菜鸟之驱动开发3

 

今天我们接上第二课继续加新功能：读取SSDT。 什么是ssdt? 我不作过多解释，因为我解释不清楚，GOOGLE一下有大把的资料，向大家介绍一篇好文章：http://blog.titilima.com/ssdt.html。我的理解就是建立ring0与ring3的映射关系。  操作SSDT表，我们会用到ntdll.dll中导出的KeServiceDescriptorTable这个结构体。

首先声明KeServiceDescriptorTable结构

typedef struct _ServiceDescriptorTable {PVOID ServiceTableBase; //System Service Dispatch Table 的基地址  PVOID ServiceCounterTable;//包含着 SSDT 中每个服务被调用次数的计数器。这个计数器一般由sysenter 更新。 unsigned int NumberOfServices;//由 ServiceTableBase 描述的服务的数目。  PVOID ParamTableBase; //包含每个系统服务参数字节数表的基地址-系统服务参数表 }*PServiceDescriptorTable;  extern PServiceDescriptorTable KeServiceDescriptorTable;

有了这个结构，我们就可以在我们的驱动中读取ring0级函数的执行地址，代码如下：

 

ULONG cReadSSDT(){LONG *SSDT_Adr,SSDT_NtOpenProcess_Cur_Addr,t_addr; //读取SSDT表中索引值为0x7A的函数//poi(poi(KeServiceDescriptorTable)+0x7a*4)t_addr=(LONG)KeServiceDescriptorTable->ServiceTableBase;KdPrint(("当前ServiceTableBase地址为%x \n",t_addr));SSDT_Adr=(PLONG)(t_addr+0x7A*4);KdPrint(("当前t_addr+0x7A*4=%x \n",SSDT_Adr)); SSDT_NtOpenProcess_Cur_Addr=*SSDT_Adr;KdPrint(("当前SSDT_NtOpenProcess_Cur_Addr地址为%x \n",SSDT_NtOpenProcess_Cur_Addr));return SSDT_NtOpenProcess_Cur_Addr;}

还有一种方法是用内联汇编的方式读取

ULONG asmReadSSDT(){ULONG SSDT_NtOpenProcess_Cur_Addr;__asm{push eaxpush ebxmov eax,KeServiceDescriptorTablemov eax,[eax] //表的基地址//[[KeServiceDescriptorTable]+0x7A*4]mov ebx, 0x7Ashl ebx, 2add eax, ebxmov eax, [eax]mov SSDT_NtOpenProcess_Cur_Addr, eaxpop ebxpop eax}KdPrint(("NtOpenProcess Current address is:%x", SSDT_NtOpenProcess_Cur_Addr));return SSDT_NtOpenProcess_Cur_Addr;}

上面两个方法读取出的是NtOpenProcess函数的当前执行地址，下面我们读取它的原始地址。

ULONG getSystemCallAddr(){UNICODE_STRING Old_NtOpenProcess;    ULONG Old_Addr;RtlInitUnicodeString(&Old_NtOpenProcess,L"NtOpenProcess");Old_Addr=(ULONG)MmGetSystemRoutineAddress(&Old_NtOpenProcess);//取得NtOpenProcess的地址KdPrint(("取得原函数NtOpenProcess的值为 %x",Old_Addr));return Old_Addr;}

 当前地址与原始地址在干净的SSDT中是相等的，但是函数被inline hook后就不相等。

具体参看完整源码。