• 1291阅读
  • 1回复

Win7 64位的SSDTHOOK(2)---64位SSDT hook的实现 [复制链接]

上一主题 下一主题
离线啊冲
 

只看楼主 倒序阅读 使用道具 楼主  发表于: 2016-02-04




Hook之前要干掉PG:http://www.m5home.com/bbs/thread-5893-1-1.html上篇文章知道了寻找SSDT表的方法,这篇记录一下如何实现SSDT表的Hook。
下面以Hook NtOpenProcess为例,之前我查SSDT表发现NtOpenProcess函数的标号为35,用XT等工具也能查看。废话不多说,上代码。

[cpp] view plain copy
  1. 首先感谢老大(Tesla.Angela)对我的帮助  
  2.   
  3. //相关声明  
  4. __int64 __readmsr(int register);  
  5. unsigned __int64 __readcr0(void);  
  6. void __writecr0(  
  7.     unsigned __int64 Data  
  8.     );  
  9. void _disable(void);  
  10. void _enable(void);  
  11.   
  12. //_SYSTEM_SERVICE_TABLE结构声明  
  13. typedef struct _SYSTEM_SERVICE_TABLE{  
  14.     PVOID       ServiceTableBase;  
  15.     PVOID       ServiceCounterTableBase;  
  16.     ULONGLONG   NumberOfServices;  
  17.     PVOID       ParamTableBase;  
  18. } SYSTEM_SERVICE_TABLE, *PSYSTEM_SERVICE_TABLE;  
  19.   
  20. //_SERVICE_DESCRIPTOR_TABLE结构声明  
  21. typedef struct _SERVICE_DESCRIPTOR_TABLE{  
  22.     SYSTEM_SERVICE_TABLE ntoskrnl;  // ntoskrnl.exe (native api)  
  23.     SYSTEM_SERVICE_TABLE win32k;    // win32k.sys   (gdi/user)  
  24.     SYSTEM_SERVICE_TABLE Table3;    // not used  
  25.     SYSTEM_SERVICE_TABLE Table4;    // not used  
  26. }SERVICE_DESCRIPTOR_TABLE,*PSERVICE_DESCRIPTOR_TABLE;  
  27.   
  28. //声明要寻找进程名用的函数  
  29. NTKERNELAPI UCHAR * PsGetProcessImageFileName(PEPROCESS Process);  
  30.   
  31. //定义NTOPENPROCESS  
  32. typedef NTSTATUS (__stdcall *NTOPENPROCESS)(OUT PHANDLE  ProcessHandle,  
  33.                                     IN ACCESS_MASK  DesiredAccess,  
  34.                                     IN POBJECT_ATTRIBUTES  ObjectAttributes,  
  35.                                     IN OPTIONAL PCLIENT_ID  ClientId);  
  36. NTOPENPROCESS OldOpenProcess = NULL;  
  37. ULONG OldTpVal;  
  38.   
  39. //定义自己的NtOpenProcess  
  40. NTSTATUS __stdcall Fake_NtOpenProcess(OUT PHANDLE  ProcessHandle,  
  41.                                        IN ACCESS_MASK  DesiredAccess,  
  42.                                        IN POBJECT_ATTRIBUTES  ObjectAttributes,  
  43.                                        IN OPTIONAL PCLIENT_ID  ClientId)  
  44. {  
  45.     PEPROCESS process = NULL;  
  46.     NTSTATUS st = ObReferenceObjectByHandle(<span style="font-family: Arial, Helvetica, sans-serif;">ClientId->processid</span>  
  47. ,0,*PsProcessType,KernelMode,&process,NULL);  
  48.     DbgPrint("进入HOOK函数.\n");  
  49.     if (NT_SUCCESS(st))  
  50.     {  
  51.         if (!_stricmp((char*)PsGetProcessImageFileName(process),"CrackMe3.exe"))  
  52.         {  
  53.               
  54.             return STATUS_ACCESS_DENIED;  
  55.         }  
  56.         else  
  57.         {  
  58.             return OldOpenProcess(ProcessHandle,DesiredAccess,ObjectAttributes,ClientId);  
