[原创]SSDT Hook的妙用－对抗ring0 inline hook-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]SSDT Hook的妙用－对抗ring0 inline hook

发表于: 2007-3-10 15:18 231214

[原创]SSDT Hook的妙用－对抗ring0 inline hook

堕落天才

2007-3-10 15:18

231214

查看主题内容

收藏・221

免费・7

支持

最新回复 (186) ◀ 1 2 3 4 5 6 7 8 ▶
xingsx 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	xingsx 151 楼在ring0开辟一个空间，复制整个ntkrnlpa.exe的image，恢复这个image里的hook，调用这个image里的代码实现原ntkrnlpa.exe的函数功能................ 2010-10-6 22:22 0
zhxsh 雪币： 262 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 20 粉丝 0 关注私信	zhxsh 152 楼顶一个```````` 2011-1-3 02:15 0
cnhnyu 雪币： 387 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 17 回帖 185 粉丝 0 关注私信	cnhnyu 2 153 楼今天重新把此帖又看了一遍，感觉稍微看懂了一些现在有以下疑问，请帮忙解惑，谢谢： 1. __asm{ push 0C4h push 804eb560h //共十个字节 jmp [JmpAddress] } 这段汇编代码什么意思，尤其是前面的10个字节的编码到底是什么？ 2. 我通过KeServiceDescriptorTable得到了整个函数的地址表，那么我如何通过这个地址表得到每个函数的名字？ 3. __declspec(naked) 这个什么意思？如果不加会有什么问题？ 2011-2-10 15:09 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 154 楼看雪老大以及各位版主都顶了，我也顶哈嘛 2011-2-10 22:02 0
Ethernet 雪币： 203 活跃值： (229) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 139 粉丝 0 关注私信	Ethernet 155 楼如果一上来就恢复SSDT表，那不是无效了。 2011-3-21 11:42 0
ycmint 雪币： 1149 活跃值： (888) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 10 关注私信	ycmint 5 156 楼好贴。。。讲的清晰。。硬编码要改几处。。。 2011-3-21 13:16 0
广海混沌雪币： 220 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 272 粉丝 1 关注私信	广海混沌 157 楼驻足留步seeing 2011-5-10 15:57 0
dktest 雪币： 60 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 36 粉丝 0 关注私信	dktest 158 楼跟着顶贴MARK 2011-5-18 11:27 0
孤山散人雪币： 211 活跃值： (118) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 132 粉丝 1 关注私信	孤山散人 159 楼 LZ的文章很精彩，有些地方有人不明白我补充一点： 1. 在XP以及以上系统中需要打开内核调试，才能用windbg查看 KeSeviceDescriptorTable, 系统的内核调试一般没有打开，如何打开大家可以搜搜。 2. 程序中的硬编码是不对的，很容易出问题 __asm{ push 0C4h push 804eb560h //共十个字节 jmp [JmpAddress] 其中 804eb560 在每个人的机器上不同的，因为在NtOpenProcess载入以后有个重定位的问题，这个值需要动态获得，可以采用增加一个全局变量，在获取NtOpenProcess的地址时，顺便获取该地址，然后将push语句改为 push [全局变量名] 3. 如果NP修改了SSDT表，使KeSeviceDescriptorTable的基址+7a*4的位置不再指向NtOpenProcess的位置，那么这个办法肯定是没用了，那个时候，大家利用windbg的内核调试，找新的地址，然后再做跳转，原理是一样的。 4. KeServiceDescriptorTable中的其他函数的前十个字节是否肯定不是这样的，大家可以用IDA静态反汇编ntoskr看看具体是什么。 2011-5-18 15:16 0
rayyear 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	rayyear 160 楼 mark一下，新人学习了 2011-10-25 15:16 0
