SSDT Shadow Hook
来源:互联网 发布:数据维度是什么意思 编辑:程序博客网 时间:2024/06/04 19:49
1.系统服务调度表SSDT及SSSDT Shadow
系统服务:由操作系统提供的一组函数(内核函数),API可以间接或者直接的调用系统服务。操作系统以动态链接库(DLL)的形式提供API。SSDT:系统服务调度表(System Service Dispatch Table),该表可以基于系统服务编号进行索引,来定位函数内存地址。
SSPT:系统服务参数表(System Service Parameter Table),指定系统服务函数的参数字节数。
系统有2个SSDT表, 一个是KeServiceDescriptorTable(ntoskrnl.exe导出),一个是KeServieDescriptorTableShadow(ntoskrnl.exe未导出)。两者的区别是,KeServiceDescriptorTable仅有ntoskrnel.exe中的函数一项,KeServieDescriptorTableShadow包含了ntoskrnel.exe以及win32k.sys中包含的函数。一般的ntdll.dll中的Native API的函数地址由KeServiceDescriptorTable分派,gdi.dll/user.dll的内核API调用服务地址由KeServieDescriptorTableShadow分派。
下面来看下具体的结构:
typedef struct _SYSTEM_SERVICE_TABLE
{
PNTPROC ServiceTable; // array of entry points
PDWORD CounterTable; // array of usage counters
DWORD ServiceLimit; // number of table entries
PBYTE ArgumentTable; // array of byte counts
}SYSTEM_SERVICE_TABLE,*PSYSTEM_SERVICE_TABLE,**PPSYSTEM_SERVICE_TABLE;
typedef struct _SERVICE_DESCRIPTOR_TABLE
{
SYSTEM_SERVICE_TABLE ntoskrnl; // ntoskrnl.exe ( native api )
SYSTEM_SERVICE_TABLE win32k; // win32k.sys (gdi/user support)
SYSTEM_SERVICE_TABLE Table3; // not used
SYSTEM_SERVICE_TABLE Table4; // not used
}SYSTEM_DESCRIPTOR_TABLE,*PSYSTEM_DESCRIPTOR_TABLE,**PPSYSTEM_DESCRIPTOR_TABLE;
其中KeServiceDescriptorTableShadow包含4个子结构,第一个就是ntoskrnl.exe ( native api )和KeServiceDescriptorTable指向一样, 我们真正需要获得的是第二个win32k.sys (gdi/user support),第三个和第四个一般不使用.
1)KeServiceDescriptorTable是内核导出的一张表,该表含有一个指针指向SSDT中包含Ntoskrnl.exe实现的核心服务,还包含一个指针指向SSPT。
KeServiceDescriptorTable结构如下:
typedef struct _ServiceDescriptorEntry {
unsigned int *ServiceTableBase; //SSDT基址
unsigned int *ServiceCounterTableBase; //SSDT中服务被调用次数的计数器
unsigned int NumberOfServices; //SSDT服务个数
unsigned char *ParamTableBase; //SSPT基址
}SSDT, *PSSDT;
下面是在windbg查看之:
lkd> dd KeServiceDescriptorTable //导出表
8055d700 80505480 00000000 0000011c 805058f4
8055d710 00000000 00000000 00000000 00000000
8055d720 00000000 00000000 00000000 00000000
8055d730 00000000 00000000 00000000 00000000
8055d740 00000002 00002710 bf80c3d1 00000000
8055d750 89a205b0 b9f14320 89b58a90 806f80c0
8055d760 008583b0 00000000 008583b0 00000000
8055d770 8be45ef0 01cc2d68 00000000 00000000
2)KeServiceDescriptorTableShadow是内核未导出的另一张表,包含Ntoskrnel.exe和win32k.sys服务函数。某些网游通过挂钩按键相关函数(NtUserSendInput)防止模拟按键、(NtUserFindWindowEx)防止搜索窗口、Anti_Virus通过挂钩窗口相关的函数(NtUserPostMessage 、 NtUserQueryWindow)来防止被关闭。KeServiceDescriptorTableShadow实际上是SSDT结构 数组,也就是KeServiceDescriptorTableShadow是一组系统描述表。XP SP3下组数是4。在XP系统下,KeServiceDescriptorTableShadow表位于KeServiceDescriptorTable表上方,偏移0x40处。
