目錄
- SSDT Hook效果圖
- SSDT簡介
- SSDT結構
- SSDT HOOK原理
- Hook前準備
- 如何得到SSDT中函數的地址呢
- SSDT Hook流程
- SSDT Hook實現進程保護
SSDT Hook效果圖
加載驅動併成功Hook NtTerminateProcess函數:html
當對 指定的進程進行保護後,嘗試使用「任務管理器」結束進程的時候,會彈出「拒絕訪問」的窗口,說明,咱們的目的已經達到:c++
SSDT簡介
SSDT 的全稱是 System Services Descriptor Table,系統服務描述符表。編程
這個表就是一個把 Ring3 的 Win32 API 和 Ring0 的內核 API 聯繫起來。數組
SSDT 並不單單隻包含一個龐大的地址索引表,它還包含着一些其它有用的信息,諸如地址索引的基地址、服務函數個數等。函數
經過修改此表的函數地址能夠對經常使用 Windows 函數及 API 進行 Hook,從而實現對一些關心的系統動做進行過濾、監控的目的。工具
一些 HIPS、防毒軟件、系統監控、註冊表監控軟件每每會採用此接口來實現本身的監控模塊。學習
SSDT結構
SSDT即系統服務描述符表,它的結構以下(參考《Undocument Windows 2000 Secretes》第二章):ui
// KSYSTEM_SERVICE_TABLE 和 KSERVICE_TABLE_DESCRIPTOR
// 用來定義 SSDT 結構
typedef struct _KSYSTEM_SERVICE_TABLE
{
PULONG ServiceTableBase; // SSDT (System Service Dispatch Table)的基地址
PULONG ServiceCounterTableBase; // 用於 checked builds, 包含 SSDT 中每一個服務被調用的次數
ULONG NumberOfService; // 服務函數的個數, NumberOfService * 4 就是整個地址表的大小
ULONG ParamTableBase; // SSPT(System Service Parameter Table)的基地址
} KSYSTEM_SERVICE_TABLE, *PKSYSTEM_SERVICE_TABLE;
typedef struct _KSERVICE_TABLE_DESCRIPTOR
{
KSYSTEM_SERVICE_TABLE ntoskrnl; // ntoskrnl.exe 的服務函數
KSYSTEM_SERVICE_TABLE win32k; // win32k.sys 的服務函數(GDI32.dll/User32.dll 的內核支持)
KSYSTEM_SERVICE_TABLE notUsed1;
KSYSTEM_SERVICE_TABLE notUsed2;
}KSERVICE_TABLE_DESCRIPTOR, *PKSERVICE_TABLE_DESCRIPTOR;
內核中有兩個系統服務描述符表,一個是KeServiceDescriptorTable(由ntoskrnl.exe導出),一個是KeServieDescriptorTableShadow(沒有導出)。google
二者的區別是,KeServiceDescriptorTable僅有ntoskrnel一項,KeServieDescriptorTableShadow包含了ntoskrnel以及win32k。通常的Native API的服務地址由KeServiceDescriptorTable分派,gdi.dll/user.dll的內核API調用服務地址由KeServieDescriptorTableShadow分派。還有要清楚一點的是win32k.sys只有在GUI線程中才加載,通常狀況下是不加載的,因此要Hook KeServieDescriptorTableShadow的話,通常是用一個GUI程序經過IoControlCode來觸發(想當初不明白這點,藍屏死機了N次都想不明白是怎麼回事)。url
SSDT HOOK原理
關於內核 Hook 有多種類型,下面也給出一副圖示:
SSDT HOOK只是其中一種Hook技術,本篇文章主要講解SSDT Hook的使用。
SSDT HOOK原理圖
經過Kernel Detective工具,咱們能夠發現,SSDT Hook先後,NtTerminateProcess的當前地址會發生變化,其中,變化後的當前地址:0xF885A110爲咱們自定義的Hook函數(即:HookNtTerminateProcess)的地址。這樣,之後每次執行NtTerminateProcess的時候,就會根據執行「當前地址」所指向的函數了,這也就是SSDT Hook的原理。
另外,看雪的"墮落天才"寫的不錯,我直接引用下:
SSDT HOOK 的原理其實很是簡單,咱們先實際看看KeServiceDescriptorTable是什麼樣的。
lkd> dd KeServiceDescriptorTable
8055ab80 804e3d20 00000000 0000011c 804d9f48
8055ab90 00000000 00000000 00000000 00000000
8055aba0 00000000 00000000 00000000 00000000
8055abb0 00000000 00000000 00000000 00000000
