[原创]x64内核编程小窥-SSDT HOOK笔记-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [原创]x64内核编程小窥-SSDT HOOK笔记 0.00雪花

发表于: 2014-11-15 00:46 15116

[旧帖] [原创]x64内核编程小窥-SSDT HOOK笔记 0.00雪花

sarsky

2014-11-15 00:46

15116

UINT64 getKeServiceDescirptorTable()
{
  UINT64 KeServiceDescirptorTable = 0;// 接收KeServiceDescirptorTable地址
  PUCHAR addrStartSearch = (PUCHAR)__readmsr(ULONG(0xC0000082));  // 读取KiSystemCall64地址

  PUCHAR addrEndSearch = addrStartSearch + 0x500;  // 搜索的结束地址
  ULONG tmpAddress = 0;// 用于保存临时地址
  int j = 0;// 用于进行索引

  //    开始搜索，从KiSystemCall64开始搜索其函数体内关于KeServiceDescriptorTable结构的信息
  for (PUCHAR i = addrStartSearch; i < addrEndSearch; i++, j++)
  {
    if (MmIsAddressValid(i) && MmIsAddressValid(i + 1) && MmIsAddressValid(i + 2))
    {
      //特征码 0x4c 0x8d 0x15
      if (addrStartSearch[j] == 0x4c &&
        addrStartSearch[j + 1] == 0x8d &&
        addrStartSearch[j + 2] == 0x15)
      {
        RtlCopyMemory(&tmpAddress, i + 3, 4);  // 保存后4个机器码
        // 得到KeServiceDescirptorTable表真实地址
        KeServiceDescirptorTable = tmpAddress + (INT64)i + 7;
      }
    }
  }
  return KeServiceDescirptorTable;
}

PSERVICES_DESCRIPTOR_TABLE pServiceDescriptorTable = (PSERVICES_DESCRIPTOR_TABLE)getKeServiceDescirptorTable();
PULONG ssdt = (PULONG)pServiceDescriptorTable->ServiceTableBase;

UINT64 getSsdtFunctionAddress(UINT index)
{
  INT64 address = 0;
  PSERVICES_DESCRIPTOR_TABLE pServiceDescriptorTable = (PSERVICES_DESCRIPTOR_TABLE)getKeServiceDescirptorTable();
  PULONG ssdt = (PULONG)pServiceDescriptorTable->ServiceTableBase;
  ULONG  dwOffset = ssdt[index];
  dwOffset >>= 4;            // get real offset
  address = (UINT64)ssdt + dwOffset;  // get real address of function in ssdt
  KdPrint(("0x%llX\n", address));
  return address;
}

VOID initKeBugCheckEx()
{
  /*
    向KeBugCheckEx头部中写入的数据
    48 B8 xxxx    mov rax,XXXh;
    FF E0      jmp rax
  */
  UCHAR jmpCode[13] = "\x48\xB8\xFF\xFF\xFF\xFF\xFF\xFF\xFF\x00\xFF\xE0"; //12 data
  UINT64 proxyFunction;
  proxyFunction = (UINT64)proxyNtOpenProcess;  //自己的NtOpenProess
  RtlCopyMemory(jmpCode + 2, &proxyFunction, 8);
  wpOff();  // 关保护
  memset(KeBugCheckEx, 0x90, 15);  // 初始化15个字节为 nop
  RtlCopyMemory(KeBugCheckEx, jmpCode, 12); // mov rax,XXXh;jmp rax; nop; nop;
  wpOn();    // 写保护
  return;
}