下面是windbg查看之:
lkd> dd KeServiceDescriptorTableShadow //未导出
8055d6c0 80505480 00000000 0000011c 805058f4 //SSDT表 -> Ntoskrnel.exe
8055d6d0 bf99c800 00000000 0000029b bf99d510 //SSDT Shdow表 -> Win32k.sys
8055d6e0 00000000 00000000 00000000 00000000
8055d6f0 00000000 00000000 00000000 00000000
8055d700 80505480 00000000 0000011c 805058f4 //KeServiceDescriptorTable表
8055d710 00000000 00000000 00000000 00000000
8055d720 00000000 00000000 00000000 00000000
8055d730 00000000 00000000 00000000 00000000
由于KeServiceDescriptorTableShadow表属于未导出,因此我们需要定位地址。
定位未导出函数和结构的思想就是利用已导出函数和结构,暴力搜索内存空间。
方法一、依据KeServiceDescriptorTable的地址和两者之间的偏移
方法二、搜索KeAddSystemServiceTable导出函数
方法三、搜索线程的ServiceTable指向
方法四、MJ提出的搜索有效内存地址
如下给出两种方法:
在KeAddSystemServiceTable导出函数中按特征码搜索
ULONG GetKeServiceDescriptorTableShadowAddr()
{
/*
805a2362 8d88c0d65580 lea ecx,nt!KeServiceDescriptorTableShadow (8055d6c0)[eax]
805a2368 833900 cmp dword ptr [ecx],0
805a236b 7546 jne nt!KeAddSystemServiceTable+0x6b (805a23b3)
*/
ULONG sp_code1=0x888d,sp_code2=0x83; //特征码
ULONG address=0;
PUCHAR addr;
PUCHAR p;
addr=(PUCHAR)GetFunctionAddr(L"KeAddSystemServiceTable");
if (addr == 0)
{
KdPrint(("GetFunctionAddr [KeAddSystemServiceTable] Error!\n"));
return 0;
}
for(p=addr;p<p+PAGE_SIZE;p++)
{
if(*(PUSHORT)p==sp_code1&&(*(p+6)==sp_code2))
{
address=*(PULONG)(p+2);
break;
}
}
if(address == 0)
{
KdPrint(("Get KeServiceDescriptorTableShadow Error!\n"));
return 0;
}
KdPrint(("[KeAddSystemServiceTable] addr %x\n",(ULONG)addr));
KdPrint(("[KeServiceDescriptorTableShadow] address %x\n",address));
return address;
}
下面这个方法很巧妙, 充分利用了KeServiceDescriptorTable和KeServieDescriptorTableShadow的异同
unsigned int getAddressOfShadowTable()
{
unsigned char *p;
ULONG dwordatbyte;
ULONG KeAddSystemServiceTable = GetFunctionAddr(L"KeAddSystemServiceTable");
p = (unsigned char*) KeAddSystemServiceTable;
for(; p < p + 4096; p++)
{
dwordatbyte = *(PULONG)p;
if(MmIsAddressValid((PVOID)dwordatbyte))
{
KdPrint(("0x%08x\n", dwordatbyte));
// KeServiceDescriptorTable和KeServieDescriptorTableShadow的前16字节是一样的
if(memcmp((PVOID)dwordatbyte, &KeServiceDescriptorTable, 16) == 0)
{
// 如果地址就是KeServiceDescriptorTable的则继续
if((PVOID)dwordatbyte == &KeServiceDescriptorTable) continue;
// 地址不一样了, 则是KeServieDescriptorTableShadow
return dwordatbyte;
}
}
}
return 0;
}
找到了KeServieDescriptorTableShadow的地址之后, 余下的代码就是在系统中找一个不是System和smss.exe的进程, 并将当前线程挂靠到这个进程中
PVOID GetInfoTable(ULONG ATableType)
{
ULONG mSize = 0x4000;
PVOID mPtr = NULL;
NTSTATUS St;
do
{
mPtr = ExAllocatePool(PagedPool, mSize);
memset(mPtr, 0, mSize);
if (mPtr)
{
St = ZwQuerySystemInformation(ATableType, mPtr, mSize, NULL);
