如何在驱动内核实现SSDt检测

尹成
博客专家认证
2012-03-27 09:49:40
如何在驱动内核实现SSDt检测,如题
...全文
169 6 打赏 收藏 转发到动态 举报
写回复
用AI写文章
6 条回复
切换为时间正序
请发表友善的回复…
发表回复
bnwkevr 2012-04-06
  • 打赏
  • 举报
 回复
谢谢你的大方分享喔^^收藏收藏!!!
fly4free 2012-04-06
  • 打赏
  • 举报
 回复
用户模式下也可以啊,收藏了
mcaok 2012-04-06
  • 打赏
  • 举报
 回复
读取ntoskrnl.exe与SSDT进行比较即可。
许文君 2012-03-27
  • 打赏
  • 举报
 回复
[Quote=引用 1 楼 lactoferrin 的回复:]

从ntoskrnl.exe读取原始的然后比较
[/Quote]
然后hook ntcreatethread你就可以猥琐欲为了是吧?坏事没少做吧
Lactoferrin 2012-03-27
  • 打赏
  • 举报
 回复
从ntoskrnl.exe读取原始的然后比较
Lactoferrin 2012-03-27
  • 打赏
  • 举报
 回复
以前做的在用户模式找ssdt的,改成驱动程序不难


#include<stdio.h>

#include<stdlib.h>

#include<string.h>

#include<Windows.h>

#include<psapi.h>



static PIMAGE_DOS_HEADER nt=0;

static size_t ntlnkbase=0,ntrealbase=0;



unsigned GetServiceIndexFromNtdll(char*name)

{

    static HMODULE ntdll=0;

    if(!ntdll)ntdll=GetModuleHandleW(L"ntdll.dll");

    return *(unsigned*)((char*)GetProcAddress(ntdll,name)+1);

}



unsigned GetServiceIndex(char*name)

{

        return *(unsigned*)((char*)GetProcAddress((HMODULE)nt,name)+1);

}



size_t GetServiceRVA(char*name)

{

        return (size_t)GetProcAddress((HMODULE)nt,name)-(size_t)nt;

}



size_t*GetKiServiceTable(void)

{

        unsigned NtCreateFile_Id,NtOpenFile_Id;size_t NtCreateFile_RVA,NtOpenFile_RVA,*p;MODULEINFO info;

        NtCreateFile_Id=GetServiceIndex("ZwCreateFile"),NtOpenFile_Id=GetServiceIndex("ZwOpenFile");

        NtCreateFile_RVA=GetServiceRVA("NtCreateFile"),NtOpenFile_RVA=GetServiceRVA("NtOpenFile");

        if(GetModuleInformation((HANDLE)-1,(HMODULE)nt,&info,sizeof(MODULEINFO)))

        for(p=(size_t*)nt;(size_t)p<(size_t)nt+info.SizeOfImage;++p)

        {

                if(*p==NtCreateFile_RVA+ntlnkbase&&p[NtOpenFile_Id-NtCreateFile_Id]==NtOpenFile_RVA+ntlnkbase)return p-NtCreateFile_Id;

        }

        return 0;

}



void*GetServiceFromTable(size_t*ServiceTable,unsigned id)

{

        return (void*)(ServiceTable[id]-ntlnkbase+ntrealbase);

}



size_t GetFileOffset(void*BaseAddress,size_t RVA,PIMAGE_SECTION_HEADER*SectionHeader)

{

    size_t base=(size_t)BaseAddress;PIMAGE_NT_HEADERS ntheaders=(PIMAGE_NT_HEADERS)(base+((PIMAGE_DOS_HEADER)base)->e_lfanew);

    PIMAGE_SECTION_HEADER sectionheader=(PIMAGE_SECTION_HEADER)(ntheaders+1);

    while((size_t)sectionheader<base+ntheaders->OptionalHeader.SizeOfHeaders)

