[分享]增加SSDT服务~ （学习笔记3）-编程技术-看雪-安全社区|安全招聘|kanxue.com

[分享]增加SSDT服务~ （学习笔记3）

发表于: 2008-12-10 17:34 7552

[分享]增加SSDT服务~ （学习笔记3）

bzhkl

2008-12-10 17:34

7552

最初听说卡巴斯基能自己增加服务，查了下资料，找到了份源代码，找个别人的模板驱动程序整合整理并注释了下。
附件包含ring3和ring0代码

自己调用服务则输出
Kernel service with 1 parameters called
param1=15

驱动加载完成后查看RKU 看到了SSDT已经正确的增加了

RING3是这样调用的
function SampleService1( param : DWORD) : dword;
var
  stackframe : Pointer; // 参数地址
begin
  stackframe := @param;
asm
mov eax, ServiceStart
add eax, 1                   //eax存放调用号  调用自己增加的第二个服务
mov edx, stackframe          //edx存放参数堆栈的地址
int 2eh                      //这句执行后会看到dbgview输出上面的信息
  end;
end;

下面是驱动中两个主要功能函数的实现
1，KeServiceDescriptorTableShadow的定位
2，KeServiceDescriptorTable的处理

// 得到KeServiceDescriptorTableShadow的地址  原理搜索KeAddSystemServiceTable中的常量因为KeAddSystemServiceTable使用了得到KeServiceDescriptorTableShadow的地址
unsigned int GetAddrssofShadowTable()
{
int i;
unsigned char *p;
unsigned int dwordatbyte;
p=(unsigned char *)KeAddSystemServiceTable;
DbgPrint("KeServiceDescriptorTable->ServiceTableBase = %x\n", KeServiceDescriptorTable->ServiceTableBase);
DbgPrint("KeAddSystemServiceTable = %x\n", KeAddSystemServiceTable);
for (i=0; i<4096; i++, p++) {
__try {
dwordatbyte=*(unsigned int *)p;
}
__except (EXCEPTION_EXECUTE_HANDLER) {
DbgPrint("发生异常\n");
return 0;
}

if (MmIsAddressValid((PVOID)dwordatbyte)) {
if (memcmp((PVOID)dwordatbyte, KeServiceDescriptorTable, 16)==0) {
if ((PVOID)dwordatbyte==KeServiceDescriptorTable) {
continue;
}
return dwordatbyte;
}
}
}
return 0;
}

NTSTATUS AddServices()
{
ULONG Addrtemp;
DbgPrint("AddServices开始执行\n");

PServiceDescriptorTableEntry KeServiceDescriptorTableShadow;

unsigned int NumberOfServices;

NumberOfServices=sizeof(ServiceTableBase)/sizeof(ServiceTableBase[0]);                // 将要增加的服务函数的个数

KeServiceDescriptorTableShadow=(PServiceDescriptorTableEntry)GetAddrssofShadowTable(); //获取 Shadow SSDT 地址

if (KeServiceDescriptorTableShadow==NULL) {
DbgPrint("没有找到TableShadow\n");
return STATUS_UNSUCCESSFUL;
}

DbgPrint("KeServiceDescriptorTableShadow=%x\n", KeServiceDescriptorTableShadow);

NewNumberOfServices=KeServiceDescriptorTable->NumberOfServices+NumberOfServices;       //增加后服务数目
StartingServiceId=KeServiceDescriptorTable->NumberOfServices;                         //得到后来增加服务中第一个服务的序号

DbgPrint("增加的第一个服务号是StartingServiceId  %x \n", StartingServiceId);

/* Allocate suffcient memory to hold the exising services as well as
the services you want to add */
NewServiceTableBase=(unsigned int *) ExAllocatePool(PagedPool, NewNumberOfServices*sizeof(unsigned int));
if (NewServiceTableBase==NULL) {
return STATUS_INSUFFICIENT_RESOURCES;
}

NewParamTableBase=(unsigned char *) ExAllocatePool(PagedPool, NewNumberOfServices);
if (NewParamTableBase==NULL) {
ExFreePool(NewServiceTableBase);
return STATUS_INSUFFICIENT_RESOURCES;
}