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

x64SSDTHOOK.7z （2.34kb，450次下载）

收藏・93

免费・3

支持

最新回复 (64) 1 2 3 ▶
sarsky 雪币： 32 活跃值： (34) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 77 粉丝 1 关注私信	sarsky 2 楼沙发留名感谢大家啊，我转正了，非常感谢我们任老师A1Pass和b23526给的邀请码也衷心希望大家也来15PB，我现在这里，这里真的很好。 2014-11-15 00:47 0
一头毛虫雪币： 29 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	一头毛虫 3 楼不留名板櫈 2014-11-15 01:16 0
hrpirip 雪币： 55 活跃值： (519) 能力值： ( LV6，RANK：80 ) 在线值：发帖 48 回帖 407 粉丝 2 关注私信	hrpirip 1 4 楼顶一个。 2014-11-15 07:57 0
butian 雪币： 122 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 168 粉丝 0 关注私信	butian 5 楼顶一个…… 2014-11-15 08:00 0
sarsky 雪币： 32 活跃值： (34) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 77 粉丝 1 关注私信	sarsky 6 楼感觉没人理啊...唉，郁闷的啦，当时写得好辛苦的.... 2014-11-15 08:08 0
sarsky 雪币： 32 活跃值： (34) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 77 粉丝 1 关注私信	sarsky 7 楼大牛，你kx好多啊，送我个号呗...i really want to become regular members 2014-11-15 08:22 0
sarsky 雪币： 32 活跃值： (34) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 77 粉丝 1 关注私信	sarsky 8 楼我擦，刚才竟突然打不出中文........... 2014-11-15 08:23 0
轩辕追命雪币： 52 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 58 粉丝 0 关注私信	轩辕追命 9 楼感觉不错啊....为毛没加精啊...... 2014-11-15 17:18 0
cnxxm 雪币： 478 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 53 回帖 473 粉丝 1 关注私信	cnxxm 10 楼学习了啊。。 2014-11-15 22:50 0
傲世孤尘雪币： 0 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	傲世孤尘 11 楼好厉害，膜拜 2014-11-15 23:46 0
viphack 雪币： 219 活跃值： (783) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 12 楼鼓励一下 2014-11-16 04:01 0
sarsky 雪币： 32 活跃值： (34) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 77 粉丝 1 关注私信	sarsky 13 楼求转正啊..... 2014-11-16 08:07 0
niuzuoquan 雪币： 300 活跃值： (2472) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 523 粉丝 2 关注私信	niuzuoquan 14 楼 mark 2014-11-16 08:14 0
linso 雪币： 349 活跃值： (125) 能力值： ( LV7，RANK：100 ) 在线值：发帖 9 回帖 84 粉丝 3 关注私信	linso 1 15 楼路过留名 2014-11-16 08:37 0
qqlinhai 雪币： 114 活跃值： (180) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 288 粉丝 0 关注私信	qqlinhai 16 楼 MARK，谢谢分享。 2014-11-16 09:28 0
b23526 雪币： 4560 活跃值： (1002) 能力值： ( LV4，RANK：50 ) 在线值：发帖 351 回帖 1832 粉丝 4 关注私信	b23526 17 楼不错的帖子,送你个邀请码 2014-11-16 09:32 0
guyue三十五雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 100 粉丝 0 关注私信	guyue三十五 18 楼虽然不是很懂但是也支持下啊 2014-11-16 11:05 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 19 楼不错名师出高徒阿 2014-11-16 11:11 0
IamHuskar 雪币： 1392 活跃值： (5172) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1662 粉丝 68 关注私信	IamHuskar 4 20 楼如果我是SSDT hook200个函数怎么办。应当是从代码段的末尾寻找这样的跳转空间比较好 2014-11-16 11:41 0
sarsky 雪币： 32 活跃值： (34) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 77 粉丝 1 关注私信	sarsky 21 楼说得很好诶，我就是对ntoskrnl.exe文件不了解，没找到更好的hook点 2014-11-16 11:50 0
一盏清茗雪币： 78 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 75 粉丝 0 关注私信	一盏清茗 22 楼虽然是完全参考了[www.vbasm.com]WIN64驱动编程基础教程，但还是鼓励下吧。 2014-11-16 14:18 0
一盏清茗雪币： 78 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 75 粉丝 0 关注私信	一盏清茗 23 楼至于为什么是ssdt[nIndex]>>4而不是ssdt[nIndex]，只能说通过逆向发现微软的做法就是这样的.....ssdt[nIndex]>>4才是实际偏移地址......(也是不知道该怎么解释了，希望遇到更明白的大牛告知) IDA自己找KiSystemServiceStart。慢慢分析原理吧~ fffff800`03e73024 49c1fb04 sar r11,4 注意这个逗比操作，右移4位，获取真正偏移 fffff800`03e73028 4d03d3 add r10,r11 把偏移加到ssdt/shadow表的地址上，得到函数在内存中真正地址，u r10试试 2014-11-16 14:22 0
zfdyq 雪币： 294 活跃值： (119) 能力值： ( LV5，RANK：70 ) 在线值：发帖 16 回帖 186 粉丝 8 关注私信	zfdyq 1 24 楼 LZ是五期大牛啊~ 2014-11-16 14:24 0
sarsky 雪币： 32 活跃值： (34) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 77 粉丝 1 关注私信	sarsky 25 楼 [QUOTE=一盏清茗;1331228]至于为什么是ssdt[nIndex]>>4而不是ssdt[nIndex]，只能说通过逆向发现微软的做法就是这样的.....ssdt[nIndex]>>4才是实际偏移地址......(也是不知道该怎么解释了，希望遇到更明白的大牛告知) IDA自己找KiSystemServiceStart。慢慢分...[/QUOTE] 对诶，我就是说的这个操作，微软就是这么做的，只是有些不理解.....非常感谢你 2014-11-16 15:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

