[原创]Anti SSDT Hook-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]Anti SSDT Hook

发表于: 2009-2-15 00:23 45872

[原创]Anti SSDT Hook

认真的雪

2009-2-15 00:23

45872

前几天去当面膜拜了女王大牛，果然****，还让我等了一个来小时。。。

在xp中ntdll.dll的调用都是通过sysenter切换到内核的，sysenter调用了KiFastCallEntry，而KiFastCallEntry函数则是在ssdt表找到相应的
函数地址，然后call，所以只要伪造一张原始的ssdt表，并且欺骗过KiFastCallEntry函数，这样ssdt hook就无效了。。。
先看KiFastCallEntry函数：

nt!KiFastCallEntry:
80541790 b923000000      mov     ecx,23h
80541795 6a30            push    30h
80541797 0fa1            pop     fs
80541799 8ed9            mov     ds,cx
8054179b 8ec1            mov     es,cx
8054179d 648b0d40000000  mov     ecx,dword ptr fs:[40h] 
805417a4 8b6104          mov     esp,dword ptr [ecx+4]  
805417a7 6a23            push    23h
805417a9 52              push    edx  
805417aa 9c              pushfd
805417ab 6a02            push    2
805417ad 83c208          add     edx,8 
805417b0 9d              popfd
805417b1 804c240102      or      byte ptr [esp+1],2
805417b6 6a1b            push    1Bh
805417b8 ff350403dfff    push    dword ptr ds:[0FFDF0304h]
805417be 6a00            push    0
805417c0 55              push    ebp
805417c1 53              push    ebx
805417c2 56              push    esi
805417c3 57              push    edi
//ebx=_KPCR.SelfPcr
805417c4 648b1d1c000000  mov     ebx,dword ptr fs:[1Ch] 
805417cb 6a3b            push    3Bh
//esi=_KPCR.PrcbData.CurrentThread
805417cd 8bb324010000    mov     esi,dword ptr [ebx+124h]  
805417d3 ff33            push    dword ptr [ebx]
805417d5 c703ffffffff    mov     dword ptr [ebx],0FFFFFFFFh   
805417db 8b6e18          mov     ebp,dword ptr [esi+18h] 
805417de 6a01            push    1
805417e0 83ec48          sub     esp,48h
805417e3 81ed9c020000    sub     ebp,29Ch
805417e9 c6864001000001  mov     byte ptr [esi+140h],1
805417f0 3bec            cmp     ebp,esp
805417f2 758d            jne     nt!KiFastCallEntry2+0x49 (80541781)
805417f4 83652c00        and     dword ptr [ebp+2Ch],0
805417f8 f6462cff        test    byte ptr [esi+2Ch],0FFh
805417fc 89ae34010000    mov     dword ptr [esi+134h],ebp
80541802 0f8538feffff    jne     nt!Dr_FastCallDrSave (80541640)
80541808 8b5d60          mov     ebx,dword ptr [ebp+60h]
8054180b 8b7d68          mov     edi,dword ptr [ebp+68h]
8054180e 89550c          mov     dword ptr [ebp+0Ch],edx
80541811 c74508000ddbba  mov     dword ptr [ebp+8],0BADB0D00h
80541818 895d00          mov     dword ptr [ebp],ebx
8054181b 897d04          mov     dword ptr [ebp+4],edi
