1、
再谈SSDT HOOK驱动保护原理
A、初识内核进程相关结构 B、内核函数PsGetCurrentProcess C、进程保护原理 D、实例测试
【100】本节课先讲理论,下节课具体代码
【160】看一个实例(代码已经写好了)
将 mini_ddk.sys 和 test_exe.exe 复制到 虚拟机,载入驱动
【245】以一个记事本进程为例
【300】启动 WinDBG
【485】ZC: WinDBG 中 打印了很多信息...
【500】∵ 被hook了之后,系统的速度变慢了,可以看到 虚拟机中的CPU已经被占满了
ZC: 看这个显现,貌似有点死循环的意思啊...不像变慢啊...【575】WinDBG中也看到信息一直在打印出来,个人判断,肯定是写的代码有问题,貌似是 无休止的调用某函数的缘故。
【580】我们把调试去掉(ZC: WinDBG里面打了 命令"g",貌似这个操作与"去掉调试"没有关系吧...它说的"把调试去掉"应该是指把test_exe.exe关掉/mini_ddk.sys卸载掉?)
【685】ZC: 貌似虚拟机重启过了
【795】此时,再用 CE 来附加 记事本进程,CE报错"打开进程错误",它已经被保护起来了
【830】并非说 记事本进程 就绝对的 能够得到很好的保护了,如 OD里面有一些过保护的插件,它就可以过这个保护
【885】打开 OD1.1(郁金香OD2010.exe),此时(OD-->文件-->附加)找不到 记事本的进程
【923】OD-->插件-->StrongOD-->Options-->"*KernelMode"勾上 -->关闭OD
【945】再次打开 OD 【990】此时(OD-->文件-->附加) 能看到 记事本进程,也能正常的附加
【1010】OD-->反汇编窗口-->右击-->StrongOD-->Detach --> 关闭OD
【1025】只是一个简单的演示
【1130】CE5.4 里面 也有一个 内核模式: CE-->设置-->其他 --> 隐藏模式(内核模式),但是这个是 调试模式,不知道这个有没有用。∵ 虚拟机里面测试非常的不方便,就不再做再多的演示了,有兴趣自己测试
【1265】看一下原理
对 函数NtOpenProcess 做了一个 SSDT的 HOOK,它不是一个内联的(ZC: 讲的是"内联的"吗?)
【1290】一般来说比较强的保护的话,它都是一个内联的更深层次的保护,今天我们就不说内联HOOK了,说SSDT的HOOK
【1340】内核里面的 NtOpenProcess 如下:
“
NTSTATUS NtOpenProcess(
__out PHANDLE ProcessHandle, // 【1360】这个是用来回传参数的 __in ACCESS_MASK DesiredAccess, // 【1410】访问权限的掩码 __in POBJECT_ATTRIBUTES ObjectAttributes, __in_opt PCLIENT_ID ClientId);”
【1450】MSDN里面查看看 OpenProcess,返回值 对应 函数NtOpenProcess的参数ProcessHandle
HANDLE OpenProcess(
DWORD dwDesiredAccess, // 【1485】对应函数NtOpenProcess的参数DesiredAccess BOOL bInheritHandle, // 【1680】对应函数NtOpenProcess的参数ObjectAttributes DWORD dwProcessId);【1700】OpenProcess的参数dwProcessId 对应的不是 函数NtOpenProcess的参数ClientId
【1740】包含这样一个结构 dt _CLIENT_ID 【1760】这个结构,在OD里面也能看到,【1775】在WInDBG里面能够看到(ZC: 到底 OD里能不能看到?)
【1865】vs2003里面看到 ntddk.h中 有该结构的定义
“
typedef struct _CLIENT_ID
{ HANDLE UniqueProcess;//进程PID HANDLE UniqueThread; //线程PID} CLIENT_ID;”
【1930】根据传入的值,这个值(CLIENT_ID.UniqueProcess)如果是我们要打开的进程,做一个简单的过滤,就直接返回 函数NtOpenProcess的参数ProcessHandle 的值 为空。我们对 OpenProcess 进行SSDT的HOOK 进入我们自己的函数,【2060】自己构建一个假的函数 MyNtOpenProcess()
“
MyNtOpenProcess()
{ if 要打开进程是我们要保护的 { ProcessHandle=NULL } else { ProcessHandle = NtOpenProcess()//HANDLE hProcess }}”
这样就起到一个简单的保护作用
【2250】MSDN查看 WriteProcessMemory
【2318】也就是说 我们的战场就是在 OpenProcess这里
【2430】看一下这个结构 "dt _eprocess"
打开虚拟机,启动 WinDBG
【2495】∵ 进程相关的结构,在程序(vs2003)里面是看不到的,∵该结构是一个未公开的一个结构
【2558】VS2003中 _EPROCESS 【2565】此时 提示“未定义符号"_EPROCESS"”
ZC: 根据 应用层的结构-->得到内核未公开的结构名-->在WinDBG中用"dt"命令 一点一点往下挖
【2595】WinDBG 命令"dt _eprocess"
【2665】_EPROCESS.DebugPort 比较重要,常用来 反调试
【2685】_EPROCESS.ImageFileName 进程名。也可以通过过滤进程名来保护进程
【2753】WinDBG 命令"dt _CLIENT_ID"
【2925】看一下 大致的代码
【2960】
“
// 定义一下NtOpenProcess的原型
extern "C" typedef NTSTATUS (__stdcall NTOPENPROCESS)( OUT PHANDLE ProcessHandle, IN ACCESS_MASK AccessMask, IN POBJECT_ATTRIBUTES ObjectAttributes, IN PCLIENT_ID ClientId);NTOPENPROCESS * RealNtOpenProcess; // 用于存放真实的 NtOpenProcess函数 的地址”
2、
dd nt!KeServiceDescriptorTable
typedef struct _CLIENT_ID
{ HANDLE UniqueProcess;//进程PID HANDLE UniqueThread; //线程PID} CLIENT_ID;dt _CLIENT_ID
dt _eprocessdt -v -r _eprocess (加上-v -r显示详细结构)#pragma once