unixstudio 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	unixstudio 161 楼深入浅出，写的不错适合新手 2011-10-30 21:41 0
comcsu 雪币： 29 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 32 粉丝 0 关注私信	comcsu 162 楼好文章啊思路很清楚，让人能很好的明白啊 2011-11-27 10:50 0
Saith 雪币： 221 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	Saith 163 楼受教啦,谢谢! 2012-6-26 17:37 0
opq哲哥雪币： 63 活跃值： (177) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 60 粉丝 2 关注私信	opq哲哥 164 楼大概了解你的思路。这种方法只适用于被inline hook之后。希望楼主想想如何免疫inline hook。 2012-12-11 09:48 0
xunbu 雪币： 3542 活跃值： (239) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 94 粉丝 0 关注私信	xunbu 165 楼 SSDT关注！ 2012-12-25 20:23 0
taosir 雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 28 粉丝 0 关注私信	taosir 166 楼谢谢 KANXUE 老大，终于转正了。恭喜下！另外，看了KANXUE 海风月影堕落天才 lvg等大牛的所有精华文章，本人甚是膜拜，羡慕之余，隐隐约约内心作痛；大学毕业之后的十五年间，都不知道自己到底在做什么？虽然文科出身，但是对二进制却出奇的迷恋，在这里，在www.pediy.com等等这里，我终于找到了乐趣。热烈欢迎大牛们的精彩文章以及无私的源码奉献！ 2012-12-26 16:17 0
玄色疯雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	玄色疯 167 楼学习了，非常感谢楼主 2012-12-27 19:24 0
silence刘雪币： 79 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 225 粉丝 0 关注私信	silence刘 168 楼收藏，好文一篇 2012-12-28 09:18 0
叶梦雪币： 119 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	叶梦 169 楼你说现在游戏的反外挂驱动怎么这么流氓呢？就拿NP为例，你修改我PC机的内核代码，我没怪你就不错了，我还原HOOK，你居然重启我电脑？你要是关闭游戏，游戏是你开发的，我就认了，重启我电脑是神马意思，我觉得法律上告它都能赢。国外的反外挂有这么流氓的么？ 2012-12-28 10:06 0
有点恶心雪币： 10 活跃值： (69) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	有点恶心 170 楼老帖子有时也很有味道,不错哦 2013-1-8 23:33 0
myliliyi 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	myliliyi 171 楼 push C4 push 804DAAA8 call 80538F10 每个机子都是不一样滴 2013-2-26 05:34 0
fiorentina 雪币： 184 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 53 粉丝 0 关注私信	fiorentina 172 楼不错的文章，支持 2013-3-20 10:27 0
不高兴了雪币： 7 活跃值： (100) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 40 粉丝 0 关注私信	不高兴了 173 楼好文章，现在看也挺好的 2013-4-7 16:38 0
yhdawhf 雪币： 71 活跃值： (227) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 22 粉丝 0 关注私信	yhdawhf 174 楼深入浅出。就这么点文字就把原理讲明白了。厉害。 2013-4-30 13:55 0
饿死灵魂雪币： 59 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 75 粉丝 0 关注私信	饿死灵魂 175 楼哪有《Undocument Windows 2000 Secretes》这本书啊? 2013-8-9 11:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

