日韩性视频-久久久蜜桃-www中文字幕-在线中文字幕av-亚洲欧美一区二区三区四区-撸久久-香蕉视频一区-久久无码精品丰满人妻-国产高潮av-激情福利社-日韩av网址大全-国产精品久久999-日本五十路在线-性欧美在线-久久99精品波多结衣一区-男女午夜免费视频-黑人极品ⅴideos精品欧美棵-人人妻人人澡人人爽精品欧美一区-日韩一区在线看-欧美a级在线免费观看

歡迎訪問 生活随笔!

生活随笔

當前位置: 首頁 > 运维知识 > windows >内容正文

windows

Windows驱动开发学习笔记(五)—— SSDT HOOK

發布時間:2025/3/21 windows 29 豆豆
生活随笔 收集整理的這篇文章主要介紹了 Windows驱动开发学习笔记(五)—— SSDT HOOK 小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

Windows驅動開發學習筆記(五)—— SSDT HOOK

    • 系統服務表
    • 系統服務描述符表
    • 實驗一:通過代碼獲取SSDT表地址
    • 通過頁表基址修改頁屬性
      • 方法1:修改頁屬性
      • 方法2:修改CR0寄存器
    • 實驗二:SSDT HOOK
      • 第一步:編譯如下代碼
      • 第二步:查看PCHunter(未HOOK)
      • 第三步:運行驅動程序
      • 第四步:查看PCHunter(已HOOK)

系統服務表

描述

  • 全稱:SystemServiceTable(系統服務表)
  • 可以通過系統服務描述符表訪問系統服務表

    • 系統服務描述符表

    描述

  • 全稱:System Services Descriptor Table(SSDT)
  • 位于內核文件中,可以通過其導出表找到該表

    在WinDbg中查看

    函數地址表(ServiceTable)

    參數個數表(ArgmentTable)

    • 實驗一:通過代碼獲取SSDT表地址

    #include <ntddk.h> #include <ntstatus.h>typedef struct _KSYSTEM_SERVICE_TABLE { PULONG ServiceTableBase; // 服務函數地址表基址 PULONG ServiceCounterTableBase; // SSDT函數被調用的次數ULONG NumberOfService; // 服務函數的個數 PULONG ParamTableBase; // 服務函數參數表基址 } KSYSTEM_SERVICE_TABLE, *PKSYSTEM_SERVICE_TABLE; typedef struct _KSERVICE_TABLE_DESCRIPTOR { KSYSTEM_SERVICE_TABLE ntoskrnl; // ntoskrnl.exe 的服務函數 KSYSTEM_SERVICE_TABLE win32k; // win32k.sys 的服務函數(GDI32.dll/User32.dll 的內核支持) KSYSTEM_SERVICE_TABLE notUsed1; KSYSTEM_SERVICE_TABLE notUsed2; }KSERVICE_TABLE_DESCRIPTOR, *PKSERVICE_TABLE_DESCRIPTOR;// KeServiceDescriptorTable 是 ntoskrnl.exe 所導出的全局變量 申明一下就可以直接使用了 extern PKSERVICE_TABLE_DESCRIPTOR KeServiceDescriptorTable;//卸載函數 VOID DriverUnload(PDRIVER_OBJECT driver) {DbgPrint("驅動程序已停止.\r\n"); }//驅動程序入口函數,相當于控制臺的main函數 NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject,PUNICODE_STRING RegistryPath) {DbgPrint("驅動程序已運行.\r\n");KdPrint(("--> %x \n", KeServiceDescriptorTable->ntoskrnl.ServiceTableBase));//設置一個卸載函數 便于退出DriverObject->DriverUnload = DriverUnload;return STATUS_SUCCESS; }


    通過頁表基址修改頁屬性

    描述:SSDT所在的物理頁是只讀的,如果要修改,要先修改頁屬性為可寫

    方法1:修改頁屬性

    if(RCR4 & 0x00000020) {//說明是2-9-9-12分頁KdPrint(("2-9-9-12分頁 %p\n",RCR4));KdPrint(("PTE1 %p\n",*(DWORD*)(0xC0000000 + ((HookFunAddr >> 9) & 0x007FFFF8))));*(DWORD64*)(0xC0000000 + ((HookFunAddr >> 9) & 0x007FFFF8)) |= 0x02; KdPrint(("PTE1 %p\n",*(DWORD*)(0xC0000000 + ((HookFunAddr >> 9) & 0x007FFFF8)))); } else {//說明是10-10-12分頁KdPrint(("10-10-12分頁\n"));KdPrint(("PTE1 %p\n",*(DWORD*)(0xC0000000 + ((HookFunAddr >> 10) & 0x003FFFFC))));*(DWORD*)(0xC0000000 + ((HookFunAddr >> 10) & 0x003FFFFC)) |= 0x02;KdPrint(("PTE2 %p\n",*(DWORD*)(0xC0000000 + ((HookFunAddr >> 10) & 0x003FFFFC)))); }

    方法2:修改CR0寄存器

    描述:CR0寄存器的第16位叫做保護屬性位,控制著頁的讀/寫屬性

    VOID PageProtectOn() {__asm{mov eax,cr0or eax,10000hmov cr0,eaxsti} }VOID PageProtectOff() {__asm{cli mov eax,cr0and eax,not 10000hmov cr0,eax} }

    實驗二:SSDT HOOK

    第一步:編譯如下代碼

    #include <ntddk.h> #include <ntstatus.h>ULONG uOldNtOpenProcess; //存儲原來的NtOpenProcess地址typedef NTSTATUS (*NTOPENPROCESS)(PHANDLE ProcessHandle,ACCESS_MASK DesiredAccess,POBJECT_ATTRIBUTES ObjectAttributes,PCLIENT_ID ClientId);VOID PageProtectOn() {__asm{//開啟內存保護mov eax,cr0or eax,10000hmov cr0,eaxsti} }VOID PageProtectOff() {__asm{//關閉內存保護cli mov eax,cr0and eax,not 10000hmov cr0,eax} }//1. 找到系統服務表:函數地址表 typedef struct _KSYSTEM_SERVICE_TABLE { PULONG ServiceTableBase; // 服務函數地址表基址 PULONG ServiceCounterTableBase; // SSDT函數被調用的次數ULONG NumberOfService; // 服務函數的個數 PULONG ParamTableBase; // 服務函數參數表基址 } KSYSTEM_SERVICE_TABLE, *PKSYSTEM_SERVICE_TABLE; typedef struct _KSERVICE_TABLE_DESCRIPTOR { KSYSTEM_SERVICE_TABLE ntoskrnl; // ntoskrnl.exe 的服務函數 KSYSTEM_SERVICE_TABLE win32k; // win32k.sys 的服務函數(GDI32.dll/User32.dll 的內核支持) KSYSTEM_SERVICE_TABLE notUsed1; KSYSTEM_SERVICE_TABLE notUsed2; }KSERVICE_TABLE_DESCRIPTOR, *PKSERVICE_TABLE_DESCRIPTOR;// KeServiceDescriptorTable 是 ntoskrnl.exe 所導出的全局變量 申明一下就可以直接使用了 extern PKSERVICE_TABLE_DESCRIPTOR KeServiceDescriptorTable;//2. 準備用于替換的函數 NTSTATUS MyNtOpenProcess(PHANDLE ProcessHandle,ACCESS_MASK DesiredAccess,POBJECT_ATTRIBUTES ObjectAttributes,PCLIENT_ID ClientId ){//自己的業務..各種過濾,或者修改返回結構NTSTATUS status;status = STATUS_SUCCESS;KdPrint(("%x %x %x %x \n", ProcessHandle, DesiredAccess, ObjectAttributes, ClientId));return ((NTOPENPROCESS)uOldNtOpenProcess)(ProcessHandle, DesiredAccess, ObjectAttributes, ClientId); }//3. Hook NTSTATUS HookNtOpenPRocess() {NTSTATUS status;status = STATUS_SUCCESS;PageProtectOff();uOldNtOpenProcess = KeServiceDescriptorTable->ntoskrnl.ServiceTableBase[0x7A];KeServiceDescriptorTable->ntoskrnl.ServiceTableBase[0x7A] = (ULONG)MyNtOpenProcess;PageProtectOn();return status; }//4. 恢復 NTSTATUS UnHookNtOpenPRocess() {NTSTATUS status;status = STATUS_SUCCESS;PageProtectOff();KeServiceDescriptorTable->ntoskrnl.ServiceTableBase[0x7A] = (ULONG)uOldNtOpenProcess;PageProtectOn();return status; }//卸載函數 VOID DriverUnload(PDRIVER_OBJECT driver) {UnHookNtOpenPRocess();DbgPrint("驅動程序已停止.\r\n"); }//驅動程序入口函數,相當于控制臺的main函數 NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject,PUNICODE_STRING RegistryPath) {DbgPrint("驅動程序已運行.\r\n");HookNtOpenPRocess();//設置一個卸載函數 便于退出DriverObject->DriverUnload = DriverUnload;return STATUS_SUCCESS; }

    第二步:查看PCHunter(未HOOK)

    第三步:運行驅動程序


    第四步:查看PCHunter(已HOOK)

    總結

    以上是生活随笔為你收集整理的Windows驱动开发学习笔记(五)—— SSDT HOOK的全部內容,希望文章能夠幫你解決所遇到的問題。

    如果覺得生活随笔網站內容還不錯,歡迎將生活随笔推薦給好友。