  59.         }  
  60.     }  
  61.     else  
  62.     {  
  63.         return STATUS_ACCESS_DENIED;  
  64.     }  
  65. }  
  66.   
  67. //关闭页面保护  
  68. KIRQL WPOFFx64()  
  69. {  
  70.     KIRQL irql=KeRaiseIrqlToDpcLevel();  
  71.     UINT64 cr0=__readcr0();  
  72.     cr0 &= 0xfffffffffffeffff;  
  73.     __writecr0(cr0);  
  74.     _disable();  
  75.     return irql;  
  76. }  
  77. //开启页面保护  
  78. void WPONx64(KIRQL irql)  
  79. {  
  80.     UINT64 cr0=__readcr0();  
  81.     cr0 |= 0x10000;  
  82.     _enable();  
  83.     __writecr0(cr0);  
  84.     KeLowerIrql(irql);  
  85. }  
  86.   
  87. //老外定位KeServiceDescriptorTable的方法  
  88. ULONGLONG GetKeServiceDescriptorTable64()  
  89. {  
  90.     char KiSystemServiceStart_pattern[] = "\x8B\xF8\xC1\xEF\x07\x83\xE7\x20\x25\xFF\x0F\x00\x00";   //特征码  
  91.     ULONGLONG CodeScanStart = (ULONGLONG)&_strnicmp;  
  92.     ULONGLONG CodeScanEnd = (ULONGLONG)&KdDebuggerNotPresent;  
  93.     UNICODE_STRING Symbol;  
  94.     ULONGLONG i, tbl_address, b;  
  95.     for (i = 0; i < CodeScanEnd - CodeScanStart; i++)  
  96.     {  
  97.         if (!memcmp((char*)(ULONGLONG)CodeScanStart +i, (char*)KiSystemServiceStart_pattern,13))  
  98.         {  
  99.             for (b = 0; b < 50; b++)  
  100.             {  
  101.                 tbl_address = ((ULONGLONG)CodeScanStart+i+b);  
  102.                 if (*(USHORT*) ((ULONGLONG)tbl_address ) == (USHORT)0x8d4c)  
  103.                     return ((LONGLONG)tbl_address +7) + *(LONG*)(tbl_address +3);  
  104.             }  
  105.         }  
  106.     }  
  107.     return 0;  
  108. }  
  109.   
  110. //根据KeServiceDescriptorTable找到SSDT基址  
  111. PULONG GetSSDTBaseAddress()  
  112. {  
  113.     PULONG addr = NULL;  
  114.     PSYSTEM_SERVICE_TABLE ssdt = (PSYSTEM_SERVICE_TABLE)GetKeServiceDescriptorTable64();  
  115.     addr = (PULONG)(ssdt->ServiceTableBase);  
  116.     return addr;  
  117. }  
  118.   
  119. //根据标号找到SSDT表中函数的地址  
  120. ULONGLONG GetFuncAddr(ULONG id)  
  121. {  
  122.     LONG dwtmp = 0;  
  123.     ULONGLONG addr = 0;  
  124.     PULONG stb = NULL;  
  125.     stb = GetSSDTBaseAddress();  
  126.     dwtmp = stb[id];  
  127.     dwtmp = dwtmp >> 4;  
  128.     addr = (LONGLONG)dwtmp + (ULONGLONG)stb;  
  129.     DbgPrint("SSDT TABLE BASEADDRESS:%llx",addr);  
  130.     return addr;  
  131. }  
  132.   
  133. //设置函数的偏移地址,注意其中参数的处理。低四位放了参数个数减4个参数。如果参数小于等于4的时候为0  
  134. #define SETBIT(x,y) x|=(1<<y) //将X的第Y位置1  
  135. #define CLRBIT(x,y) x&=~(1<<y) //将X的第Y位清0  
  136. #define GETBIT(x,y) (x & (1 << y)) //取X的第Y位,返回0或非0  
  137. ULONG GetOffsetAddress(ULONGLONG FuncAddr, CHAR paramCount)  
  138. {  
  139.     LONG dwtmp = 0,i;  
  140.     CHAR b = 0, bits[4] = {0};  
  141.     PULONG stb = NULL;  
  142.     stb = GetSSDTBaseAddress();  
