|
|
楼主 |
发表于 2010-8-23 17:25:04
|
显示全部楼层
扫盲贴,HOOK SSDT 短文一篇(通过MDL修改内存保护机制)
扫盲贴,HOOK SSDT 短文一篇(通过MDL修改内存保护机制)
作 者: 梧桐
时 间:
2008-12-06,23:01
链 接:
http://bbs.pediy.com/showthread.php?t=78218
//author:梧桐
//转载请注明出处
------------------------很不华丽的分割线------------------------------------------------------
本文章仅供那些在驱动开发门外徘徊的程序爱好者参考和学习,大牛就绕过吧,
如有错误的地方,还请多多指出,不胜感激。
------------------------很不华丽的分割线------------------------------------------------------
对于Driver
一词儿,我想大家都不陌生,它是工作在ring0下的,正是因为如此,它不不能够快速上手的,更多的时候你要熟悉它的技术资料和接口,还要熟悉底层工作的原理,一不小心搞个BSOD,那是会非常郁闷的。
好了,现在让我们步入正题,首先确认你已经安装好了DDK(学习驱动开发,推荐WINXP DDK 2600、 Windows XP,
VS2003),配置好了你的开发环境(DDK
Wizard),在VS20003里添加WINDDK路径。
打开VS2003,Tools选项,选取
Options(如下图):
然后,我们找到 Projects(工程),选取VC++
Directories,添加WINDDK路径:
配置好这些环境以后,我们开始与驱动的亲密接触吧。
先来建立一个驱动的工程:
那些默认的选项,全部取消掉:
接着点 Finish ,删除 Header Files、Resource Files,此时,DDK
Wizard 已经为我们建立了一套Driver模板了,但细看,是不是感觉非常非常的乱?
OK,我们把它K掉,现在我们自己来打造一个简单的入口点。
代码:#include "ntddk.h"
//Unload
VOID UnLoad(IN PDRIVER_OBJECT DriverObject)
{
DbgPrint("UnLoad Driver.\n");
}
//EntryPoint.
NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,
IN PUNICODE_STRING RegistryPath)
{
DriverObject->DriverUnload = UnLoad;
//TODO
return STATUS_SUCCESS;
} 在
DriverName.WXP上点Build,看看objchk\i386目录下产生的Sys文件,OK,Cool吧,当然,我们这个驱动连任何功能都没有的,Cool是很Cool,就是Cool得没内涵了,那么我们来实现点什么功能呢,好吧,让我们来对SSDT挂钩一下吧。
要挂钩SSDT,就必须先要由内核到处一个KeServiceDescriptorTable,那么我们还要先定义一个KeServiceDescriptorTable类型的的结构体:
代码:typedef struct ServiceDescriptorEntry
{
unsigned int *ServiceTableBase;
unsigned int *ServiceCounterTableBase; //Used only in checked build
unsigned int NumberOfServices;
unsigned char *ParamTableBase;
} SSDTEntry;
定义了KSDT的结构,那么我们想想要HOOK那个函数呢,好吧,就以ZwTerminateProcess为例,我们开动,首先定义一个ZwTerminateProcess函数结构,函数原型:
代码:ZwTerminateProcess(
IN HANDLE ProcessHandle OPTIONAL,
IN NTSTATUS ExitStatus
);结构定义:
代码:typedef NTSTATUS(*_ZwTerminateProcess)(
IN HANDLE ProcessHandle OPTIONAL,
IN NTSTATUS ExitStatus
);
我们要HOOK
ZwTerminateProcess,那么我们是不是要先找出它在KSDT中的位置呢,没错,那么我们来定义一个通过SSDT服务号得到函数地址的宏以达到我们的目的:
代码:#define GetSystemFunc(FuncName) KeServiceDescriptorTable.ServiceTableBase[*(PULONG)((PUCHAR)FuncName+1)];
想要达到改写SSDT的目的,那么首先要解决的是内存保护机制的问题,众所周知,Windows的某些版本对内存区域启用了写保护的功能,在XP和2003中更为常见,SSDT是只读的,那怎么办呢?
有的网友此刻估计已经明白了。
没错,就是 Memory Descriptor List,简称
MDL。有的同学可能会问了,MDL究竟是个什么东西呢?从字面意思看,不难理解,内存描述符列表。MDL包含了内存区域的起始、拥有者proc、字节数、标记等。OK,我们需要先定义一个MDL的指针。
代码:PMDL MDLSystemCall;
定义了MDL的指针以后,我们要通过MAPPED系列的参数来使内存拥有可写性,然后锁定内存中的MDL,那么我们就要定义一个PVOID的指针,来供MmMap操作。
代码:PVOID *MappedSCT;
代码片段:
代码:MDLSystemCall = MmCreateMdl(NULL, KeServiceDescriptorTable.ServiceTableBase, KeServiceDescriptorTable.NumberOfServices*4);
if(!MDLSystemCall)
return STATUS_UNSUCCESSFUL;
那么,建立了MDL,是不是该填充一下页数组啊?
对的,没错。
代码:MmBuildMdlForNonPagedPool(MDLSystemCall);
MDLSystemCall->MdlFlags = MDLSystemCall->MdlFlags | MDL_MAPPED_TO_SYSTEM_VA; //可写
MappedSCT = MmMapLockedPages(MDLSystemCall, KernelMode);
我们转入HOOK话题,继续。
刚才我们已经定义了 ZwTerminateProcess
的结构。
代码:Old_ZwTerminateProcess = (_ZwTerminateProcess)(GetSystemFunc(ZwTerminateProcess));
获取没被HOOK之前的ZwTerminateProcess在KSDT中的索引,保存。
那么下一步呢,就是干掉他了,替换为我们的函数,那么我们是不是要构造一个自己的函数过程呢,恩,没错。
代码:NTSTATUS NewZwTerminateProcess(
IN HANDLE ProcessHandle OPTIONAL,
IN NTSTATUS ExitStatus
)
{
//TODO
return STATUS_SUCCESS;
}
在过程里要怎么玩,全看你自己了。
下面就是替换函数了,修改SSDT中函数地址指向的位置,下面是宏定义:
代码:#define GetIndex(_foo) *(PULONG)((PUCHAR)_foo+1)
#define HookOn(_Old,_New) InterlockedExchange((PLONG)&MappedSCT[GetIndex(_Old)] ,(LONG)_New)
代码:MDLSystemCall = MmCreateMdl(NULL, KeServiceDescriptorTable.ServiceTableBase, KeServiceDescriptorTable.NumberOfServices*4);
if(!MDLSystemCall)
return STATUS_UNSUCCESSFUL;
MmBuildMdlForNonPagedPool(MDLSystemCall);
MDLSystemCall->MdlFlags = MDLSystemCall->MdlFlags | MDL_MAPPED_TO_SYSTEM_VA; //可写
MappedSCT = MmMapLockedPages(MDLSystemCall, KernelMode);
HookOn(ZwTerminateProcess, NewZwTerminateProcess);
return STATUS_SUCCESS;完整代码:
代码:///////////////////////////////////////////////////////////////////////////////
///
/// Copyright (c) 2008 -
///
/// Original filename: NtHook.c
/// Project : NtHook
/// Date of creation : 2008-11-20
/// Author(s) : 梧桐
///
/// Purpose :
///
/// Revisions:
/// 0000 [2008-11-20] Initial revision.
///
///////////////////////////////////////////////////////////////////////////////
#include "ntddk.h"
#pragma pack(1)
typedef struct ServiceDescriptorEntry
{
unsigned int *ServiceTableBase;
unsigned int *ServiceCounterTableBase; //Used only in checked build
unsigned int NumberOfServices;
unsigned char *ParamTableBase;
} SSDTEntry;
__declspec(dllimport) SSDTEntry KeServiceDescriptorTable;
#pragma pack()
NTKERNELAPI NTSTATUS ZwTerminateProcess(
IN HANDLE ProcessHandle OPTIONAL,
IN NTSTATUS ExitStatus
);
typedef NTSTATUS(*_ZwTerminateProcess)(
IN HANDLE ProcessHandle OPTIONAL,
IN NTSTATUS ExitStatus
);
_ZwTerminateProcess Old_ZwTerminateProcess;
#define GetSystemFunc(FuncName) KeServiceDescriptorTable.ServiceTableBase[*(PULONG)((PUCHAR)FuncName+1)]
PMDL MDSystemCall;
PVOID *MappedSCT;
#define GetIndex(_Function) *(PULONG)((PUCHAR)_Function+1)
#define HookOn(_Old, _New) \
(PVOID) InterlockedExchange( (PLONG) &MappedSCT[GetIndex(_Old)], (LONG) _New)
#define UnHook(_Old, _New) \
InterlockedExchange( (PLONG) &MappedSCT[GetIndex(_Old)], (LONG) _New)
NTSTATUS NewZwTerminateProcess(
IN HANDLE ProcessHandle OPTIONAL,
IN NTSTATUS ExitStatus
)
{
return STATUS_SUCCESS;
}
//Unload
VOID UnLoad(IN PDRIVER_OBJECT DriverObject)
{
DbgPrint("UnLoad Driver.\n");
//卸载Hook
UnHook( ZwTerminateProcess, Old_ZwTerminateProcess);
//解锁、释放MDL
if(MDSystemCall)
{
MmUnmapLockedPages(MappedSCT, MDSystemCall);
IoFreeMdl(MDSystemCall);
}
}
//EntryPoint.
NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,
IN PUNICODE_STRING RegistryPath)
{
DriverObject->DriverUnload = UnLoad;
//找出旧函数地址并保存
Old_ZwTerminateProcess =(_ZwTerminateProcess)(GetSystemFunc(ZwTerminateProcess));
MDSystemCall = MmCreateMdl(NULL, KeServiceDescriptorTable.ServiceTableBase, KeServiceDescriptorTable.NumberOfServices*4);
if(!MDSystemCall)
return STATUS_UNSUCCESSFUL;
MmBuildMdlForNonPagedPool(MDSystemCall);
MDSystemCall->MdlFlags = MDSystemCall->MdlFlags | MDL_MAPPED_TO_SYSTEM_VA;
MappedSCT = MmMapLockedPages(MDSystemCall, KernelMode);
//安装HOOK
HookOn( ZwTerminateProcess, NewZwTerminateProcess);
return STATUS_SUCCESS;
}
工程附件:http://xlick.3video.cn/1.zip
一段类似的代码
#include "ntddk.h"
ULONG pid=1548;
#pragma pack(1) //SSDT表的结构
typedef struct ServiceDescriptorEntry
{
unsigned int *ServiceTableBase;
unsigned int *ServiceCounterTableBase;
//Used only in checked build
unsigned int NumberOfServices;
unsigned char
*ParamTableBase;
} ServiceDescriptorTableEntry_t,
*PServiceDescriptorTableEntry_t;
#pragma pack()
__declspec(dllimport) ServiceDescriptorTableEntry_t
KeServiceDescriptorTable; //变量名是不能变的,因为是从外部导入
//取函数在SSDT中的位置
#define SYSTEMSERVICE(_function)
KeServiceDescriptorTable.ServiceTableBase[
*(PULONG)((PUCHAR)_function+1)]
//取函数的索引
#define SYSCALL_INDEX(_Function)
*(PULONG)((PUCHAR)_Function+1)
//修改函数的地址
#define HOOK_SYSCALL(_Function,
_Hook, _Orig ) _Orig = (PVOID) InterlockedExchange( (PLONG)
&m_Mapped[SYSCALL_INDEX(_Function)], (LONG) _Hook)
PMDL m_MDL;
PVOID
*m_Mapped;
NTSYSAPI NTSTATUS NTAPI ZwOpenProcess(OUT PHANDLE ProcessHandle,IN
ACCESS_MASK DesiredAccess,IN POBJECT_ATTRIBUTES ObjectAttributes,IN PCLIENT_ID
ClientId OPTIONAL);
NTSYSAPI NTSTATUS NTAPI ZwTerminateProcess(IN HANDLE
ProcessHandle OPTIONAL,IN NTSTATUS ExitStatus);
typedef NTSTATUS (*ZWOPENPROCESS)(OUT PHANDLE ProcessHandle,IN ACCESS_MASK
DesiredAccess,IN POBJECT_ATTRIBUTES ObjectAttributes,IN PCLIENT_ID ClientId
OPTIONAL);
typedef NTSTATUS (*ZWTERMINATEPROCESS)(IN HANDLE ProcessHandle
OPTIONAL,IN NTSTATUS ExitStatus);
NTSTATUS NewZwOpenProcess(OUT PHANDLE ProcessHandle,IN ACCESS_MASK
DesiredAccess,IN POBJECT_ATTRIBUTES ObjectAttributes,IN PCLIENT_ID ClientId
OPTIONAL);
NTSTATUS NewZwTerminateProcess(IN HANDLE ProcessHandle OPTIONAL,IN
NTSTATUS ExitStatus);
NTSTATUS PsLookupProcessByProcessId(IN ULONG ulProcId, OUT PEPROCESS
*pEProcess);
ZWOPENPROCESS OldZwOpenProcess = NULL;
ZWTERMINATEPROCESS
OldZwTerminateProcess = NULL;
VOID OnUnload(IN PDRIVER_OBJECT DriverObject)
{
//卸载时会调用
PVOID
Oldfun =
NULL;
HOOK_SYSCALL(ZwOpenProcess,OldZwOpenProcess,Oldfun);
HOOK_SYSCALL(ZwTerminateProcess,OldZwTerminateProcess,Oldfun);
if(m_MDL){
MmUnmapLockedPages(m_Mapped,m_MDL);
IoFreeMdl(m_MDL);
}
KdPrint(("驱动卸载完毕.\n"));
}
NTSTATUS NewZwOpenProcess(OUT PHANDLE ProcessHandle,IN ACCESS_MASK
DesiredAccess,IN POBJECT_ATTRIBUTES ObjectAttributes,IN PCLIENT_ID ClientId
OPTIONAL)
{
if((long)ClientId->UniqueProcess ==
pid)
{
KdPrint(("保护进程,打开操作 PID:%ld\n",pid));
return STATUS_ACCESS_DENIED;
}
//剩下的交给我们的原函数
return
OldZwOpenProcess(ProcessHandle,DesiredAccess,ObjectAttributes,ClientId);
}
NTSTATUS NewZwTerminateProcess(IN HANDLE ProcessHandle OPTIONAL,IN NTSTATUS
ExitStatus)
{
NTSTATUS nStatus = STATUS_SUCCESS;
PEPROCESS
EPROCESSPROTECT = NULL;
PEPROCESS EPROCESSKILL =
NULL;
//我们要保护的进程的PID存在变量pid里,使用PsLookupProcessByProcessId可以通过PID获得EPROCESS
PsLookupProcessByProcessId((ULONG)pid,&EPROCESSPROTECT);
//通过ProcessHandle来获得当前要结束的进程的EPROCESS
if
(ObReferenceObjectByHandle(ProcessHandle,GENERIC_READ,NULL,KernelMode,&EPROCESSKILL,0)
== STATUS_SUCCESS)
{
//如果要结束的是我们需要保护的进程,这里分两种情况
if (EPROCESSPROTECT==
EPROCESSKILL)
{
if (EPROCESSPROTECT !=
PsGetCurrentProcess())
{//情况一:当前进程不是我们所保护的进程
//换句话说也就是其他进程试图结束我们所保护的进程,当然不能让他结束
KdPrint(("[-]进程保护,外部程序试图关闭保护进程\n"));
nStatus =
STATUS_ACCESS_DENIED;
}else{
//当我们程序点击关闭也是使用的TermianteProcess,
//所以这种情况下当前进程是我们所保护的进程,则正常退出
KdPrint(("[-]进程保护,程序自身退出请求!\n"));
}
}
}
//剩下的交给我们的原函数
if
(nStatus != STATUS_SUCCESS)
return
nStatus;
else
return
OldZwTerminateProcess(ProcessHandle,ExitStatus);
}
NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,IN PUNICODE_STRING
theRegistryPath)
{
NTSTATUS
ntStatus = STATUS_SUCCESS;
PDEVICE_OBJECT deviceObject =
NULL;
DriverObject->DriverUnload = OnUnload;
m_MDL =
MmCreateMdl(NULL,KeServiceDescriptorTable.ServiceTableBase,KeServiceDescriptorTable.NumberOfServices*4);
if(!m_MDL)
{
return
STATUS_UNSUCCESSFUL;
}
//非分页内存
MmBuildMdlForNonPagedPool(m_MDL);
m_MDL->MdlFlags
= m_MDL->MdlFlags | MDL_MAPPED_TO_SYSTEM_VA;
//锁定
m_Mapped =
MmMapLockedPages(m_MDL,
KernelMode);
HOOK_SYSCALL(ZwOpenProcess,NewZwOpenProcess,OldZwOpenProcess);
HOOK_SYSCALL(ZwTerminateProcess,NewZwTerminateProcess,OldZwTerminateProcess);
return
STATUS_SUCCESS;
} |
|
发表于 2010-8-23 17:23:59