} else return NULL;
if (St == STATUS_INFO_LENGTH_MISMATCH)
{
ExFreePool(mPtr);
mSize = mSize * 2;
}
} while (St == STATUS_INFO_LENGTH_MISMATCH);
if (St == STATUS_SUCCESS) return mPtr;
ExFreePool(mPtr);
return NULL;
}
HANDLE GetCsrPid()
{
HANDLE Process, hObject;
HANDLE CsrId = (HANDLE)0;
OBJECT_ATTRIBUTES obj;
CLIENT_ID cid;
UCHAR Buff[0x100];
POBJECT_NAME_INFORMATION ObjName = (PVOID)&Buff;
PSYSTEM_HANDLE_INFORMATION_EX Handles;
ULONG r;
Handles = GetInfoTable(SystemHandleInformation);
if (!Handles) return CsrId;
for (r = 0; r < Handles->NumberOfHandles; r++)
{
if (Handles->Information[r].ObjectTypeNumber == 21) //Port object
{
InitializeObjectAttributes(&obj, NULL, OBJ_KERNEL_HANDLE, NULL, NULL);
cid.UniqueProcess = (HANDLE)Handles->Information[r].ProcessId;
cid.UniqueThread = 0;
// 根据CID打开这个进程对象
if (NT_SUCCESS(NtOpenProcess(&Process, PROCESS_DUP_HANDLE, &obj, &cid)))
{
// 拷贝这个进程中的当前句柄对象到当前进程
if (NT_SUCCESS(ZwDuplicateObject(Process,
(HANDLE)Handles->Information[r].Handle,NtCurrentProcess(), &hObject, 0, 0, DUPLICATE_SAME_ACCESS)))
{
// 查询这个句柄对象的名字信息
if (NT_SUCCESS(ZwQueryObject(hObject, ObjectNameInformation, ObjName, 0x100, NULL)))
{
// 根据句柄对象的名字知道他的所有者为csrss.exe(当然这里你要寻找的进程不一定是csrss.exe, 只要不是System和smss.exe就可以了)
if (ObjName->Name.Buffer && !wcsncmp(L"\\Windows\\ApiPort", ObjName->Name.Buffer, 20))
{
// 找到了就返回csrss.exe进程的PID
CsrId = (HANDLE)Handles->Information[r].ProcessId;
}
}
ZwClose(hObject);
}
ZwClose(Process);
}
}
}
ExFreePool(Handles);
return CsrId;
}
将当前线程挂靠到csrss.exe进程中. 因为DriverEntry是由System中的线程调用的, 而这个进程中的KeServieDescriptorTableShadow的地址是不允许访问的, 因此需要挂靠到别的进程
status = PsLookupProcessByProcessId((ULONG)GetCsrPid(), &crsEProc);
if (!NT_SUCCESS( status ))
{
DbgPrint("PsLookupProcessByProcessId() error\n");
return status;
}
KeAttachProcess(crsEProc);
- Hook Shadow SSDT
- 转Hook Shadow SSDT
- Hook Shadow SSDT
- SSDT Shadow Hook
- Hook Shadow SSDT
- 【原创】Hook Shadow SSDT
- Hook Shadow SSDT
- HOOK SSDT AND HOOK Shadow SSDT FOR DELPHI
- 谈谈 通杀SSDT hook和Shadow SSDT hook的方法
- SSDT hook和Shadow SSDT hook的方法
- 简单实现了下SSDT SHADOW HOOK
- 简单实现了下SSDT SHADOW HOOK
- 简单实现了下SSDT SHADOW HOOK
- 简单实现了下SSDT SHADOW HOOK
- 简单实现了下SSDT SHADOW HOOK
- 简单实现了下SSDT SHADOW HOOK
- 简单实现了下SSDT SHADOW HOOK
- 在windbg中测试shadow ssdt , win32k!NtUserGetForegroundWindow , hook shadow ssdt
- Java哈希冲突拒绝服务漏洞
- Android常用函数库
- JAVA的JNI实现基础
- C#中的反射详解
- 导图 SQL Server 之T-SQL
- SSDT Shadow Hook
- 项目部署出错,可能原因分析
- python的解释器和字节码编译
- JAVA对DB2中BLOB对象的读写
- Android的JNI实现基础
- SAP 如何找到对应的请求
- hdu 1506 Largest Rectangle in a Histogram
- 存储过程中执行存储过程,并把结果赋值给output参数
- 端口的概念