如上,80587691 805716ef 8057ab71 80581b5c 這些就是系統服務函數的地址了。好比當咱們在ring3調用OpenProcess時,進入sysenter的ID是0x7A(XP SP2),而後系統查KeServiceDescriptorTable,大概是這樣KeServiceDescriptorTable.ntoskrnel.ServiceTableBase(804e3d20) + 0x7A * 4 = 804E3F08,而後804E3F08 ->8057559e 這個就是OpenProcess系統服務函數所在,咱們再跟蹤看看:
lkd> u 8057559e
nt!NtOpenProcess:
8057559e 68c4000000 push 0C4h
805755a3 6860b54e80 push offset nt!ObReferenceObjectByPointer+0x127 (804eb560)
805755a8 e8e5e4f6ff call nt!InterlockedPushEntrySList+0x79 (804e3a92)
805755ad 33f6 xor esi,esi
原來8057559e就是NtOpenProcess函數所在的起始地址。
嗯,若是咱們把8057559e改成指向咱們函數的地址呢?好比 MyNtOpenProcess,那麼系統就會直接調用MyNtOpenProcess,而不是原來的NtOpenProcess了。這就是SSDT HOOK 原理所在。
Hook前準備
咱們要修改SSDT表,首先這個表必須是可寫的,但在xp之後的系統中他都是隻讀的,三個辦法來修改內存保護機制
(1) 更改註冊表
恢復頁面保護:HKLM\SYSTEM\CurrentControlset\Control\Session Manger\Memory Management\EnforceWriteProtection=0
去掉頁面保護:HKLM\SYSTEM\CurrentControlset\Control\Session Manger\Memory Management\DisablePagingExecutive=1
(2)改變CR0寄存器的第1位
Windows對內存的分配,是採用的分頁管理。其中有個CR0寄存器,以下圖:
其中第1位叫作保護屬性位,控制着頁的讀或寫屬性。若是爲1,則能夠讀/寫/執行;若是爲0,則只能夠讀/執行。
SSDT,IDT的頁屬性在默認下都是隻讀,可執行的,但不能寫。
代碼以下:
//設置爲不可寫
void DisableWrite()
{
__try
{
_asm
{
mov eax, cr0
or eax, 10000h
mov cr0, eax
sti
}
}
__except(1)
{
DbgPrint("DisableWrite執行失敗!");
}
}
// 設置爲可寫
void EnableWrite()
{
__try
{
_asm
{
cli
mov eax,cr0
and eax,not 10000h //and eax,0FFFEFFFFh
mov cr0,eax
}
}
__except(1)
{
DbgPrint("EnableWrite執行失敗!");
}
}
(3)經過Memory Descriptor List(MDL)
具體作法能夠google下,這裏就不介紹了
如何得到SSDT中函數的地址呢?
這裏主要使用了兩個宏:
①獲取指定服務的索引號:SYSCALL_INDEX
②獲取指定服務的當前地址:SYSCALL_FUNCTION
這兩個宏的具體定義以下:
//根據 ZwServiceFunction 獲取 ZwServiceFunction 在 SSDT 中所對應的服務的索引號 #define SYSCALL_INDEX(ServiceFunction) (*(PULONG)((PUCHAR)ServiceFunction + 1)) //根據ZwServiceFunction 來得到服務在 SSDT 中的索引號,而後再經過該索引號來獲取ntServiceFunction的地址 #define SYSCALL_FUNCTION(ServiceFunction) KeServiceDescriptorTable->ntoskrnl.ServiceTableBase[SYSCALL_INDEX(ServiceFunction)]
SSDT Hook流程
在驅動的入口函數中(DriverEntry),對未進行SSDT Hook前的SSDT表進行了備份(用一個數組保存),備份時,一個索引號對應一個當前地址,如上圖所示。
這樣,在解除Hook的時候,就能夠從全局數組中根據索引號獲取未Hook前的服務名的當前地址,以便將原來的地址寫回去,這一步很重要。
當用戶選擇保護某個進程的時候,就會經過DeviceIoControl發送一個IO_INSERT_PROTECT_PROCESS控制碼給驅動程序,此時驅動程序會生成一個IRP:IRP_MJ_DEVICE_CONTROL,咱們事先已經在驅動程序中爲
IRP_MJ_DEVICE_CONTROL指定了一個派遣函數:SSDTHook_DispatchRoutine_CONTROL。在該派遣函數中:咱們經過獲取控制碼(是保護進程仍是取消保護進程),若是是要保護某個進程,則經過 DeviceIoControl的第3個參數將要保護的進程的pid傳遞給驅動程序。而後在派遣函數SSDTHook_DispatchRoutine_CONTROL中從緩衝區中讀取該pid,若是是要保護進程,則將要「保護進程」的pid添加到一個數組中,若是是要「取消保護進程」,則將要取消保護的進程PID從數組中移除。
在Hook NtTermianteProcess函數後,會執行咱們自定義的函數:HookNtTerminateProcess,在HookNtTerminateProcess函數中,咱們判斷當前進程是否在要保護的進程數組中,若是該數組中存在該pid,則咱們返回一個「權限不夠」的異常,若是進程保護數組中不存在該pid,則直接調用原來 SSDT 中的 NtTerminateProcess 來結束進程。
