Windows驅動開發學習筆記（五）—— SSDT HOOK

• • 系統服務表
  • 系統服務描述符表
  • 實驗一：通過代碼獲取SSDT表地址
  • 通過頁表基址修改頁屬性
  • • 方法1：修改頁屬性
    • 方法2：修改CR0寄存器
  • 實驗二：SSDT HOOK
  • • 第一步：編譯如下代碼
    • 第二步：查看PCHunter（未HOOK）
    • 第三步：運行驅動程序
    • 第四步：查看PCHunter（已HOOK）

系統服務表

描述：

全稱：SystemServiceTable（系統服務表）

可以通過系統服務描述符表訪問系統服務表

系統服務描述符表

描述：

全稱：System Services Descriptor Table（SSDT）

位于內核文件中，可以通過其導出表找到該表

在WinDbg中查看：

函數地址表（ServiceTable）：

參數個數表（ArgmentTable）：

實驗一：通過代碼獲取SSDT表地址

#include <ntddk.h> #include <ntstatus.h>typedef struct _KSYSTEM_SERVICE_TABLE { PULONG ServiceTableBase; // 服務函數地址表基址 PULONG ServiceCounterTableBase; // SSDT函數被調用的次數ULONG NumberOfService; // 服務函數的個數 PULONG ParamTableBase; // 服務函數參數表基址 } KSYSTEM_SERVICE_TABLE, *PKSYSTEM_SERVICE_TABLE; typedef struct _KSERVICE_TABLE_DESCRIPTOR { KSYSTEM_SERVICE_TABLE ntoskrnl; // ntoskrnl.exe 的服務函數 KSYSTEM_SERVICE_TABLE win32k; // win32k.sys 的服務函數(GDI32.dll/User32.dll 的內核支持) KSYSTEM_SERVICE_TABLE notUsed1; KSYSTEM_SERVICE_TABLE notUsed2; }KSERVICE_TABLE_DESCRIPTOR, *PKSERVICE_TABLE_DESCRIPTOR;// KeServiceDescriptorTable 是 ntoskrnl.exe 所導出的全局變量 申明一下就可以直接使用了 extern PKSERVICE_TABLE_DESCRIPTOR KeServiceDescriptorTable;//卸載函數 VOID DriverUnload(PDRIVER_OBJECT driver) {DbgPrint("驅動程序已停止.\r\n"); }//驅動程序入口函數，相當于控制臺的main函數 NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject,PUNICODE_STRING RegistryPath) {DbgPrint("驅動程序已運行.\r\n");KdPrint(("--> %x \n", KeServiceDescriptorTable->ntoskrnl.ServiceTableBase));//設置一個卸載函數 便于退出DriverObject->DriverUnload = DriverUnload;return STATUS_SUCCESS; }

通過頁表基址修改頁屬性

描述：SSDT所在的物理頁是只讀的，如果要修改，要先修改頁屬性為可寫

方法1：修改頁屬性

if(RCR4 & 0x00000020) {//說明是2-9-9-12分頁KdPrint(("2-9-9-12分頁 %p\n",RCR4));KdPrint(("PTE1 %p\n",*(DWORD*)(0xC0000000 + ((HookFunAddr >> 9) & 0x007FFFF8))));*(DWORD64*)(0xC0000000 + ((HookFunAddr >> 9) & 0x007FFFF8)) |= 0x02; KdPrint(("PTE1 %p\n",*(DWORD*)(0xC0000000 + ((HookFunAddr >> 9) & 0x007FFFF8)))); } else {//說明是10-10-12分頁KdPrint(("10-10-12分頁\n"));KdPrint(("PTE1 %p\n",*(DWORD*)(0xC0000000 + ((HookFunAddr >> 10) & 0x003FFFFC))));*(DWORD*)(0xC0000000 + ((HookFunAddr >> 10) & 0x003FFFFC)) |= 0x02;KdPrint(("PTE2 %p\n",*(DWORD*)(0xC0000000 + ((HookFunAddr >> 10) & 0x003FFFFC)))); }

方法2：修改CR0寄存器

描述：CR0寄存器的第16位叫做保護屬性位，控制著頁的讀/寫屬性

VOID PageProtectOn() {__asm{mov eax,cr0or eax,10000hmov cr0,eaxsti} }VOID PageProtectOff() {__asm{cli mov eax,cr0and eax,not 10000hmov cr0,eax} }