8054181e fb              sti
//eax为函数序号，但是在KeServiceDescriptorTableShadow时是函数序号+1000h,
//所以在KeServiceDescriptorTableShadow经过下面运算ecx最终为10h，否则为0
8054181f 8bf8            mov     edi,eax
80541821 c1ef08          shr     edi,8
80541824 83e730          and     edi,30h
80541827 8bcf            mov     ecx,edi
//KTHREAD.ServiceTable gdi32.dll和user32.dll调用时,
//ServiceTable为KeServiceDescriptorTableShadow，
//ntdll.dll调用时ServiceTable为KeServiceDescriptorTable
//在KeServiceDescriptorTableShadow时+10正好得到win32.sys调用
80541829 03bee0000000    add     edi,dword ptr [esi+0E0h]   
8054182f 8bd8            mov     ebx,eax  
//保留三个字节，得到正真的序号
80541831 25ff0f0000      and     eax,0FFFh
//和ssdt或shadow ssdt总共项数比较，eax大则跳
80541836 3b4708          cmp     eax,dword ptr [edi+8] 
80541839 0f8333fdffff    jae     nt!KiBBTUnexpectedRange (80541572)
//判断是shadow ssdt还是ssdt，不跳则是shadow ssdt，跳则是ssdt
8054183f 83f910          cmp     ecx,10h 
80541842 751b            jne     nt!KiFastCallEntry+0xcf (8054185f)  
80541844 648b0d18000000  mov     ecx,dword ptr fs:[18h]
8054184b 33db            xor     ebx,ebx
8054184d 0b99700f0000    or      ebx,dword ptr [ecx+0F70h]
80541853 740a            je      nt!KiFastCallEntry+0xcf (8054185f)
80541855 52              push    edx
80541856 50              push    eax
80541857 ff1528c75580    call    dword ptr [nt!KeGdiFlushUserBatch (8055c728)]
8054185d 58              pop     eax
8054185e 5a              pop     edx
8054185f 64ff0538060000  inc     dword ptr fs:[638h]
80541866 8bf2            mov     esi,edx
80541868 8b5f0c          mov     ebx,dword ptr [edi+0Ch]
8054186b 33c9            xor     ecx,ecx
8054186d 8a0c18          mov     cl,byte ptr [eax+ebx]
//edi=KeServiceDescriptorTable->ServiceTableBase
//在这里patch 把edi指向构造的ssdt
80541870 8b3f            mov     edi,dword ptr [edi]  
//得到真实地址，edi为KiServiceTable，eax为函数序号  
80541872 8b1c87          mov     ebx,dword ptr [edi+eax*4] 
80541875 2be1            sub     esp,ecx
80541878 c1e902          shr     ecx,2
8054187a 8bfc            mov     edi,esp
8054187c 3b3574f73ff4    cmp     esi,dword ptr ds:[0F43FF774h]
80541882 0f83a8010000    jae     nt!KiSystemCallExit2+0x9f (80541a30)
//把参数复制到内核
80541888 f3a5            rep movs dword ptr es:[edi],dword ptr [esi]
//调用函数
8054188a ffd3            call    ebx
8054188c 8be5            mov     esp,ebp
8054188e 648b0d24010000  mov     ecx,dword ptr fs:[124h]
80541895 8b553c          mov     edx,dword ptr [ebp+3Ch]
80541898 899134010000    mov     dword ptr [ecx+134h],edx