/* Backup the exising SSDT and SSPT */
memcpy(NewServiceTableBase, KeServiceDescriptorTable->ServiceTableBase, //原来的SSDT服务地址表拷贝到分配的NewServiceTableBase内存中去
KeServiceDescriptorTable->NumberOfServices*sizeof(unsigned int));
memcpy(NewParamTableBase, KeServiceDescriptorTable->ParamTableBase,       //原来的SSDT参数表拷贝到新分配的NewParamTableBase内存中去
KeServiceDescriptorTable->NumberOfServices);

/*对地址表和参数表追加*/
memcpy(NewServiceTableBase+KeServiceDescriptorTable->NumberOfServices,
ServiceTableBase, sizeof(ServiceTableBase));
memcpy(NewParamTableBase+KeServiceDescriptorTable->NumberOfServices,
ParamTableBase, sizeof(ParamTableBase));

/*更新KeServiceDescriptorTableEntry的SSDT和 SSPT*/
KeServiceDescriptorTable->ServiceTableBase=NewServiceTableBase;
KeServiceDescriptorTable->ParamTableBase=NewParamTableBase;
KeServiceDescriptorTable->NumberOfServices=NewNumberOfServices;
//这里输出新的SSDT 服务函数的地址
DbgPrint("NewServiceTableBase KeServiceDescriptorTable->ServiceTableBase = %x\n", KeServiceDescriptorTable->ServiceTableBase);
/* 更新KeServiceDescriptorTableShadow的SSDT和 SSPT*/
KeServiceDescriptorTableShadow->ServiceTableBase=NewServiceTableBase;
KeServiceDescriptorTableShadow->ParamTableBase=NewParamTableBase;
KeServiceDescriptorTableShadow->NumberOfServices=NewNumberOfServices;

//打印出第一个服务的地址
Addrtemp = (ULONG)KeServiceDescriptorTable->ServiceTableBase ;
Addrtemp = Addrtemp + StartingServiceId * 4;
Addrtemp = *(ULONG*)Addrtemp;
DbgPrint("增加的第一个服务的地址是 Addrtemp is %x\n", Addrtemp);

return STATUS_SUCCESS;
}

[注意]看雪招聘，专注安全领域的专业人才平台！

上传的附件：

增加SSDT.rar （14.06kb，294次下载）
SSDT.jpg （17.05kb，615次下载）

收藏・7

免费・1

支持

赞赏记录

参与人

雪币

留言

时间

wx_ウメ

为你点赞~

2021-12-3 10:46

最新回复 (5)
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 2 楼我还是沙发~~~~~！顶 2008-12-10 17:54 0
ASMFAQ 雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 22 粉丝 0 关注私信	ASMFAQ 3 楼哦啦啦娃哈哈 2008-12-10 21:09 0
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 74 回帖 365 粉丝 4 关注私信	bujin888 4 4 楼好东西我翻译成D的用的正爽,终于可以不要频繁的DriveIoControl 2008-12-11 03:49 0
太难了雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 140 粉丝 0 关注私信	太难了 5 楼楼主很勤快，连续收了你好几篇文章 ^_^ 2008-12-11 19:00 0
美丽破船雪币： 65 活跃值： (811) 能力值： ( LV12，RANK：210 ) 在线值：发帖 40 回帖 395 粉丝 7 关注私信	美丽破船 5 6 楼好厉害哦`~~~~ 坚持下去`~~ 2008-12-11 19:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

bzhkl

发帖

403

回帖

240

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (5)
weolar 雪币： 364 活跃值： (152) 能力值： ( LV12，RANK：450 ) 在线值：发帖 142 回帖 620 粉丝 20 关注私信	weolar 10 2 楼我还是沙发~~~~~！顶 2008-12-10 17:54 0
ASMFAQ 雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 22 粉丝 0 关注私信	ASMFAQ 3 楼哦啦啦娃哈哈 2008-12-10 21:09 0
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 74 回帖 365 粉丝 4 关注私信	bujin888 4 4 楼好东西我翻译成D的用的正爽,终于可以不要频繁的DriveIoControl 2008-12-11 03:49 0
太难了雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 140 粉丝 0 关注私信	太难了 5 楼楼主很勤快，连续收了你好几篇文章 ^_^ 2008-12-11 19:00 0
美丽破船雪币： 65 活跃值： (811) 能力值： ( LV12，RANK：210 ) 在线值：发帖 40 回帖 395 粉丝 7 关注私信	美丽破船 5 6 楼好厉害哦`~~~~ 坚持下去`~~ 2008-12-11 19:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[分享]增加SSDT服务~ （学习笔记3）

账号登录 验证码登录

账号登录

验证码登录