SSDT Hook實現進程保護
有了上面的理論基礎以後,接下來能夠談談SSDT Hook實現進程保護的具體實現了。
實現進程保護,能夠Hook NtTermianteProcess,另外也能夠Hook NtOpenProcess,這裏,我是Hook NtTermianteProcess。
SSDT Hook原理一節中已經說過,SSDT Hook原理的本質是:自定義一個函數(HookNtTerminateProcess),讓系統服務NtTermianteProcess的當前地址指向咱們自定義函數地址。
這一步工做是在驅動入口函數中執行的。當驅動加載的時候,將自定義函數的地址寫入SSDT表中NtTermianteProcess服務的當前地址:
// 實現 Hook 的安裝,主要是在 SSDT 中用 newService 來替換掉 oldService
NTSTATUS InstallHook(ULONG oldService, ULONG newService)
{
__try
{
ULONG uOldAttr = 0;
EnableWrite(); //去掉頁面保護
KdPrint(("僞造NtTerminateProcess地址: %x\n",(int)newService));
//KeServiceDescriptorTable->ntoskrnl.ServiceTableBase[SYSCALL_INDEX(oldService)] = newService;
SYSCALL_FUNCTION(oldService) = newService;//
DisableWrite(); //恢復頁面保護
return STATUS_SUCCESS;
}
__except(1)
{
KdPrint(("安裝Hook失敗!"));
}
}
這裏須要注意的是:在Hook前,須要去掉內存的頁面保護屬性,Hook後,須要回覆內存的頁面保護屬性。
HookNtTerminateProcess函數的代碼以下:
//************************************
// 函數名稱 : HookNtTerminateProcess
// 描 述 : 自定義的 NtOpenProcess,用來實現 Hook Kernel API
// 日 期 : 2013/06/28
// 參 數 : ProcessHandle:進程句柄 ExitStatus:
// 返 回 值 :
//************************************
NTSTATUS HookNtTerminateProcess(__in_opt HANDLE ProcessHandle,__in NTSTATUS ExitStatus)
{
ULONG uPID;
NTSTATUS rtStatus;
PCHAR pStrProcName;
PEPROCESS pEProcess;
ANSI_STRING strProcName;
// 經過進程句柄來得到該進程所對應的 FileObject 對象,因爲這裏是進程對象,天然得到的是 EPROCESS 對象
rtStatus = ObReferenceObjectByHandle(ProcessHandle, FILE_READ_DATA, NULL, KernelMode, (PVOID*)&pEProcess, NULL);
if (!NT_SUCCESS(rtStatus))
{
return rtStatus;
}
// 保存 SSDT 中原來的 NtTerminateProcess 地址
pOldNtTerminateProcess = (NTTERMINATEPROCESS)oldSysServiceAddr[SYSCALL_INDEX(ZwTerminateProcess)];
// 經過該函數能夠獲取到進程名稱和進程 ID,該函數在內核中實質是導出的(在 WRK 中能夠看到)
// 可是 ntddk.h 中並無處處,因此須要本身聲明才能使用
uPID = (ULONG)PsGetProcessId(pEProcess);
pStrProcName = _strupr((TCHAR *)PsGetProcessImageFileName(pEProcess));//使用微軟未公開的PsGetProcessImageFileName函數獲取進程名
// 經過進程名來初始化一個 ASCII 字符串
RtlInitAnsiString(&strProcName, pStrProcName);
if (ValidateProcessNeedProtect(uPID) != -1)
{
// 確保調用者進程可以結束(這裏主要是指 taskmgr.exe)
if (uPID != (ULONG)PsGetProcessId(PsGetCurrentProcess()))
{
// 若是該進程是所保護的的進程的話,則返回權限不夠的異常便可
return STATUS_ACCESS_DENIED;
}
}
// 對於非保護的進程能夠直接調用原來 SSDT 中的 NtTerminateProcess 來結束進程
rtStatus = pOldNtTerminateProcess(ProcessHandle, ExitStatus);
return rtStatus;
}
好了,文章就寫到這吧,最後推薦一下不錯的c/c++零基礎小白到企業級項目實戰課程,天天晚上八點都會有直播,學習編程的朋友不妨點一下免費報名,上課的時候會有通知,有時間的時候就能夠去聽聽哦