    {

        if(RVA>=sectionheader->VirtualAddress&&RVA<sectionheader->VirtualAddress+sectionheader->SizeOfRawData)

        {

            if(SectionHeader)*SectionHeader=sectionheader;

            return RVA-sectionheader->VirtualAddress+sectionheader->PointerToRawData;



        }

        ++sectionheader;

    }

    return 0;

}



void*MapImage(wchar_t*FileName)

{

        HANDLE hFile,hSection;void*view;

        hFile=CreateFileW(FileName,FILE_READ_DATA,FILE_SHARE_READ|FILE_SHARE_DELETE,0,OPEN_EXISTING,0,0);

        if(hFile!=INVALID_HANDLE_VALUE)

        {

            hSection=CreateFileMappingW(hFile,0,PAGE_READONLY|SEC_COMMIT,0,0,0);

            CloseHandle(hFile);

            if(hSection)

            {

                view=MapViewOfFileEx(hSection,FILE_MAP_READ,0,0,0,0);

                CloseHandle(hSection);

                return view;

            }

        }

        return 0;

}



size_t*GetW32pServiceTable(void*FileView)

{

    unsigned char*base=(unsigned char*)FileView;PIMAGE_NT_HEADERS ntheaders=(PIMAGE_NT_HEADERS)(base+((PIMAGE_DOS_HEADER)base)->e_lfanew);

    PIMAGE_SECTION_HEADER sectionheader;

    unsigned char*entry=base+GetFileOffset(FileView,ntheaders->OptionalHeader.AddressOfEntryPoint,§ionheader);

    size_t lnkbase=ntheaders->OptionalHeader.ImageBase,i;

    for(i=0;i<sectionheader->SizeOfRawData;++i)

    {

        if(entry[i]==0x68)

        {

            if(entry[i+5]==0xff&&entry[i+6]==0x15)

            {

                size_t calladdr;PIMAGE_THUNK_DATA impthk;PIMAGE_IMPORT_BY_NAME imp;

                memcpy(&calladdr,entry+i+7,4);

                calladdr=GetFileOffset(FileView,calladdr-lnkbase,0);

                if(!calladdr)continue;

                impthk=(PIMAGE_THUNK_DATA)(base+calladdr);

                imp=(PIMAGE_IMPORT_BY_NAME)(base+GetFileOffset(FileView,impthk->u1.AddressOfData,0));

                if((void*)imp==FileView)continue;

                if(memcmp(imp->Name,"KeAddSystemServiceTable",sizeof"KeAddSystemServiceTable"-1)==0)

                {

                    size_t W32pServiceTable;

                    memcpy(&W32pServiceTable,entry+i+1,4);

                    W32pServiceTable=GetFileOffset(FileView,W32pServiceTable-lnkbase,0);

                    if(W32pServiceTable)return (size_t*)(W32pServiceTable+base);

                }

            }

        }

    }

    return 0;

}



int main(int argc, char* argv[])

{

        size_t*ServiceTable;DWORD n;wchar_t filename[256];

        EnumDeviceDrivers((void**)&ntrealbase,sizeof ntrealbase,&n);

        GetDeviceDriverBaseNameW((void*)ntrealbase,filename,256);

        nt=(PIMAGE_DOS_HEADER)LoadLibraryExW(filename,0,DONT_RESOLVE_DLL_REFERENCES);

        ntlnkbase=((PIMAGE_NT_HEADERS)((size_t)nt+nt->e_lfanew))->OptionalHeader.ImageBase;

        //ServiceTable=GetKiServiceTable();

        ServiceTable=GetW32pServiceTable(MapImage(L"C:\\windows\\system32\\win32k.sys"));

        printf("%x",ServiceTable);

        getchar();

        //printf("%p",MapImage(L"C:\\windows\\system32\\win32k.sys"));

        //printf("table RVA:%x\n",(size_t)ServiceTable-(size_t)nt);

