刺激战场
六合彩
贵宾厅
  • 1932阅读
  • 1回复

Win7 64位的SSDTHOOK(1)---SSDT表的寻找 [复制链接]

上一主题 下一主题
离线天道酬勤
 

只看楼主 倒序阅读 使用道具 楼主  发表于: 2016-02-11
— 本帖被 天道酬勤 从 驱动保护 移动到本区(2016-05-19) —

最近在学习64位驱动,涉及到了SSDT的知识,结果发现64位下的SSDT32位下的SSDT有所不同。
开始发现64位下的KeServiceDescriptorTable是未导出的函数。首先要找到KeServiceDescriptorTable的地址。
方法1
读取c0000082寄存器


[cpp] view plain copy

  1. kd> rdmsr c0000082  
  2. msr[c0000082] = fffff800`03e82640  



它记录了KiSystemCall64
之后反汇编KiSystemCall64
如下:

[cpp] view plain copy

  1. kd> uf KiSystemCall64  
  2. nt!KiSystemCall64:  
  3. fffff800`03e82640 0f01f8          swapgs  
  4. fffff800`03e82643 654889242510000000 mov   qword ptr gs:[10h],rsp  
  5. fffff800`03e8264c 65488b2425a8010000 mov   rsp,qword ptr gs:[1A8h]  
  6. fffff800`03e82655 6a2b            push    2Bh  
  7. fffff800`03e82657 65ff342510000000 push    qword ptr gs:[10h]  
  8. fffff800`03e8265f 4153            push    r11  
  9. fffff800`03e82661 6a33            push    33h  
  10. fffff800`03e82663 51              push    rcx  
  11. fffff800`03e82664 498bca          mov     rcx,r10  
  12. fffff800`03e82667 4883ec08        sub     rsp,8  
  13. fffff800`03e8266b 55              push    rbp  
  14. fffff800`03e8266c 4881ec58010000  sub     rsp,158h  
  15. fffff800`03e82673 488dac2480000000 lea     rbp,[rsp+80h]  
  16. fffff800`03e8267b 48899dc0000000  mov     qword ptr [rbp+0C0h],rbx  
  17. fffff800`03e82682 4889bdc8000000  mov     qword ptr [rbp+0C8h],rdi  
  18. fffff800`03e82689 4889b5d0000000  mov     qword ptr [rbp+0D0h],rsi  
  19. fffff800`03e82690 c645ab02        mov     byte ptr [rbp-55h],2  
  20. fffff800`03e82694 65488b1c2588010000 mov   rbx,qword ptr gs:[188h]  
  21. fffff800`03e8269d 0f0d8bd8010000  prefetchw [rbx+1D8h]  
  22. fffff800`03e826a4 0fae5dac        stmxcsr dword ptr [rbp-54h]  
  23. fffff800`03e826a8 650fae142580010000 ldmxcsr dword ptr gs:[180h]  
  24. fffff800`03e826b1 807b0300        cmp     byte ptr [rbx+3],0  
  25. fffff800`03e826b5 66c785800000000000 mov   word ptr [rbp+80h],0  
  26. fffff800`03e826be 0f848c000000    je      nt!KiSystemCall64+0x110 (fffff800`03e82750)  
  27. ---------------------------------------省略若干代码----------------------------------------------  
  28. nt!KiSystemCall64+0x110:  
  29. fffff800`03e82750 fb              sti  
  30. fffff800`03e82751 48898be0010000  mov     qword ptr [rbx+1E0h],rcx  
  31. fffff800`03e82758 8983f8010000    mov     dword ptr [rbx+1F8h],eax  
  32. fffff800`03e8275e 4889a3d8010000  mov     qword ptr [rbx+1D8h],rsp  
  33. fffff800`03e82765 8bf8            mov     edi,eax  
  34. fffff800`03e82767 c1ef07          shr     edi,7  
  35. fffff800`03e8276a 83e720          and     edi,20h  
  36. fffff800`03e8276d 25ff0f0000      and     eax,0FFFh  
  37.   
  38. nt!KiSystemServiceRepeat:  
  39. fffff800`03e82772 4c8d15c7202300  lea     r10,[nt!KeServiceDescriptorTable (fffff800`040b4840)]  
  40. fffff800`03e82779 4c8d1d00212300  lea     r11,[nt!KeServiceDescriptorTableShadow (fffff800`040b4880)]  
  41. fffff800`03e82780 f7830001000080000000 test dword ptr [rbx+100h],80h  
  42. fffff800`03e8278a 4d0f45d3        cmovne  r10,r11  
  43. fffff800`03e8278e 423b441710      cmp     eax,dword ptr [rdi+r10+10h]  
  44. fffff800`03e82793 0f83e9020000    jae     nt!KiSystemServiceExit+0x1a7 (fffff800`03e82a82)  


