---恢复内容开始---
首先,我要说一件很重要的事,本人文采不好,如果哪里说的尴尬了,那你就尴尬着听吧。。。。。。
SSDT HOOK最初貌似源于Rookit,但是Rookit之前有没有其他病毒使用,这就不清楚了,总之这个功能很不错,那么什么是SSDT呢,SSDT全称是(System Services Descriptor Table),它将ring3的Win32 API和ring0的内核函数联系起来,SSDT 并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。
通过修改此表的函数地址可以对常用 Windows 函数及 API 进行 Hook,从而实现对一些关心的系统动作进行过滤、监控的目的。一些 HIPS、防毒软件、系统监控、注册表监控软件往往会采用此接口来实现自己的监控模块。
SSDT基址存储在KSYSTEM_SERVICE_TABLE->ServiceTableBase中,下面是这个结构的定义
kd> dt _KSYSTEM_SERVICE_TABLE ssdtHook!_KSYSTEM_SERVICE_TABLE +0x000 ServiceTableBase : Ptr32 Uint4B //SSDT (System Service Dispatch Table)的基地址
+0x004 ServiceCounterTableBase : Ptr32 Uint4B //用于 checked builds, 包含 SSDT 中每个服务被调用的次数 +0x008 NumberOfService : Uint4B
+0x00c ParamTableBase : Uint4B
其实ServiceTableBase也是一个数据结构,我们这里从WRK中看看它的定义
typedef struct _KSERVICE_TABLE_DESCRIPTOR {
PULONG_PTR Base;
PULONG Count;
ULONG Limit;
PUCHAR Number;
} KSERVICE_TABLE_DESCRIPTOR, *PKSERVICE_TABLE_DESCRIPTOR;
这里的Base成员就是存储各函数地址的基址,再补充一点,内核中有两个系统服务描述符表,一个是KeServiceDescriptorTable(由ntoskrnl.exe导出),一个是KeServieDescriptorTableShadow(没有导出)。我们HOOK的是KeServiceDescriptorTable中的函数地址,KeServiceDescriptorTable是一个内核变量,可通过extern来使用它,而且它存储的就是_KSYSTEM_SERVICE_TABLE的首地址
kd> dd KeServiceDescriptorTable 8055d700 80505450 00000000 0000011c 805058c4 8055d710 00000000 00000000 00000000 00000000 8055d720 00000000 00000000 00000000 00000000
kd> dt _KSYSTEM_SERVICE_TABLE 80505450 ssdtHook!_KSYSTEM_SERVICE_TABLE +0x000 ServiceTableBase : 0x805a5614 -> 0x9c68 +0x004 ServiceCounterTableBase : 0x805f1adc -> 0x8b55ff8b +0x008 NumberOfService : 0x805f5312 +0x00c ParamTableBase : 0x805f1b0e
这里我保护进程是HOOK的函数NtOpenProcess,隐藏进程是通过NtQuerySystemInformation实现的,为什么HOOK NtOpenProcess呢,因为任务管理器结束任务的时候,会通过OpenProcess获得被结束的进程句柄,然后再结束。 HOOK NtQuerySystemInformation的原因是因为可以通过它的参数,得到进程链(不同于EPROCESS),然后摘除掉,这样任务管理器就不会显示了,NtOpenProcess的索引号可以通过OD得知 我要做的步骤如下:
第一: 首先用驱动创建个Device,然后绑定个符号链接,供其与R3程序进行通信
第二: HOOK NtOpenProcess和
---恢复内容结束---
首先,我要说一件很重要的事,本人文采不好,如果哪里说的尴尬了,那你就尴尬着听吧。。。。。。
SSDT HOOK最初貌似源于Rookit,但是Rookit之前有没有其他病毒使用,这就不清楚了,总之这个功能很不错,那么什么是SSDT呢,SSDT全称是(System Services Descriptor Table),它将ring3的Win32 API和ring0的内核函数联系起来,SSDT 并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。
通过修改此表的函数地址可以对常用 Windows 函数及 API 进行 Hook,从而实现对一些关心的系统动作进行过滤、监控的目的。一些 HIPS、防毒软件、系统监控、注册表监控软件往往会采用此接口来实现自己的监控模块。
SSDT基址存储在KSYSTEM_SERVICE_TABLE->ServiceTableBase中,下面是这个结构的定义
kd> dt _KSYSTEM_SERVICE_TABLE ssdtHook!_KSYSTEM_SERVICE_TABLE +0x000 ServiceTableBase : Ptr32 Uint4B //SSDT (System Service Dispatch Table)的基地址
+0x004 ServiceCounterTableBase : Ptr32 Uint4B //用于 checked builds, 包含 SSDT 中每个服务被调用的次数 +0x008 NumberOfService : Uint4B
+0x00c ParamTableBase : Uint4B
其实ServiceTableBase也是一个数据结构,我们这里从WRK中看看它的定义
typedef struct _KSERVICE_TABLE_DESCRIPTOR {
PULONG_PTR Base;
PULONG Count;
ULONG Limit;
PUCHAR Number;
} KSERVICE_TABLE_DESCRIPTOR, *PKSERVICE_TABLE_DESCRIPTOR;
这里的Base成员就是存储各函数地址的基址,再补充一点,内核中有两个系统服务描述符表,一个是KeServiceDescriptorTable(由ntoskrnl.exe导出),一个是KeServieDescriptorTableShadow(没有导出)。我们HOOK的是KeServiceDescriptorTable中的函数地址,KeServiceDescriptorTable是一个内核变量,可通过extern来使用它,而且它存储的就是_KSYSTEM_SERVICE_TABLE的首地址
kd> dd KeServiceDescriptorTable 8055d700 80505450 00000000 0000011c 805058c4 8055d710 00000000 00000000 00000000 00000000 8055d720 00000000 00000000 00000000 00000000
kd> dt _KSYSTEM_SERVICE_TABLE 80505450 ssdtHook!_KSYSTEM_SERVICE_TABLE +0x000 ServiceTableBase : 0x805a5614 -> 0x9c68 +0x004 ServiceCounterTableBase : 0x805f1adc -> 0x8b55ff8b +0x008 NumberOfService : 0x805f5312 +0x00c ParamTableBase : 0x805f1b0e
这里我保护进程是HOOK的函数NtOpenProcess,隐藏进程是通过NtQuerySystemInformation实现的,为什么HOOK NtOpenProcess呢,因为任务管理器结束任务的时候,会通过OpenProcess获得被结束的进程句柄,然后再结束。 HOOK NtQuerySystemInformation的原因是因为可以通过它的参数,得到进程链(不同于EPROCESS),然后摘除掉,这样任务管理器就不会显示了,NtOpenProcess的索引号可以通过OD得知 我要做的步骤如下:
第一: 首先用驱动创建个Device,然后绑定个符号链接,供其与R3程序进行通信
第二: HOOK NtOpenProcess和