sarsky

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (64) 1 2 3 ▶
sarsky 雪币： 32 活跃值： (34) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 77 粉丝 1 关注私信	sarsky 2 楼沙发留名感谢大家啊，我转正了，非常感谢我们任老师A1Pass和b23526给的邀请码也衷心希望大家也来15PB，我现在这里，这里真的很好。 2014-11-15 00:47 0
一头毛虫雪币： 29 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	一头毛虫 3 楼不留名板櫈 2014-11-15 01:16 0
hrpirip 雪币： 55 活跃值： (519) 能力值： ( LV6，RANK：80 ) 在线值：发帖 48 回帖 407 粉丝 2 关注私信	hrpirip 1 4 楼顶一个。 2014-11-15 07:57 0
butian 雪币： 122 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 168 粉丝 0 关注私信	butian 5 楼顶一个…… 2014-11-15 08:00 0
sarsky 雪币： 32 活跃值： (34) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 77 粉丝 1 关注私信	sarsky 6 楼感觉没人理啊...唉，郁闷的啦，当时写得好辛苦的.... 2014-11-15 08:08 0
sarsky 雪币： 32 活跃值： (34) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 77 粉丝 1 关注私信	sarsky 7 楼大牛，你kx好多啊，送我个号呗...i really want to become regular members 2014-11-15 08:22 0
sarsky 雪币： 32 活跃值： (34) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 77 粉丝 1 关注私信	sarsky 8 楼我擦，刚才竟突然打不出中文........... 2014-11-15 08:23 0
轩辕追命雪币： 52 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 58 粉丝 0 关注私信	轩辕追命 9 楼感觉不错啊....为毛没加精啊...... 2014-11-15 17:18 0
cnxxm 雪币： 478 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 53 回帖 473 粉丝 1 关注私信	cnxxm 10 楼学习了啊。。 2014-11-15 22:50 0
傲世孤尘雪币： 0 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	傲世孤尘 11 楼好厉害，膜拜 2014-11-15 23:46 0
viphack 雪币： 219 活跃值： (783) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1009 粉丝 42 关注私信	viphack 4 12 楼鼓励一下 2014-11-16 04:01 0
sarsky 雪币： 32 活跃值： (34) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 77 粉丝 1 关注私信	sarsky 13 楼求转正啊..... 2014-11-16 08:07 0
niuzuoquan 雪币： 300 活跃值： (2472) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 523 粉丝 2 关注私信	niuzuoquan 14 楼 mark 2014-11-16 08:14 0
linso 雪币： 349 活跃值： (125) 能力值： ( LV7，RANK：100 ) 在线值：发帖 9 回帖 84 粉丝 3 关注私信	linso 1 15 楼路过留名 2014-11-16 08:37 0
qqlinhai 雪币： 114 活跃值： (180) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 288 粉丝 0 关注私信	qqlinhai 16 楼 MARK，谢谢分享。 2014-11-16 09:28 0
b23526 雪币： 4560 活跃值： (1002) 能力值： ( LV4，RANK：50 ) 在线值：发帖 351 回帖 1832 粉丝 4 关注私信	b23526 17 楼不错的帖子,送你个邀请码 2014-11-16 09:32 0
guyue三十五雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 100 粉丝 0 关注私信	guyue三十五 18 楼虽然不是很懂但是也支持下啊 2014-11-16 11:05 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 19 楼不错名师出高徒阿 2014-11-16 11:11 0
IamHuskar 雪币： 1392 活跃值： (5172) 能力值： ( LV13，RANK：240 ) 在线值：发帖 76 回帖 1662 粉丝 68 关注私信	IamHuskar 4 20 楼如果我是SSDT hook200个函数怎么办。应当是从代码段的末尾寻找这样的跳转空间比较好 2014-11-16 11:41 0
sarsky 雪币： 32 活跃值： (34) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 77 粉丝 1 关注私信	sarsky 21 楼说得很好诶，我就是对ntoskrnl.exe文件不了解，没找到更好的hook点 2014-11-16 11:50 0
一盏清茗雪币： 78 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 75 粉丝 0 关注私信	一盏清茗 22 楼虽然是完全参考了[www.vbasm.com]WIN64驱动编程基础教程，但还是鼓励下吧。 2014-11-16 14:18 0
一盏清茗雪币： 78 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 75 粉丝 0 关注私信	一盏清茗 23 楼至于为什么是ssdt[nIndex]>>4而不是ssdt[nIndex]，只能说通过逆向发现微软的做法就是这样的.....ssdt[nIndex]>>4才是实际偏移地址......(也是不知道该怎么解释了，希望遇到更明白的大牛告知) IDA自己找KiSystemServiceStart。慢慢分析原理吧~ fffff800`03e73024 49c1fb04 sar r11,4 注意这个逗比操作，右移4位，获取真正偏移 fffff800`03e73028 4d03d3 add r10,r11 把偏移加到ssdt/shadow表的地址上，得到函数在内存中真正地址，u r10试试 2014-11-16 14:22 0
zfdyq 雪币： 294 活跃值： (119) 能力值： ( LV5，RANK：70 ) 在线值：发帖 16 回帖 186 粉丝 8 关注私信	zfdyq 1 24 楼 LZ是五期大牛啊~ 2014-11-16 14:24 0
sarsky 雪币： 32 活跃值： (34) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 77 粉丝 1 关注私信	sarsky 25 楼 [QUOTE=一盏清茗;1331228]至于为什么是ssdt[nIndex]>>4而不是ssdt[nIndex]，只能说通过逆向发现微软的做法就是这样的.....ssdt[nIndex]>>4才是实际偏移地址......(也是不知道该怎么解释了，希望遇到更明白的大牛告知) IDA自己找KiSystemServiceStart。慢慢分...[/QUOTE] 对诶，我就是说的这个操作，微软就是这么做的，只是有些不理解.....非常感谢你 2014-11-16 15:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复