  143.     dwtmp = (LONG)(FuncAddr - (ULONGLONG)stb);  
  144.     dwtmp = dwtmp << 4;  
  145.     if (paramCount>4)  
  146.     {  
  147.         paramCount = paramCount - 4;  
  148.     }  
  149.     else  
  150.     {  
  151.         paramCount = 0;  
  152.     }  
  153.     memcpy(&b,&dwtmp,1);  
  154.     for (i=0;i<4;i++)  
  155.     {  
  156.         bits = GETBIT(paramCount,i);  
  157.         if (bits)  
  158.         {  
  159.             SETBIT(b,i);  
  160.         }  
  161.         else  
  162.         {  
  163.             CLRBIT(b,i);  
  164.         }  
  165.     }  
  166.     memcpy(&dwtmp,&b,1);  
  167.     return dwtmp;  
  168. }  
  169.   
  170. //内核中用不到的方法,二次跳转用(自己的NtOpenProcess跳到KeBugCheckEx函数,然后再KeBugCheckEx函数跳到要Hook的NtOpenProcess)  
  171. VOID FuckKeBugCheckEx()  
  172. {  
  173.     KIRQL irql;  
  174.     ULONGLONG myfun;  
  175.     UCHAR jmp_code[]="\xFF\x25\x00\x00\x00\x00\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF";  
  176.     myfun=(ULONGLONG)Fake_NtOpenProcess;  
  177.     memcpy(jmp_code+6,&myfun,8);  
  178.     irql=WPOFFx64();  
  179.     memset(KeBugCheckEx,0x90,15);  
  180.     memcpy(KeBugCheckEx,jmp_code,14);  
  181.     WPONx64(irql);  
  182. }  
  183.   
  184. //Hook ssdt  
  185. VOID HookSSDT()  
  186. {  
  187.     KIRQL irql;  
  188.     LONG dwtmp = 0;  
  189.     PULONG stb = NULL;  
  190.     //1.get old address  
  191.     OldOpenProcess = (NTOPENPROCESS)GetFuncAddr(35);  
  192.     DbgPrint("Old_NtOpenProcess:%llx",(ULONGLONG)OldOpenProcess);  
  193.     //2.show new address  
  194.     stb = GetSSDTBaseAddress();  
  195.     //3.get offset value  
  196.     dwtmp = GetOffsetAddress((ULONGLONG)KeBugCheckEx,4);  
  197.     //set kebugcheckex  
  198.     FuckKeBugCheckEx();  
  199.     //4.record  old offset  value  
  200.     OldTpVal = stb[35];  
  201.     irql = WPOFFx64();  
  202.     stb[35] = GetOffsetAddress((ULONGLONG)KeBugCheckEx,2);  
  203.     WPONx64(irql);  
  204.     DbgPrint("KeBugCheckEx:%llx",(ULONGLONG)KeBugCheckEx);  
  205.     DbgPrint("New_NtOpenProcess:%llx",GetFuncAddr(35));  
  206. }  
  207.   
  208. //UN hook  
  209. VOID UnhookSSDT()  
  210. {  
  211.     KIRQL irql;  
  212.     PULONG stb=NULL;  
  213.     stb = GetSSDTBaseAddress();  
  214.     //老函数的地址复制回来  
  215.     irql=WPOFFx64();  
  216.     stb[35]=OldTpVal;  
  217.     WPONx64(irql);  
  218. }  


相关解释:
1.为什么要二次跳转?WIN64内核里的每个驱动都不在同一个4GB里,4字节的整数只能表示4GB的范围,所以不管怎么修改这个4字节都不会跳到你的代理函数,因为你的驱动不可能跟NTOSKRNL在同一个4GB里面。
2.参数的处理:函数地址的低四位存放了函数参数个数减4的数字,如果参数为5,那么低四位的数字为1,如果参数个数小于等于4个,低四位的数位0,可以再WINDBG里面查看到。

善者 慈悲心常在 无怨无恨 以苦为乐
默认压缩密码www.hifyl.com
文件分享密码问题:http://www.hifyl.com/read-htm-tid-4444.html
离线v2680267313

只看该作者 沙发  发表于: 2016-04-30
用户被禁言,该主题自动屏蔽!
快速回复
限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
上一个 下一个