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・68

免费・7

支持

最新回复 (39) 1 2 ▶
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 2 楼不懂，站位学习 2009-2-15 00:32 0
我本低调雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	我本低调 3 楼学习学习·~~~ 2009-2-15 00:43 0
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 74 回帖 365 粉丝 4 关注私信	bujin888 4 4 楼学习学习,希望能自己再创新一些.这些大牛说过了,不过比我这个菜鸟好多了,呵呵 2009-2-15 02:06 0
暗夜盗魔雪币： 2512 活跃值： (672) 能力值： ( LV7，RANK：100 ) 在线值：发帖 17 回帖 62 粉丝 84 关注私信	暗夜盗魔 1 5 楼若要把映射的内核模块重新定位一下，然后伪造内核表为映射内核模块的内核表，这样我感觉连inline hook 也过了！！！！ 2009-2-15 08:33 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 6 楼发bin,src看着特别扭~ 2009-2-15 09:27 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 7 楼好帖~膜拜楼上看bin比src还溜的老V 2009-2-15 10:19 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 8 楼嗯,思路很旧了. 360Safe好早就这样用了... 支持一下~ 呵呵 2009-2-15 10:31 0
bozer 雪币： 44 活跃值： (133) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 90 粉丝 0 关注私信	bozer 9 楼那也可以伪造到自己的SSDT了 2009-2-15 16:25 0
牛年注册雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 0 关注私信	牛年注册 10 楼现在什么都流行造假。。。。。 2009-2-15 16:29 0
dayang 雪币： 220 活跃值： (721) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 11 楼 #include "kernelfun.h" kernelfun.h在哪呢？请楼主提供下吧 2009-2-15 17:03 0
孤行有你雪币： 255 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 250 粉丝 0 关注私信	孤行有你 12 楼偶看自己不搞驱动米前途了 2009-2-18 09:50 0
天线宝宝雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 168 粉丝 0 关注私信	天线宝宝 13 楼雪下得那么深下得那么认真倒映出我躺在雪中的伤痕我并不在乎自己究竟多伤痕累累可我在乎今后你有谁陪 2009-2-18 09:58 0
bithaha 雪币： 1505 能力值： (RANK：210 ) 在线值：发帖 66 回帖 933 粉丝 4 关注私信	bithaha 5 14 楼下场雪让好多人都诗了 2009-2-18 16:44 0
mccsoftgmx 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 14 粉丝 0 关注私信	mccsoftgmx 15 楼 [QUOTE=;]...[/QUOTE] 景仰高手.............................! 2009-3-6 11:56 0
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 16 楼楼主能不能发个完整工程，或者把那个头文件发上来想学习下，不错得说 2009-3-20 11:20 0
cgelife 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 11 粉丝 0 关注私信	cgelife 17 楼对啊，楼主把头文件发出来学习一下啊，求你了 2009-3-20 22:11 0
twoseconds 雪币： 112 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 152 粉丝 0 关注私信	twoseconds 18 楼不懂，也顶。。。。大牛们都说好。 2009-5-27 09:29 0
玩命雪币： 7115 活跃值： (639) 能力值： (RANK：1290 ) 在线值：发帖 61 回帖 456 粉丝 75 关注私信	玩命 31 19 楼这好像是歌词吧？？？ 2009-5-27 10:18 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 20 楼 #include "kernelfun.h" kernelfun.h在哪呢？请楼主提供下吧同问，编译的时候出了很多错误，又没有bin.....这很难说这代码管用 2009-6-2 14:33 0
xxLeft 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 12 粉丝 0 关注私信	xxLeft 21 楼感觉这么做可能对360的主防有影响。。。貌似360会通过传入的edi判断基址位置，就不知道它原始存的会不会取到LZ改的edi，如果取不到会跳出去什么都不做，那就相当于废了它的主防啊 2009-9-11 00:40 0
小原雪币： 306 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 57 粉丝 0 关注私信	小原 22 楼路过学习，顺便膜拜v大 2009-9-12 18:11 0
hpxpj 雪币： 243 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 90 粉丝 0 关注私信	hpxpj 1 23 楼 lkd> dt _KTHREAD nt!_KTHREAD +0x000 Header : _DISPATCHER_HEADER ... +0x0e0 ServiceTable : Ptr32 Void;就是KeServiceDescriptorTable吧 2009-9-15 10:32 0
百折不挠雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 139 粉丝 0 关注私信	百折不挠 24 楼 kernelfun.h怎么找都找不到啊，谁能发个上来？ 2009-9-18 10:58 0
小叶子雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	小叶子 25 楼新的方法好的文章学习了 2009-9-18 12:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

