾处呢你可以下载到整个项目的实例程序以及代码, 程序可以在 XP.Server.Win7 上运行的,当然我是说的 32 位操作系统.        <进程隐藏与

进程隐藏与进程保护(SSDT Hook 实现)(一)

读了这篇文章终于明白大致怎么回事了 文章目录:                   1. 引子 – Hook 技术: 2. SSDT 简介: 3. 应用层调用 Win32 API 的完整执行流程: 4. 详解 SSDT: 5. SSDT  Hook 原理: 6. 小结: 1. 引子 – Hook 技术: 前面一篇博文呢介绍了代码的注入技术(远程线程实现),博文地址如下: http://www.cnblogs.com/BoyXiao/archive/2011/08/11/2134367.html

SSDT HOOK 框架设计思路

Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html 代码 3-4 1. 驱动中用户输入PID,通过一系列函数和遍历模块来确定对应的ntdll模块. 2. 在ntdll模块的导出表,通过遍历名字来获取函数导出序号. 其Ntdll中Zw函数开头为 mov eax,序列号,因此我们从第二个字节后获取的就是对应的序列号. 3. 找到索引之后,直接从导出表 KeServiceDescriptorTable 中直接获取,如果记

SSDT hook完整版

原理可以看:https://blog.csdn.net/zhuhuibeishadiao/article/details/51114107 #include <ntddk.h> #include <ntimage.h> //SSDT表结构 #pragma pack(1) //#pragma pack (n) 作用:C编译器将按照n个字节对齐 typedef struct ServiceDescriptorEntry { unsigned int *ServiceTableBase;

HOOK钩子技术5 SSDT Inline Hook

原理 内联钩子的原理在R3和R0下是相同的,就是不改变SSDT表项,而是改变函数内部前几条指令. 内联钩子的典型伪函数为: 恢复原指令 执行目标操作,或改写参数 执行原函数 返回时重新挂钩 demo #include "stdafx.h" #ifdef __cplusplus extern "C" NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath)