標 題:
【原創】SSDT Hook的妙用-對抗ring0 inline hook
作 者:
墮落天才
時 間: 2007-03-10,15:18
鏈 接: http://bbs.pediy.com/showthread.php?t=40832
*******************************************************
*標題:【原創】SSDT?Hook的妙用-對抗ring0?inline?hook??*
*作者:墮落天才????????????????????????????????????????*
*日期:2007年3月10號???????????????????????????????????*
*聲明:本文章的目的僅為技術交流討論????????????????????*
*******************************************************
1,SSDT
?????SSDT即系統服務描述符表,它的結構如下(參考《Undocument?Windows?2000?Secretes》第二章):
?????typedef?struct?_SYSTEM_SERVICE_TABLE
?????{
???????PVOID???ServiceTableBase;????????//這個指向系統服務函數地址表
???????PULONG??ServiceCounterTableBase;
???????ULONG???NumberOfService;?????????//服務函數的個數,NumberOfService*4?就是整個地址表的大小
???????ULONG???ParamTableBase;
?????}SYSTEM_SERVICE_TABLE,*PSYSTEM_SERVICE_TABLE;???
?????
?????typedef?struct?_SERVICE_DESCRIPTOR_TABLE
?????{
???????SYSTEM_SERVICE_TABLE???ntoskrnel;??//ntoskrnl.exe的服務函數
???????SYSTEM_SERVICE_TABLE???win32k;?????//win32k.sys的服務函數,(gdi.dll/user.dll的內核支持)
???????SYSTEM_SERVICE_TABLE???NotUsed1;
???????SYSTEM_SERVICE_TABLE???NotUsed2;
?????}SYSTEM_DESCRIPTOR_TABLE,*PSYSTEM_DESCRIPTOR_TABLE;
?????
?????內核中有兩個系統服務描述符表,一個是KeServiceDescriptorTable(由ntoskrnl.exe導出),一個是KeServieDescriptorTableShadow(沒有導出)。兩者的區別是,KeServiceDescriptorTable僅有ntoskrnel一項,KeServieDescriptorTableShadow包含了ntoskrnel以及win32k。一般的Native?API的服務地址由KeServiceDescriptorTable分派,gdi.dll/user.dll的內核API調用服務地址由KeServieDescriptorTableShadow分派。還有要清楚一點的是win32k.sys只有在GUI線程中才加載,一般情況下是不加載的,所以要Hook?KeServieDescriptorTableShadow的話,一般是用一個GUI程序通過IoControlCode來觸發(想當初不明白這點,藍屏死機了N次都想不明白是怎么回事)。
?
?2,SSDT?HOOK?
????SSDT?HOOK?的原理其實非常簡單,我們先實際看看KeServiceDescriptorTable是什么樣的。????
????lkd>?dd?KeServiceDescriptorTable
????8055ab80??804e3d20?00000000?0000011c?804d9f48
????8055ab90??00000000?00000000?00000000?00000000
????8055aba0??00000000?00000000?00000000?00000000
????8055abb0??00000000?00000000?00000000?00000000???
????在windbg.exe中我們就看得比較清楚,KeServiceDescriptorTable中就只有第一項有數據,其他都是0。其中804e3d20就是
KeServiceDescriptorTable.ntoskrnel.ServiceTableBase,服務函數個數為0x11c個。我們再看看804e3d20地址里是什么東西:
????lkd>?dd?804e3d20
????804e3d20??80587691?805716ef?8057ab71?80581b5c
????804e3d30??80599ff7?80637b80?80639d05?80639d4e
????804e3d40??8057741c?8064855b?80637347?80599539
????804e3d50??8062f4ec?8057a98c?8059155e?8062661f
????如上,80587691?805716ef?8057ab71?80581b5c?這些就是系統服務函數的地址了。比如當我們在ring3調用OpenProcess時,進入sysenter的ID是0x7A(XP?SP2),然后系統查KeServiceDescriptorTable,大概是這樣KeServiceDescriptorTable.ntoskrnel.ServiceTableBase(804e3d20)?+?0x7A?*?4?=?804E3F08,然后804E3F08?->8057559e?這個就是OpenProcess系統服務函數所在,我們再跟蹤看看:
????lkd>?u?8057559e
????nt!NtOpenProcess:
????8057559e?68c4000000??????push????0C4h
????805755a3?6860b54e80??????push????offset?nt!ObReferenceObjectByPointer+0x127?(804eb560)
????805755a8?e8e5e4f6ff??????call????nt!InterlockedPushEntrySList+0x79?(804e3a92)
????805755ad?33f6????????????xor?????esi,esi
????原來8057559e就是NtOpenProcess函數所在的起始地址。??
????嗯,如果我們把8057559e改為指向我們函數的地址呢?比如?MyNtOpenProcess,那么系統就會直接調用MyNtOpenProcess,而不是原來的NtOpenProcess了。這就是SSDT?HOOK?原理所在。
??3,?ring0?inline?hook
?????ring0?inline?hook?跟ring3的沒什么區別了,如果硬說有的話,那么就是ring3發生什么差錯的話程序會掛掉,ring0發生什么差錯的話系統就掛掉,所以一定要很小心。inline?hook的基本思想就是在目標函數中JMP到自己的監視函數,做一些判斷然后再JMP回去。一般都是修改函數頭,不過再其他地方JMP也是可以的。下面我們來點實際的吧:
?????lkd>?u?nt!NtOpenProcess
?????nt!NtOpenProcess:
?????8057559e?e95d6f4271??????jmp?????f199c500
?????805755a3?e93f953978??????jmp?????f890eae7
?????805755a8?e8e5e4f6ff??????call????nt!InterlockedPushEntrySList+0x79?(804e3a92)
?????...