實驗二：SSDT HOOK

第一步：編譯如下代碼

#include <ntddk.h> #include <ntstatus.h>ULONG uOldNtOpenProcess; //存儲原來的NtOpenProcess地址typedef NTSTATUS (*NTOPENPROCESS)(PHANDLE ProcessHandle,ACCESS_MASK DesiredAccess,POBJECT_ATTRIBUTES ObjectAttributes,PCLIENT_ID ClientId);VOID PageProtectOn() {__asm{//開啟內存保護mov eax,cr0or eax,10000hmov cr0,eaxsti} }VOID PageProtectOff() {__asm{//關閉內存保護cli mov eax,cr0and eax,not 10000hmov cr0,eax} }//1. 找到系統服務表：函數地址表 typedef struct _KSYSTEM_SERVICE_TABLE { PULONG ServiceTableBase; // 服務函數地址表基址 PULONG ServiceCounterTableBase; // SSDT函數被調用的次數ULONG NumberOfService; // 服務函數的個數 PULONG ParamTableBase; // 服務函數參數表基址 } KSYSTEM_SERVICE_TABLE, *PKSYSTEM_SERVICE_TABLE; typedef struct _KSERVICE_TABLE_DESCRIPTOR { KSYSTEM_SERVICE_TABLE ntoskrnl; // ntoskrnl.exe 的服務函數 KSYSTEM_SERVICE_TABLE win32k; // win32k.sys 的服務函數(GDI32.dll/User32.dll 的內核支持) KSYSTEM_SERVICE_TABLE notUsed1; KSYSTEM_SERVICE_TABLE notUsed2; }KSERVICE_TABLE_DESCRIPTOR, *PKSERVICE_TABLE_DESCRIPTOR;// KeServiceDescriptorTable 是 ntoskrnl.exe 所導出的全局變量 申明一下就可以直接使用了 extern PKSERVICE_TABLE_DESCRIPTOR KeServiceDescriptorTable;//2. 準備用于替換的函數 NTSTATUS MyNtOpenProcess(PHANDLE ProcessHandle,ACCESS_MASK DesiredAccess,POBJECT_ATTRIBUTES ObjectAttributes,PCLIENT_ID ClientId ){//自己的業務..各種過濾，或者修改返回結構NTSTATUS status;status = STATUS_SUCCESS;KdPrint(("%x %x %x %x \n", ProcessHandle, DesiredAccess, ObjectAttributes, ClientId));return ((NTOPENPROCESS)uOldNtOpenProcess)(ProcessHandle, DesiredAccess, ObjectAttributes, ClientId); }//3. Hook NTSTATUS HookNtOpenPRocess() {NTSTATUS status;status = STATUS_SUCCESS;PageProtectOff();uOldNtOpenProcess = KeServiceDescriptorTable->ntoskrnl.ServiceTableBase[0x7A];KeServiceDescriptorTable->ntoskrnl.ServiceTableBase[0x7A] = (ULONG)MyNtOpenProcess;PageProtectOn();return status; }//4. 恢復 NTSTATUS UnHookNtOpenPRocess() {NTSTATUS status;status = STATUS_SUCCESS;PageProtectOff();KeServiceDescriptorTable->ntoskrnl.ServiceTableBase[0x7A] = (ULONG)uOldNtOpenProcess;PageProtectOn();return status; }//卸載函數 VOID DriverUnload(PDRIVER_OBJECT driver) {UnHookNtOpenPRocess();DbgPrint("驅動程序已停止.\r\n"); }//驅動程序入口函數，相當于控制臺的main函數 NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject,PUNICODE_STRING RegistryPath) {DbgPrint("驅動程序已運行.\r\n");HookNtOpenPRocess();//設置一個卸載函數 便于退出DriverObject->DriverUnload = DriverUnload;return STATUS_SUCCESS; }

第二步：查看PCHunter（未HOOK）

第三步：運行驅動程序

第四步：查看PCHunter（已HOOK）

總結

以上是生活随笔為你收集整理的Windows驱动开发学习笔记（五）—— SSDT HOOK的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。