        //printf("address of NtAllocateVirtualMemory:%p\n",GetServiceFromTable(ServiceTable,GetServiceIndexFromNtdll("NtAllocateVirtualMemory")));

        return 0;

}
PCHunter支持内核驱动模块的内存拷贝
1.进程、线程、进程模块、进程窗口、进程内存信息查看,杀进程、杀线程、卸载模块等功能   2.内核驱动模块查看,支持内核驱动模块的内存拷贝   3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Nsiproxy、Tdx、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看,并能检测和恢复ssdt hook和inline hook   4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等近20多种Notify Routine信息查看,并支持对这些Notify Routine的删除   5.端口信息查看,目前不支持2000系统   6.查看消息钩子   7.内核模块的iat、eat、inline hook、patches检测和恢复   8.磁盘、卷、键盘、网络层等过滤驱动检测,并支持删除   9.注册表编辑   10.进程iat、eat、inline hook、patches检测和恢复   11.文件系统查看,支持基本的文件操作   12.查看(编辑)IE插件、SPI、启动项、服务、Hosts文件、映像劫持、文件关联、系统防火墙规则、IME   13.ObjectType Hook检测和恢复   14.DPC定时器检测和删除   15.MBR Rootkit检测和修复   16.内核对象劫持检测
xuetr_内核工具
主要功能: 1.进程、线程、进程模块、进程窗口、进程内存信息查看,热键信息查看,杀进程、杀线程、卸载模块等功能    2.内核驱动模块查看,支持内核驱动模块的内存拷贝    3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、IDT信息查看,并能检测和恢复ssdt hook和inline hook    4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看,并支持对这些Notify Routine的删除    5.端口信息查看,目前不支持2000系统    6.查看消息钩子    7.内核模块的iat、eat、inline hook、patches检测和恢复
Windows内核-系统调用
熟悉Windows三环API到Windows内核的执行流程,清晰的了解调用细节 是在游戏对抗中不可缺少的技术点 自写三环API(让调试器(OD,CE)断点无效) SSDT HOOK(让调试器(OD,CE)无法打开进程)     系统调用: API三环...
ssdt HOOK截获指定进程检测API
目前来看绝无仅有的程序,原创!监控指定进程的详细操作 内涵三个文件夹,一个驱动注入工具,一个启动设备端,一个被监控程序。 五脏俱全!!不是像目前流行的监控所有进程的对某系统资源的监控! 同时因为分数少所有才多要了些分
内核级】系统维护-手工工具
一个强大的手工杀毒工具,XueTr(简称XT)是一个强大的系统信息查看软件,也是一个强大的手工杀毒软件,用它可以方便揪出电脑中的病毒木马,目前它支持32位的2000、XP、2003、Vista、2008、Win7系统。 XueTr-火眼合作版特色功能: 1.进程、线程、进程模块、进程窗口、进程内存、定时器、热键信息查看,杀进程、杀线程、卸载模块等功能 2.内核驱动模块查看,支持内核驱动模块的内存拷贝 3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看,并能检测和恢复ssdt hook和inline hook 4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看,并支持对这些Notify Routine的删除 5.端口信息查看,目前不支持2000系统 6.查看消息钩子 7.内核模块的iat、eat、inline hook、patches检测和恢复 8.磁盘、卷、键盘、网络层等过滤驱动检测,并支持删除 9.注册表编辑 10.进程iat、eat、inline hook、patches检测和恢复 11.文件系统查看,支持基本的文件操作 12.查看(编辑)IE插件、SPI、启动项、服务、Host文件、映像劫持、文件关联、系统防火墙规则、IME 13.ObjectType Hook检测和恢复 14.DPC定时器检测和删除 15.MBR Rootkit检测和修复 16.内核对象劫持检测 17.WorkerThread枚举
进程/线程/DLL

15,471

社区成员

49,182

社区内容

发帖
与我相关
我的任务
社区描述
VC/MFC 进程/线程/DLL
社区管理员
  • 进程/线程/DLL社区
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章