?????同時打開“冰刃”跟“Rootkit?Unhooker”我們就能在NtOpenProcess函數頭看到這樣的“奇觀”,第一個jmp是“冰刃”的,第二個jmp是“Rootkit?Unhooker”的。他們這樣是防止被惡意程序通過TerminateProcess關閉。當然“冰刃”還Hook了NtTerminateProcess等函數。
×××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××××
????好了,道理就說完了,下面就進入本文正題。
????對付ring0?inline?hook的基本思路是這樣的,自己寫一個替換的內核函數,以NtOpenProcess為例,就是MyNtOpenProcess。然后修改SSDT表,讓系統服務進入自己的函數MyNtOpenProcess。而MyNtOpenProcess要做的事就是,實現NtOpenProcess前10字節指令,然后再JMP到原來的NtOpenProcess的十字節后。這樣NtOpenProcess函數頭寫的JMP都失效了,在ring3直接調用OpenProcess再也毫無影響。
***************************************************************************************************************************
#include<ntddk.h>
typedef?struct?_SERVICE_DESCRIPTOR_TABLE
{
??PVOID???ServiceTableBase;
??PULONG??ServiceCounterTableBase;
??ULONG???NumberOfService;
??ULONG???ParamTableBase;
}SERVICE_DESCRIPTOR_TABLE,*PSERVICE_DESCRIPTOR_TABLE;?//由于KeServiceDescriptorTable只有一項,這里就簡單點了
extern?PSERVICE_DESCRIPTOR_TABLE????KeServiceDescriptorTable;//KeServiceDescriptorTable為導出函數
/////////////////////////////////////
VOID?Hook();
VOID?Unhook();
VOID?OnUnload(IN?PDRIVER_OBJECT?DriverObject);
//////////////////////////////////////
ULONG?JmpAddress;//跳轉到NtOpenProcess里的地址
ULONG?OldServiceAddress;//原來NtOpenProcess的服務地址
//////////////////////////////////////
__declspec(naked)?NTSTATUS?__stdcall?MyNtOpenProcess(PHANDLE?ProcessHandle,
???????????????ACCESS_MASK?DesiredAccess,
???????????????POBJECT_ATTRIBUTES?ObjectAttributes,
???????????????PCLIENT_ID?ClientId)?
{
??DbgPrint("NtOpenProcess()?called");
??__asm{
????push????0C4h
????push????804eb560h??//共十個字節
????jmp?????[JmpAddress]?????
??}
}
///////////////////////////////////////////////////
NTSTATUS?DriverEntry(IN?PDRIVER_OBJECT?DriverObject,PUNICODE_STRING?RegistryPath)
{
??DriverObject->DriverUnload?=?OnUnload;
??DbgPrint("Unhooker?load");
??Hook();
??return?STATUS_SUCCESS;
}
/////////////////////////////////////////////////////
VOID?OnUnload(IN?PDRIVER_OBJECT?DriverObject)
{
??DbgPrint("Unhooker?unload!");
??Unhook();
}
/////////////////////////////////////////////////////
VOID?Hook()
{
??ULONG??Address;
??Address?=?(ULONG)KeServiceDescriptorTable->ServiceTableBase?+?0x7A?*?4;//0x7A為NtOpenProcess服務ID
??DbgPrint("Address:0x%08X",Address);
??OldServiceAddress?=?*(ULONG*)Address;//保存原來NtOpenProcess的地址
??DbgPrint("OldServiceAddress:0x%08X",OldServiceAddress);
??DbgPrint("MyNtOpenProcess:0x%08X",MyNtOpenProcess);
??JmpAddress?=?(ULONG)NtOpenProcess?+?10;?//跳轉到NtOpenProcess函數頭+10的地方,這樣在其前面寫的JMP都失效了
??DbgPrint("JmpAddress:0x%08X",JmpAddress);
????
??__asm{//去掉內存保護
????cli
?????????mov??eax,cr0
????and??eax,not?10000h
????mov??cr0,eax
??}
??*((ULONG*)Address)?=?(ULONG)MyNtOpenProcess;//HOOK?SSDT
??__asm{//恢復內存保護??
??????????mov??eax,cr0
????or???eax,10000h
????mov??cr0,eax
????sti
??}
}
//////////////////////////////////////////////////////
VOID?Unhook()
{
??ULONG??Address;
??Address?=?(ULONG)KeServiceDescriptorTable->ServiceTableBase?+?0x7A?*?4;//查找SSDT
??__asm{
????cli
??????????mov??eax,cr0
????and??eax,not?10000h
????mov??cr0,eax
??}
??*((ULONG*)Address)?=?(ULONG)OldServiceAddress;//還原SSDT
??__asm{??
?????????mov??eax,cr0
????or???eax,10000h
????mov??cr0,eax
????sti
??}
??DbgPrint("Unhook");
}
××××××××××××××××××××××××××××××××××××××××××××××××××××××××××
????就這么多了,或許有人說,沒必要那么復雜,直接恢復NtOpenProcess不就行了嗎?對于象“冰刃”“Rookit?Unhooker”這些“善良”之輩的話是沒問題的,但是象NP這些“窮兇極惡”之流的話,它會不斷檢測NtOpenProcess是不是已經被寫回去,是的話,嘿嘿,機器馬上重啟。這也是這種方法的一點點妙用。