首页
社区
课程
招聘
[原创]谈谈 通杀SSDT hook和Shadow SSDT hook的方法
发表于: 2011-12-9 14:13 33797

[原创]谈谈 通杀SSDT hook和Shadow SSDT hook的方法

2011-12-9 14:13
33797

有点纠结,不知道应不应该发,本来想多攒点东西,留着以后找工作。毕竟说空话被bs过。其实技术含量也不高,耐心研究下都能实现。发出来了,权当促进游戏保护和反保护事业的发展吧。大牛飘过吧,那些还没成为大牛就开始倚老卖老喜欢对刚入门的小菜指手画脚的,时不时的来一句“别瞎鼓捣了,你应该从这学起,你应该从那学起的吧“请嘴上饶人吧。别人实现过,我纯粹研究,不做破坏的事情。我的学习是单纯的兴趣使然。
         首先是我研究的思路,ring0下过掉所有的SSDThook 和ShadowSSDT  hook(思路是从360的hook框架来的)。当然,对于过掉所有的inline hook 具体实现也就是 pe加载和重定位的问题。研究这个的目的是通杀所有的SSDT hook 和 inline hook,很多游戏保护,很多木马都是通过给系统打补丁或者替换地址栏来执行恶意代码的目的。假如重新载入内核,系统调用都用我们的代理函数和数据变量,那么做很多事都就爽歪歪了。         1,原理: hook系统函数,Kifastcallentry,然后给这个函数打补丁,让它执行我们自己的代码。然后对代码中用到的内核表(也就是KeServiceDescriptorTable和KeServiceDescriptorTableShadow表)进行替换。从而使得木马,病毒,游戏保护们去处理原来的表去吧,内核已经不使用它们了。    
          2,实现:
                A,首先是找到两张系统表KeServiceDescriptorTable和KeServiceDescriptorTableShadow表。KeServiceDescriptorTable是内核导出的,我们定义一下就ok了。        对于后边一张表,由于内核并没有导出,那么我们可以有好几种方法得到,比如搜KeServiceDescriptorTable周围的内存,比如KeAddSystemServiceTable函数中特征码搜索,比如线程对象kthread的ServiceTable域得到(这种方法最稳定)。在这里,我选择的是第二种方法 特征码搜索。获取表的地址后,解析来我们来把这张表保存到我们申请的内存吧。这是复制SSDT表,这里提高了系统的irql到Dpclevel,防止线程切换。假如切换的话,我们复制的数据就会有问题了。同样的保存一下ShadowSSDT表这里要注意的就是ShadowSSDT表并不存在于系统进程空间的物理内存中,必须用gui线程来访问这张表。所以,我挂靠到了csrss.exe进程。这里偷懒了,604是测试环境下csrss.exe的进程id。
        B,接下来是hook kifastcallentry(所有系统调用都必须经过这个内核函数)函数了。这个函数也不是系统内核导出的函数,所以,我们必须用别的方法获取到。方法有堆栈回溯法(很牛,很稳定的大法),rdmsr 的方法。360采取的是堆栈回溯法,hook 了ZwSetEvent,这里不展开了。因为程序仅仅是测试,所以,从简处理。运用rdmsr的方法获取kifastcallentry的地址。接下里就是重点了。我没有用平常的wrmsr指令来替换kifastcallentry的地址,而是在这个函数内部实现inline hook 跳转。所以,我要设法获取这个hook地址,我要hook的地址是为什么选这里呢?原因是edi指向的是表的地址。并且eax存放的是系统调用功能号。研究这个应该熟悉从ring3到ring0系统调用全过程的,这个我就不多说了。特征码就是"0x83,0x3f,0x8b,0x1c,0x87"。这段特征码将被我替换为跳转的代码。跳转我要多说几句。我们可以搭建跳板。怎么搭建呢,我们可以ExallocatePool分配跳转的中继地址,从hook出跳到中继地址,然后跳到最终地址Filter函数,这样可以躲过通过模块的起始地址和大小的检测方法,使我们的驱动模块合法点。出于实现的目的,没有采取上边的方法。跳转的偏移计算方法跳转偏移 = 目的地址 - 源地址 -5;然后,去除内核的代码段写保护,patch地址,复位写保护。这样之后,经过Kifastcallentry函数的线程都要到我们的跳转目的地址去执行了。
        C,hook跳转的目的地址是我自己定义的filter裸函数现在代码仅仅替换KeServiceDescriptorTable这张表毕竟测试吗。对了,落了对这两张表的介绍。让我们来认识一下这两张表吧。
ShadowSSDT表。可以看出,它包含SSDT表。接下里,SSDT表需要讲一下的时edi指向的是PSSDT->ServiceTableBase,或者是shadow表的ServiceTableBase。原理说完了。接下来让我们看看实验效果吧。如上图,我把系统本身的SSDT表中的NtOpenProcess 修改为0了,然后运行系统。正常。我们来到ark工具中看看吧。
       很闪亮的NtOpenProcess的当前地址变为零了。可是系统跑的很正常。哈哈。




[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 6
支持
分享
最新回复 (15)
雪    币: 220
活跃值: (721)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
看了半天, 还以为有代码下载呢
2011-12-9 14:44
0
雪    币: 3116
活跃值: (1269)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
3
代码,整个可使用的工程我都发了,楼主还在折腾啊。。
2011-12-9 15:11
0
雪    币: 839
活跃值: (2837)
能力值: ( LV11,RANK:190 )
在线值:
发帖
回帖
粉丝
4
pdf里边已经说的多详细了呀。。 你要我发你邮箱。。  发出来丢人呀。。  呵呵
2011-12-9 15:47
0
雪    币: 136
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
找工作他们更看重的是团队项目,呵呵
2011-12-9 16:01
0
雪    币: 839
活跃值: (2837)
能力值: ( LV11,RANK:190 )
在线值:
发帖
回帖
粉丝
6
一直很孤单,一直一个人,渴望身边有一个好这口的朋友圈子共同开发项目。周围同学差不多都是网页编程。不管怎么样,以后还是拿自己的研究后输出的文档来找工作。
2011-12-9 16:10
0
雪    币: 142
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
哈哈,楼主还是把工程打个包上来吧,这样帖子看起来完美些...
2011-12-9 17:43
0
雪    币: 308
活跃值: (25)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
8
我还以为很厉害的技术呢,不过楼主能发代码就更好了,呵呵
2011-12-9 18:08
0
雪    币: 405
活跃值: (2285)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
9
没有64位通用性的代码,基本没有什么意义。
2011-12-9 21:21
0
雪    币: 205
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
方法不错!!!
2011-12-10 17:42
0
雪    币: 60
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
楼主能发下源码吗
2012-1-12 14:39
0
雪    币: 287
活跃值: (583)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
12
这年头都还在研究SSDT啊
2012-1-12 19:01
0
雪    币: 278
活跃值: (709)
能力值: ( LV15,RANK:520 )
在线值:
发帖
回帖
粉丝
13
膜拜黑哥,不会驱动的路过
2012-1-12 20:23
0
雪    币: 195
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
论坛上已经有人发过完整的代码了
2012-2-7 16:08
0
雪    币: 220
活跃值: (721)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
LS的兄弟说的代码在哪?
2012-2-7 20:48
0
雪    币: 334
活跃值: (92)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
16
标号,以后研究
2012-12-19 23:33
0
游客
登录 | 注册 方可回帖
返回
//