首页
社区
课程
招聘
[原创]shadow_ssdt_hook_2.asm
发表于: 2011-7-1 09:18 6495

[原创]shadow_ssdt_hook_2.asm

2011-7-1 09:18
6495

;filename:shadow_ssdt_hook_2.asm
;made by correy
;QQ:112426112
;Email:leguanyuan at 126 dot com
;HomePage:http://correy.webs.com
;不足之处敬请指点

;顺便说一下编译方式:
;rc me.rc >error.txt ;这个可有可无。
;ml /nologo /c /coff /Zp4 shadow_ssdt_hook_2.asm >>error.txt
;link /nologo /driver /base:0x10000 /align:16 /out:sys.sys /subsystem:native /section:.text,rw /MERGE:.rdata=.text shadow_ssdt_hook_2.obj me.res>>error.txt
;如果想得到调试信息,在ml命令行中加入,/Cp /Zi,在link中加入 /DEBUG /DEBUGTYPE:CV.不过本人,不喜欢这两个参数。很少使用。
;出错信息在error.txt中查看。

.386
.model flat,stdcall
option casemap:none
include ntstatus.inc
include ntddk.inc
include ntoskrnl.inc
includelib ntoskrnl.lib

.code

GetServiceDescriptorTableShadowAddress proc uses esi edi ebx
;本函数摘自kmdkit。本人加一些注释,及自己的理解。
local dwThreadId:DWORD

  xor ebx, ebx        ; = NULL. Assume ServiceDescriptorTableShadow will be not found

  mov eax, KeServiceDescriptorTable
  mov esi, [eax]

  ; Find KTHREAD.ServiceTable field
  ; For non-GUI threads this field == KeServiceDescriptorTable
  ; and it points to ServiceDescriptorTable
  ; For GUI threads
  ; ServiceDescriptorTableShadow

  invoke KeGetCurrentThread  ;得到KTHREAD的结构。
  mov edi, 200h-4;1;200h-4            ;为什么是这个数呢?换成1,inc edi呢?
  .while edi
    .break .if dword ptr [eax][edi] == esi ;经查资料0x0e0 ServiceTable : Ptr32 Void。
    dec edi;inc edi;dec edi
  .endw

  .if edi != 0
    ; edi = offset to ServiceTable field in KTHREAD structure
    mov dwThreadId, 080h      ;为什么是这个数呢?
    .while dwThreadId < 400h  ;为什么是这个数呢?
      push eax          ; reserve DWORD on stack
      invoke PsLookupThreadByThreadId, dwThreadId, esp
      pop ecx            ; -> ETHREAD/KTHREAD
      .if eax == STATUS_SUCCESS
        push dword ptr [ecx][edi] ;这就是那个表,ssdt或者shadow.
        fastcall ObfDereferenceObject, ecx
        pop eax ;这儿就应该是返回值。
        .if eax != esi ;如果这是一个GUI线程。就返回结束吧!
        
          mov edx, MmSystemRangeStart ;这三行,得到的数是80000000,特殊的可能是c0000000h.
          mov edx, [edx]
          mov edx, [edx]
         
          .if eax > edx    ; some stupid error checking  真是!这里的判断太多余。
            mov ebx, eax
            ;invoke DbgPrint, $CTA0("FindShadowTable: Found in thread with ID: %X\n"), dwThreadId
            .break
          .endif
         
        .endif
      .endif
      add dwThreadId, 4 ;为什么加4呢?
    .endw
  .endif

  mov eax, ebx
  ret

GetServiceDescriptorTableShadowAddress endp

y dd 0
szNtUserFindWindowEx db "NtUserFindWindowEx is called!",0

myhookapi proc x1,x2,x3,x4,x5
;要hook的是NtUserFindWindowEx
;要加啥功能,就在这里设置吧!
;本人只显示一个信息。
invoke DbgPrint,addr szNtUserFindWindowEx

push x5
push x4
push x3
push x2
push x1
call y

ret
myhookapi endp

szcsrss db "csrss.exe",0

DriverEntry proc pDriverObject: PDRIVER_OBJECT,pRegistryPath: PUNICODE_STRING
local temp:dword
local x:dword

pushad
  
  invoke IoGetCurrentProcess ;其实这段代码还可以再优化。那就交给看官你吧!
  lea eax,[eax+0b8h] ;windwos 7-32下用0b8h,widnows xp-32下用88h
  mov esi,dword ptr [eax]
  .while esi != 0
    lea edi,[esi-0b8h] ;windwos 7-32下用0b8h,widnows xp-32下用88h
    mov x, edi
    lea eax,[edi+16ch] ;windwos 7-32下用16ch,widnows xp-32下用174h
    invoke _strnicmp,eax, addr szcsrss,9
    .if eax == 0
      .break
    .endif
    mov esi,dword ptr [esi]
  .endw
  invoke KeAttachProcess,x
  
  invoke GetServiceDescriptorTableShadowAddress
  mov eax, [eax+16]
  add eax,18ch*4 ;要挂钩的函数是:NtUserFindWindowEx,windwos 7-32下用18ch,widnows xp-32下用17ah。
                 ;无法用MmGetSystemRoutineAddress函数获得。
                 ;找不到相关的资料,只能调试反汇编了,但还得有办法。
  mov esi, [eax]
  mov y, esi
      
  push eax
  cli
  mov eax,cr0
  mov temp,eax
  and eax,0fffeffffh
  mov cr0,eax
  pop eax

  mov dword ptr[eax],offset myhookapi
  
  push eax
  mov  eax,temp
  mov  cr0,eax
  sti  
  pop  eax
  
  invoke KeDetachProcess
  
popad

mov eax,0
ret

DriverEntry endp

end DriverEntry
;made at 2011.06.30
;没有卸载函数,你自己找工具卸载吧!或者手动卸载(下次起效)。


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 7
支持
分享
最新回复 (2)
雪    币: 88
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
楼主 有一个注释你写错了,只有在GUI 线程中才能获取到 shadow SSDT 表 如果不是GUI线程木有shadow ssdt表得映射。你懂的
2011-7-6 16:14
0
雪    币: 88
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
mov dwThreadId, 080h      ;为什么是这个数呢?
    .while dwThreadId < 400h  ;为什么是这个数呢?
补充一下 这个就是从线程id 80h 找到 400h 而已 就这么简单,利用 PsLookupThreadByThreadId API 一个一个线程的搜索~ 看能否碰到 GUI 的 然后指向 shadow ssdt 表~
2011-7-6 16:15
0
游客
登录 | 注册 方可回帖
返回
//