认真的雪

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (39) 1 2 ▶
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 2 楼不懂，站位学习 2009-2-15 00:32 0
我本低调雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	我本低调 3 楼学习学习·~~~ 2009-2-15 00:43 0
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 74 回帖 365 粉丝 4 关注私信	bujin888 4 4 楼学习学习,希望能自己再创新一些.这些大牛说过了,不过比我这个菜鸟好多了,呵呵 2009-2-15 02:06 0
暗夜盗魔雪币： 2512 活跃值： (672) 能力值： ( LV7，RANK：100 ) 在线值：发帖 17 回帖 62 粉丝 84 关注私信	暗夜盗魔 1 5 楼若要把映射的内核模块重新定位一下，然后伪造内核表为映射内核模块的内核表，这样我感觉连inline hook 也过了！！！！ 2009-2-15 08:33 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 236 关注私信	cvcvxk 10 6 楼发bin,src看着特别扭~ 2009-2-15 09:27 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 7 楼好帖~膜拜楼上看bin比src还溜的老V 2009-2-15 10:19 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 8 楼嗯,思路很旧了. 360Safe好早就这样用了... 支持一下~ 呵呵 2009-2-15 10:31 0
bozer 雪币： 44 活跃值： (133) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 90 粉丝 0 关注私信	bozer 9 楼那也可以伪造到自己的SSDT了 2009-2-15 16:25 0
牛年注册雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 0 关注私信	牛年注册 10 楼现在什么都流行造假。。。。。 2009-2-15 16:29 0
dayang 雪币： 220 活跃值： (721) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 11 楼 #include "kernelfun.h" kernelfun.h在哪呢？请楼主提供下吧 2009-2-15 17:03 0
孤行有你雪币： 255 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 250 粉丝 0 关注私信	孤行有你 12 楼偶看自己不搞驱动米前途了 2009-2-18 09:50 0
天线宝宝雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 168 粉丝 0 关注私信	天线宝宝 13 楼雪下得那么深下得那么认真倒映出我躺在雪中的伤痕我并不在乎自己究竟多伤痕累累可我在乎今后你有谁陪 2009-2-18 09:58 0
bithaha 雪币： 1505 能力值： (RANK：210 ) 在线值：发帖 66 回帖 933 粉丝 4 关注私信	bithaha 5 14 楼下场雪让好多人都诗了 2009-2-18 16:44 0
mccsoftgmx 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 14 粉丝 0 关注私信	mccsoftgmx 15 楼 [QUOTE=;]...[/QUOTE] 景仰高手.............................! 2009-3-6 11:56 0
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 16 楼楼主能不能发个完整工程，或者把那个头文件发上来想学习下，不错得说 2009-3-20 11:20 0
cgelife 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 11 粉丝 0 关注私信	cgelife 17 楼对啊，楼主把头文件发出来学习一下啊，求你了 2009-3-20 22:11 0
twoseconds 雪币： 112 活跃值： (51) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 152 粉丝 0 关注私信	twoseconds 18 楼不懂，也顶。。。。大牛们都说好。 2009-5-27 09:29 0
玩命雪币： 7115 活跃值： (639) 能力值： (RANK：1290 ) 在线值：发帖 61 回帖 456 粉丝 75 关注私信	玩命 31 19 楼这好像是歌词吧？？？ 2009-5-27 10:18 0
jerrynpc 雪币： 284 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 695 粉丝 0 关注私信	jerrynpc 20 楼 #include "kernelfun.h" kernelfun.h在哪呢？请楼主提供下吧同问，编译的时候出了很多错误，又没有bin.....这很难说这代码管用 2009-6-2 14:33 0
xxLeft 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 12 粉丝 0 关注私信	xxLeft 21 楼感觉这么做可能对360的主防有影响。。。貌似360会通过传入的edi判断基址位置，就不知道它原始存的会不会取到LZ改的edi，如果取不到会跳出去什么都不做，那就相当于废了它的主防啊 2009-9-11 00:40 0
小原雪币： 306 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 57 粉丝 0 关注私信	小原 22 楼路过学习，顺便膜拜v大 2009-9-12 18:11 0
hpxpj 雪币： 243 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 90 粉丝 0 关注私信	hpxpj 1 23 楼 lkd> dt _KTHREAD nt!_KTHREAD +0x000 Header : _DISPATCHER_HEADER ... +0x0e0 ServiceTable : Ptr32 Void;就是KeServiceDescriptorTable吧 2009-9-15 10:32 0
百折不挠雪币： 217 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 139 粉丝 0 关注私信	百折不挠 24 楼 kernelfun.h怎么找都找不到啊，谁能发个上来？ 2009-9-18 10:58 0
小叶子雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	小叶子 25 楼新的方法好的文章学习了 2009-9-18 12:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复