[原创]shadow_ssdt_hook_2.asm-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]shadow_ssdt_hook_2.asm

发表于: 2011-7-1 09:18 6495

[原创]shadow_ssdt_hook_2.asm

correy

2011-7-1 09:18

6495

;filename:shadow_ssdt_hook_2.asm
;made by correy
;QQ:112426112
;Email:leguanyuan at 126 dot com
;HomePage:http://correy.webs.com
;不足之处敬请指点

;顺便说一下编译方式：
;rc me.rc >error.txt ;这个可有可无。
;ml /nologo /c /coff /Zp4 shadow_ssdt_hook_2.asm >>error.txt
;link /nologo /driver /base:0x10000 /align:16 /out:sys.sys /subsystem:native /section:.text,rw /MERGE:.rdata=.text shadow_ssdt_hook_2.obj me.res>>error.txt
;如果想得到调试信息，在ml命令行中加入，/Cp /Zi，在link中加入 /DEBUG /DEBUGTYPE:CV.不过本人，不喜欢这两个参数。很少使用。
;出错信息在error.txt中查看。

.386
.model flat,stdcall
option casemap:none
include ntstatus.inc
include ntddk.inc
include ntoskrnl.inc
includelib ntoskrnl.lib

.code

GetServiceDescriptorTableShadowAddress proc uses esi edi ebx
;本函数摘自kmdkit。本人加一些注释，及自己的理解。
local dwThreadId:DWORD

  xor ebx, ebx       ; = NULL. Assume ServiceDescriptorTableShadow will be not found

  mov eax, KeServiceDescriptorTable
  mov esi, [eax]

  ; Find KTHREAD.ServiceTable field
  ; For non-GUI threads this field == KeServiceDescriptorTable
  ; and it points to ServiceDescriptorTable
  ; For GUI threads
  ; ServiceDescriptorTableShadow

  invoke KeGetCurrentThread  ;得到KTHREAD的结构。
  mov edi, 200h-4;1;200h-4          ;为什么是这个数呢？换成1，inc edi呢？
  .while edi
.break .if dword ptr [eax][edi] == esi ;经查资料0x0e0 ServiceTable : Ptr32 Void。
dec edi;inc edi;dec edi
  .endw

  .if edi != 0
; edi = offset to ServiceTable field in KTHREAD structure
mov dwThreadId, 080h    ;为什么是这个数呢？
.while dwThreadId < 400h  ;为什么是这个数呢？
   push eax       ; reserve DWORD on stack
   invoke PsLookupThreadByThreadId, dwThreadId, esp
   pop ecx          ; -> ETHREAD/KTHREAD
   .if eax == STATUS_SUCCESS
      push dword ptr [ecx][edi] ;这就是那个表，ssdt或者shadow.
      fastcall ObfDereferenceObject, ecx
      pop eax ;这儿就应该是返回值。
      .if eax != esi ;如果这是一个GUI线程。就返回结束吧！

      mov edx, MmSystemRangeStart ;这三行，得到的数是80000000，特殊的可能是c0000000h.
      mov edx, [edx]
      mov edx, [edx]

      .if eax > edx ; some stupid error checking  真是！这里的判断太多余。
         mov ebx, eax
         ;invoke DbgPrint, $CTA0("FindShadowTable: Found in thread with ID: %X\n"), dwThreadId
         .break
      .endif

      .endif
   .endif
   add dwThreadId, 4 ;为什么加4呢？
.endw
  .endif

  mov eax, ebx
  ret

GetServiceDescriptorTableShadowAddress endp

y dd 0
szNtUserFindWindowEx db "NtUserFindWindowEx is called!",0

myhookapi proc x1,x2,x3,x4,x5
;要hook的是NtUserFindWindowEx
;要加啥功能，就在这里设置吧！
;本人只显示一个信息。
invoke DbgPrint,addr szNtUserFindWindowEx

push x5
push x4
push x3
push x2
push x1
call y

ret
myhookapi endp

szcsrss db "csrss.exe",0

DriverEntry proc pDriverObject: PDRIVER_OBJECT,pRegistryPath: PUNICODE_STRING
local temp:dword
local x:dword

pushad

  invoke IoGetCurrentProcess ;其实这段代码还可以再优化。那就交给看官你吧！
  lea eax,[eax+0b8h] ;windwos 7-32下用0b8h，widnows xp-32下用88h
  mov esi,dword ptr [eax]
  .while esi != 0
lea edi,[esi-0b8h] ;windwos 7-32下用0b8h，widnows xp-32下用88h
mov x, edi
lea eax,[edi+16ch] ;windwos 7-32下用16ch，widnows xp-32下用174h
invoke _strnicmp,eax, addr szcsrss,9
.if eax == 0
   .break
.endif
mov esi,dword ptr [esi]
  .endw
  invoke KeAttachProcess,x

  invoke GetServiceDescriptorTableShadowAddress
  mov eax, [eax+16]
  add eax,18ch*4 ;要挂钩的函数是：NtUserFindWindowEx，windwos 7-32下用18ch，widnows xp-32下用17ah。
               ;无法用MmGetSystemRoutineAddress函数获得。
               ;找不到相关的资料，只能调试反汇编了，但还得有办法。
  mov esi, [eax]
  mov y, esi

  push eax
  cli
  mov eax,cr0
  mov temp,eax
  and eax,0fffeffffh
  mov cr0,eax
  pop eax

  mov dword ptr[eax],offset myhookapi

  push eax
  mov  eax,temp
  mov  cr0,eax
  sti
  pop  eax

  invoke KeDetachProcess

popad

mov eax,0
ret

DriverEntry endp

end DriverEntry
;made at 2011.06.30
;没有卸载函数，你自己找工具卸载吧！或者手动卸载（下次起效）。

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

10.rar （3.81kb，26次下载）

收藏・3

免费・7

支持

最新回复 (2)
gezz 雪币： 88 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 186 粉丝 0 关注私信	gezz 2 楼楼主有一个注释你写错了，只有在GUI 线程中才能获取到 shadow SSDT 表如果不是GUI线程木有shadow ssdt表得映射。你懂的 2011-7-6 16:14 0
gezz 雪币： 88 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 186 粉丝 0 关注私信	gezz 3 楼 mov dwThreadId, 080h ;为什么是这个数呢？ .while dwThreadId < 400h ;为什么是这个数呢？补充一下这个就是从线程id 80h 找到 400h 而已就这么简单，利用 PsLookupThreadByThreadId API 一个一个线程的搜索~ 看能否碰到 GUI 的然后指向 shadow ssdt 表~ 2011-7-6 16:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

correy

发帖

133

回帖

385

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
gezz 雪币： 88 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 186 粉丝 0 关注私信	gezz 2 楼楼主有一个注释你写错了，只有在GUI 线程中才能获取到 shadow SSDT 表如果不是GUI线程木有shadow ssdt表得映射。你懂的 2011-7-6 16:14 0
gezz 雪币： 88 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 186 粉丝 0 关注私信	gezz 3 楼 mov dwThreadId, 080h ;为什么是这个数呢？ .while dwThreadId < 400h ;为什么是这个数呢？补充一下这个就是从线程id 80h 找到 400h 而已就这么简单，利用 PsLookupThreadByThreadId API 一个一个线程的搜索~ 看能否碰到 GUI 的然后指向 shadow ssdt 表~ 2011-7-6 16:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复