堕落天才

发帖

回帖

410

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (186) ◀ 1 2 3 4 5 6 7 8 ▶
xingsx 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	xingsx 151 楼在ring0开辟一个空间，复制整个ntkrnlpa.exe的image，恢复这个image里的hook，调用这个image里的代码实现原ntkrnlpa.exe的函数功能................ 2010-10-6 22:22 0
zhxsh 雪币： 262 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 20 粉丝 0 关注私信	zhxsh 152 楼顶一个```````` 2011-1-3 02:15 0
cnhnyu 雪币： 387 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 17 回帖 185 粉丝 0 关注私信	cnhnyu 2 153 楼今天重新把此帖又看了一遍，感觉稍微看懂了一些现在有以下疑问，请帮忙解惑，谢谢： 1. __asm{ push 0C4h push 804eb560h //共十个字节 jmp [JmpAddress] } 这段汇编代码什么意思，尤其是前面的10个字节的编码到底是什么？ 2. 我通过KeServiceDescriptorTable得到了整个函数的地址表，那么我如何通过这个地址表得到每个函数的名字？ 3. __declspec(naked) 这个什么意思？如果不加会有什么问题？ 2011-2-10 15:09 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 154 楼看雪老大以及各位版主都顶了，我也顶哈嘛 2011-2-10 22:02 0
Ethernet 雪币： 203 活跃值： (229) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 139 粉丝 0 关注私信	Ethernet 155 楼如果一上来就恢复SSDT表，那不是无效了。 2011-3-21 11:42 0
ycmint 雪币： 1149 活跃值： (888) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 10 关注私信	ycmint 5 156 楼好贴。。。讲的清晰。。硬编码要改几处。。。 2011-3-21 13:16 0
广海混沌雪币： 220 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 272 粉丝 1 关注私信	广海混沌 157 楼驻足留步seeing 2011-5-10 15:57 0
dktest 雪币： 60 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 36 粉丝 0 关注私信	dktest 158 楼跟着顶贴MARK 2011-5-18 11:27 0
孤山散人雪币： 211 活跃值： (118) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 132 粉丝 1 关注私信	孤山散人 159 楼 LZ的文章很精彩，有些地方有人不明白我补充一点： 1. 在XP以及以上系统中需要打开内核调试，才能用windbg查看 KeSeviceDescriptorTable, 系统的内核调试一般没有打开，如何打开大家可以搜搜。 2. 程序中的硬编码是不对的，很容易出问题 __asm{ push 0C4h push 804eb560h //共十个字节 jmp [JmpAddress] 其中 804eb560 在每个人的机器上不同的，因为在NtOpenProcess载入以后有个重定位的问题，这个值需要动态获得，可以采用增加一个全局变量，在获取NtOpenProcess的地址时，顺便获取该地址，然后将push语句改为 push [全局变量名] 3. 如果NP修改了SSDT表，使KeSeviceDescriptorTable的基址+7a*4的位置不再指向NtOpenProcess的位置，那么这个办法肯定是没用了，那个时候，大家利用windbg的内核调试，找新的地址，然后再做跳转，原理是一样的。 4. KeServiceDescriptorTable中的其他函数的前十个字节是否肯定不是这样的，大家可以用IDA静态反汇编ntoskr看看具体是什么。 2011-5-18 15:16 0
rayyear 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	rayyear 160 楼 mark一下，新人学习了 2011-10-25 15:16 0
unixstudio 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	unixstudio 161 楼深入浅出，写的不错适合新手 2011-10-30 21:41 0
comcsu 雪币： 29 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 32 粉丝 0 关注私信	comcsu 162 楼好文章啊思路很清楚，让人能很好的明白啊 2011-11-27 10:50 0
Saith 雪币： 221 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	Saith 163 楼受教啦,谢谢! 2012-6-26 17:37 0
opq哲哥雪币： 63 活跃值： (177) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 60 粉丝 2 关注私信	opq哲哥 164 楼大概了解你的思路。这种方法只适用于被inline hook之后。希望楼主想想如何免疫inline hook。 2012-12-11 09:48 0
xunbu 雪币： 3542 活跃值： (239) 能力值： ( LV3，RANK：30 ) 在线值：发帖 12 回帖 94 粉丝 0 关注私信	xunbu 165 楼 SSDT关注！ 2012-12-25 20:23 0
taosir 雪币： 37 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 28 粉丝 0 关注私信	taosir 166 楼谢谢 KANXUE 老大，终于转正了。恭喜下！另外，看了KANXUE 海风月影堕落天才 lvg等大牛的所有精华文章，本人甚是膜拜，羡慕之余，隐隐约约内心作痛；大学毕业之后的十五年间，都不知道自己到底在做什么？虽然文科出身，但是对二进制却出奇的迷恋，在这里，在www.pediy.com等等这里，我终于找到了乐趣。热烈欢迎大牛们的精彩文章以及无私的源码奉献！ 2012-12-26 16:17 0
玄色疯雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	玄色疯 167 楼学习了，非常感谢楼主 2012-12-27 19:24 0
silence刘雪币： 79 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 225 粉丝 0 关注私信	silence刘 168 楼收藏，好文一篇 2012-12-28 09:18 0
叶梦雪币： 119 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 29 粉丝 0 关注私信	叶梦 169 楼你说现在游戏的反外挂驱动怎么这么流氓呢？就拿NP为例，你修改我PC机的内核代码，我没怪你就不错了，我还原HOOK，你居然重启我电脑？你要是关闭游戏，游戏是你开发的，我就认了，重启我电脑是神马意思，我觉得法律上告它都能赢。国外的反外挂有这么流氓的么？ 2012-12-28 10:06 0
有点恶心雪币： 10 活跃值： (69) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	有点恶心 170 楼老帖子有时也很有味道,不错哦 2013-1-8 23:33 0
myliliyi 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	myliliyi 171 楼 push C4 push 804DAAA8 call 80538F10 每个机子都是不一样滴 2013-2-26 05:34 0
fiorentina 雪币： 184 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 53 粉丝 0 关注私信	fiorentina 172 楼不错的文章，支持 2013-3-20 10:27 0
不高兴了雪币： 7 活跃值： (100) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 40 粉丝 0 关注私信	不高兴了 173 楼好文章，现在看也挺好的 2013-4-7 16:38 0
yhdawhf 雪币： 71 活跃值： (227) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 22 粉丝 0 关注私信	yhdawhf 174 楼深入浅出。就这么点文字就把原理讲明白了。厉害。 2013-4-30 13:55 0
饿死灵魂雪币： 59 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 75 粉丝 0 关注私信	饿死灵魂 175 楼哪有《Undocument Windows 2000 Secretes》这本书啊? 2013-8-9 11:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复