如上红色代码。在KiSystemServiceRepeat里面找到了KeServiceDescriptorTable

方法2
打开WinDbg

[cpp] view plain copy

  1. kd> u nt!zwclose l10  
  2. nt!ZwClose:  
  3. fffff800`03e7bdc0 488bc4          mov     rax,rsp  
  4. fffff800`03e7bdc3 fa              cli  
  5. fffff800`03e7bdc4 4883ec10        sub     rsp,10h  
  6. fffff800`03e7bdc8 50              push    rax  
  7. fffff800`03e7bdc9 9c              pushfq  
  8. fffff800`03e7bdca 6a10            push    10h  
  9. fffff800`03e7bdcc 488d059d300000  lea     rax,[nt!KiServiceLinkage (fffff800`03e7ee70)]  
  10. fffff800`03e7bdd3 50              push    rax  
  11. fffff800`03e7bdd4 b80c000000      mov     eax,0Ch  
  12. fffff800`03e7bdd9 e9e2670000      jmp     nt!KiServiceInternal (fffff800`03e825c0)  
  13. fffff800`03e7bdde 6690            xchg    ax,ax  


跟踪nt!KiServiceInternal

[cpp] view plain copy

  1. kd> u KiServiceInternal l20  
  2. nt!KiServiceInternal:  
  3. fffff800`03e825c0 4883ec08        sub     rsp,8  
  4. fffff800`03e825c4 55              push    rbp  
  5. fffff800`03e825c5 4881ec58010000  sub     rsp,158h  
  6. fffff800`03e825cc 488dac2480000000 lea     rbp,[rsp+80h]  
  7. fffff800`03e825d4 48899dc0000000  mov     qword ptr [rbp+0C0h],rbx  
  8. fffff800`03e825db 4889bdc8000000  mov     qword ptr [rbp+0C8h],rdi  
  9. fffff800`03e825e2 4889b5d0000000  mov     qword ptr [rbp+0D0h],rsi  
  10. fffff800`03e825e9 fb              sti  
  11. fffff800`03e825ea 65488b1c2588010000 mov   rbx,qword ptr gs:[188h]  
  12. fffff800`03e825f3 0f0d8bd8010000  prefetchw [rbx+1D8h]  
  13. fffff800`03e825fa 0fb6bbf6010000  movzx   edi,byte ptr [rbx+1F6h]  
  14. fffff800`03e82601 40887da8        mov     byte ptr [rbp-58h],dil  
  15. fffff800`03e82605 c683f601000000  mov     byte ptr [rbx+1F6h],0  
  16. fffff800`03e8260c 4c8b93d8010000  mov     r10,qword ptr [rbx+1D8h]  
  17. fffff800`03e82613 4c8995b8000000  mov     qword ptr [rbp+0B8h],r10  
  18. fffff800`03e8261a 4c8d1d3d010000  lea     r11,[nt!KiSystemServiceStart (fffff800`03e8275e)]  
  19. fffff800`03e82621 41ffe3          jmp     r11  
  20. fffff800`03e82624 666666666666660f1f840000000000 nop word ptr [rax+rax]  
  21. fffff800`03e82633 66666666660f1f840000000000 nop word ptr [rax+rax]  
  22. nt!KiSystemCall64:  
  23. fffff800`03e82640 0f01f8          swapgs  
  24. fffff800`03e82643 654889242510000000 mov   qword ptr gs:[10h],rsp  
  25. fffff800`03e8264c 65488b2425a8010000 mov   rsp,qword ptr gs:[1A8h]  
  26. fffff800`03e82655 6a2b            push    2Bh  
  27. fffff800`03e82657 65ff342510000000 push    qword ptr gs:[10h]  
  28. fffff800`03e8265f 4153            push    r11  
  29. fffff800`03e82661 6a33            push    33h  
  30. fffff800`03e82663 51              push    rcx  
  31. fffff800`03e82664 498bca          mov     rcx,r10  
  32. fffff800`03e82667 4883ec08        sub     rsp,8  
  33. fffff800`03e8266b 55              push    rbp  
  34. fffff800`03e8266c 4881ec58010000  sub     rsp,158h  
  35. fffff800`03e82673 488dac2480000000 lea     rbp,[rsp+80h]  



继续跟踪nt!KiSystemServiceStart

[cpp] view plain copy

  1. kd> u KiSystemServiceStart  
  2. nt!KiSystemServiceStart:  
  3. fffff800`03e8275e 4889a3d8010000  mov     qword ptr [rbx+1D8h],rsp  
  4. fffff800`03e82765 8bf8            mov     edi,eax  
  5. fffff800`03e82767 c1ef07          shr     edi,7  
  6. fffff800`03e8276a 83e720          and     edi,20h  
  7. fffff800`03e8276d 25ff0f0000      and     eax,0FFFh  
  8. nt!KiSystemServiceRepeat:  
  9. fffff800`03e82772 4c8d15c7202300  lea     r10,[nt!KeServiceDescriptorTable (fffff800`040b4840)]  
  10. fffff800`03e82779 4c8d1d00212300  lea     r11,[nt!KeServiceDescriptorTableShadow (fffff800`040b4880)]  
  11. fffff800`03e82780 f7830001000080000000 test dword ptr [rbx+100h],80h  