#ifdef __cplusplusextern "C"{ #endif#include <NTDDK.h> //这里包含需要用C方式编译的头文件#ifdef __cplusplus}#endif #include <windef.h> bool ssdthook_flag=false;extern "C" extern PServiceDescriptorTable KeServiceDescriptorTable;//extern "C" NTSTATUS __stdcall PsLookupProcessByProcessId( IN ULONG ulProcId, OUT PEPROCESS *pEProcess );
PEPROCESS EP;
// 真实的函数地址
ULONG RealServiceAddress;HANDLE MyPID; //要保护的进程ID
// 自定义的NtOpenProcess函数
#pragma PAGECODE
//************************************
extern "C" NTSTATUS __stdcall MyNtOpenProcess(
OUT PHANDLE ProcessHandle, IN ACCESS_MASK DesiredAccess, IN POBJECT_ATTRIBUTES ObjectAttributes, IN PCLIENT_ID ClientId ){ NTSTATUS rc; HANDLE PID;KdPrint(("++++++++++++Entry MyNtOpenProcess int ++++++++++++++\n"));
rc = (NTSTATUS)RealNtOpenProcess( ProcessHandle, DesiredAccess, ObjectAttributes, ClientId ); if( (ClientId != NULL) ) { PID = ClientId->UniqueProcess; KdPrint(( "------------------------- PID=%d--------------\n",(int*)PID )); // 如果是被保护的PID,直接返回权限不足,并将句柄设置为空 if(PID == MyPID) { KdPrint(( "++++++++++++++++++++++++++++被保护进程 MyPID=%d++++++++++++++++++++++++\n",MyPID )); ProcessHandle = NULL; //这个是关键 rc = STATUS_ACCESS_DENIED; //PsLookupProcessByProcessId((ULONG)PID,&EP); EP=PsGetCurrentProcess(); KdPrint(("AAAAAAAAAAAAAAAAAAAAAAAAAAAAA ACESS Process Name --:%s-- AAAAAAAAAAAAAAAAAA \n",(PTSTR)((ULONG)EP+0x174))); KdPrint(( "++++++++++++++++++++++++++++=======================================================+++++++++++++++++++++++\n" )); } }return rc;}
#pragma PAGECODE
VOID Hook()
{ KdPrint(("++++++++++++++++++++HOOK START +++++++++++++++++++++++++++++++ ---------------------------------\n")); LONG *SSDT_Adr,SSDT_NtOpenProcess_Cur_Addr,t_addr;KdPrint(("驱动成功被加载中.............................\n"));
//读取SSDT表中索引值为0x7A的函数 //poi(poi(KeServiceDescriptorTable)+0x7a*4) t_addr=(LONG)KeServiceDescriptorTable->ServiceTableBase; KdPrint(("当前ServiceTableBase地址为%x \n",t_addr)); SSDT_Adr=(PLONG)(t_addr+0x7A*4); KdPrint(("当前t_addr+0x7A*4=%x \n",SSDT_Adr)); SSDT_NtOpenProcess_Cur_Addr=*SSDT_Adr;RealServiceAddress = *SSDT_Adr;
RealNtOpenProcess = ( NTOPENPROCESS *)RealServiceAddress;
KdPrint(( "真实的NtOpenProcess地址: %x\n",(int) RealServiceAddress )); KdPrint((" 伪造NTOpenProcess地址: %x\n", (int)MyNtOpenProcess ));__asm //去掉页面保护
{ cli mov eax,cr0 and eax,not 10000h //and eax,0FFFEFFFFh mov cr0,eax } *SSDT_Adr= (ULONG)MyNtOpenProcess; __asm { mov eax, cr0 or eax, 10000h mov cr0, eax sti } return;}
//
#pragma PAGECODE
VOID UnHook()
{ ULONG Old_ssdt; Old_ssdt = (ULONG)KeServiceDescriptorTable->ServiceTableBase + 0x7A * 4; if (ssdthook_flag) { ssdthook_flag=false; __asm { cli mov eax, cr0 and eax, not 10000h mov cr0, eax } // 还原SSDT *((ULONG*)Old_ssdt) = (ULONG)RealServiceAddress; __asm { mov eax, cr0 or eax, 10000h mov cr0, eax sti } KdPrint(("UnHook还原SSDT OK \n")); } return;}#define hook_code CTL_CODE(FILE_DEVICE_UNKNOWN, 0x802, METHOD_NEITHER,FILE_ANY_ACCESS)
#define unhook_code CTL_CODE(FILE_DEVICE_UNKNOWN, 0x803, METHOD_NEITHER,FILE_ANY_ACCESS)