同样找到了KeServiceDescriptorTable 的踪影。

之后我们看一下KeServiceDescriptorTable


[cpp] view plain copy

  1. kd> dq KeServiceDescriptorTable  
  2. fffff800`040b4840  fffff800`03e84300 00000000`00000000  
  3. fffff800`040b4850  00000000`00000191 fffff800`03e84f8c  
  4. fffff800`040b4860  00000000`00000000 00000000`00000000  
  5. fffff800`040b4870  00000000`00000000 00000000`00000000  
  6. fffff800`040b4880  fffff800`03e84300 00000000`00000000  
  7. fffff800`040b4890  00000000`00000191 fffff800`03e84f8c  
  8. fffff800`040b48a0  fffff960`001b1f00 00000000`00000000  
  9. fffff800`040b48b0  00000000`0000033b fffff960`001b3c1c  



因为根据公式:
newAddress-oldAddress-7(指令长度)=bytearray

SSDT = fffff800`03e82772 + 237847 + 7 = fffff800`040b4840

所以KeServiceDescriptorTable基地址:fffff800`040b4840

我们编写程序的时候可以匹配一下4c8d15c7202300  这个特种就可以找到KeServiceDescriptorTable了。

接下来就演示算出SSDT表中第一个函数(也就是INDEX=0)的地址(这里为NtMapUserPhysicalPagesScatter),之后的以此类推就可以了。
64位和32位算法有所不同,64位需要得到 **KeServiceDescriptorTable = 040d9a00
下面红色标记。

[cpp] view plain copy

  1. kd> dd fffff800`03e84300  
  2. fffff800`03e84300  040d9a00 02f55c00 fff6ea00 02e87805  
  3. fffff800`03e84310  031a4a06 03116a05 02bb9901 02b4f200  
  4. fffff800`03e84320  0312cc40 03dd7400 02c84700 02e7d100  
  5. fffff800`03e84330  02f68100 02e02301 02dd0601 02d96100  
  6. fffff800`03e84340  02df4602 02f18600 02ad0500 02cefe01  
  7. fffff800`03e84350  02d01d02 02f69902 03101101 0323ca01  
  8. fffff800`03e84360  0455c305 02ed29c0 02b2e703 ffec1d00  
  9. fffff800`03e84370  043c2800 02f51040 02c52c01 03126c00  



公式:ServiceTableBase[Index] >> 4 + ServiceTableBase
    ServiceTableBase[Index] = ServiceTableBase + Index * 4
即:
040d9a00 >> 4 = 40D9A0 + *KeServiceDescriptorTable = FFFFF80004291CA0

如下:

[cpp] view plain copy

  1. kd> u FFFFF80004291CA0  
  2. nt!NtMapUserPhysicalPagesScatter:  
  3.   fffff800`04291ca0 48895c2408      mov     qword ptr [rsp+8],rbx  
  4. fffff800`04291ca5 4c89442418      mov     qword ptr [rsp+18h],r8  
  5. fffff800`04291caa 55              push    rbp  
  6. fffff800`04291cab 56              push    rsi  
  7. fffff800`04291cac 57              push    rdi  
  8. fffff800`04291cad 4154            push    r12  
  9. fffff800`04291caf 4155            push    r13  
  10. fffff800`04291cb1 4156            push    r14  



对比XT


结果正确。

接下来用C实现以下找SSDT基址:


[cpp] view plain copy

  1. VOID GetSSDTBaseAddr()  
  2. {  
  3.     PUCHAR StartSearchAddress = (PUCHAR)__readmsr(0xC0000082);  
  4.     PUCHAR EndSearchAddress = StartSearchAddress + 0x500;  
  5.     PUCHAR i = NULL;  
  6.     UCHAR b1 = 0, b2 = 0, b3 = 0;  
  7.     ULONG templong = 0;  
  8.     ULONGLONG addr = 0;  
  9.     for (i = StartSearchAddress;i<EndSearchAddress;i++)  
  10.     {  
  11.         if (MmIsAddressValid(i) && MmIsAddressValid(i+1) && MmIsAddressValid(i+2))  
  12.         {  
  13.             b1 = *(i);  
  14.             b2 = *(i+1);  
  15.             b3 = *(i+2);  
  16.             if (b1==0x4c && b2==0x8d && b3==0x15)  
  17.             {  
  18.                 memcpy(&templong,i+3,4);  
  19.                 //核心部分  
  20.                 //kd> db fffff800`03e8b772  
  21.                 //fffff800`03e8b772  4c 8d 15 c7 20 23 00 4c-8d 1d 00 21 23 00 f7 83  L... #.L...!#...  
  22.                 //templong = 002320c7 ,i = 03e8b772, 7为指令长度  
  23.                 addr = (ULONGLONG)templong + (ULONGLONG)i + 7;  
  24.                 break;  
  25.             }  
  26.         }  
  27.     }  
  28.     DbgPrint("b1 = %0x\n",b1);  
  29.     DbgPrint("b2 = %0x\n",b2);  
  30.     DbgPrint("b3 = %0x",b3);  
  31.     DbgPrint("templong = %0x\n",templong);  
  32.     DbgPrint("addr = %0x\n",addr);  
  33. }  
离线v2680267313

只看该作者 沙发  发表于: 2016-04-30
用户被禁言,该主题自动屏蔽!
快速回复
限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
上一个 下一个