源代码下载地址:
据微软所言,服务描述符表是一个由四个结构组成的数组,其中的每一个结构都是由四个双字项组成。因此,我们可以将服务描述符表表示为:
typedef struct ServiceDescriptorTable
{
SDE ServiceDescriptor[4];
}SDT;
其中,其中的每一个服务描述符呈现出四个双字的形式,它的结构为:
#pragma pack(1)
typedef struct ServiceDescriptorEntry
{
unsigned int *ServiceTableBase;
unsigned int *ServiceCounterTableBase; //Used only in checked build
unsigned int NumberOfServices;
unsigned char *ParamTableBase;
} SDE,*PSDE;
#pragma pack()
我们寻找的数据结构SSDT是由第一个域所引用的调用表(可以在调试器中用命令dps nt!KiServiceTable查看)
一、 禁用WP位
如果我们能够简单的将值换人并换出SSDT该有多好,然而障碍在于SSDT存在于只读内存中。因此,为了挂钩由SSDT引用的例程,我们一般的策略看起来应该类似于以下形式(以伪代码表示):
DisableReadProtection();
ModifySSDT();
EnableReadProtection();
英特尔的文档写明:“如果CR0.WP=1,访问类型由页目录和页表项的R/W标志位决定。如果CR0.WP=0,超级用户权限允许读写访问。”因此,为破坏SSDT上的写保护,我们需要临时清除写保护(Write Protect,WP)标志。
通过分配自己的MDL来描述SSDT,我们可以禁用读保护。MDL与存储SSDT内容的物理内存页相关联,MDL元素结构在WDK附带的wdm.h头文件中的定义为:
typedef struct _MDL
{
struct _MDL *Next;
CSHORT Size;
CSHORT MdlFlags;
struct _EPROCESS *Process;
PVOID MappedSystemVa;
PVOID StartVa;
ULONG ByteCount;
ULONG ByteOffset;
}MDL,*PMDL;
对于物理内存的这一区域,一旦我们添加了自己的私有描述,就可以使用按位OR以及MDL_MAPPED_TO_SYSTEM_VA宏调整MDL的权限。再一次,我们可以成功实现,因为我们拥有自己的MDL对象。最后,我们使用SSDT在物理内存中的位置与MDL之间的映射正式化。
然后,锁定我们在线性空间创建的MDL缓冲区。作为回报,我们得到一个新的线性地址,它也指向SSDT,而且能够对其进行修改。
简而言之,使用MDL,我们在系统的线性地址空间中创建了新的可写缓冲区,它恰好解析成存储SSDT的物理内存。只要两个区域解析成同样的物理内存区域,它就没什么不同。它只是一个数字游戏,纯粹而简单。如果你不能写入线性内存的给定区域,那么就创建自己的区域并且向其写入。
WP_GLOBALS disableWP_MDL(unsigned int *ssdt,unsigned int nServices)
{
WP_GLOBALS wpGbs;
DbgPrint("[disableWP_MDL] SSDT=%\n",ssdt);
DbgPrint("[disableWP_MDL] nServices=%\n",nServices);
wpGbs.pMDL = MmCreateMdl(NULL, (PVOID)ssdt, (SIZE_T)nServices*4);
if(wpGbs.pMDL==NULL)
{
DbgPrint("[disableWP_MDL] %\n","call to MmCreateMdl failed");
return (wpGbs);
}
MmBuildMdlForNonPagedPool(wpGbs.pMDL);
wpGbs.pMDL->MdlFlags = wpGbs.pMDL->MdlFlags | MDL_MAPPED_TO_SYSTEM_VA;
wpGbs.callTable = (unsigned char*)MmMapLockedPages(wpGbs.pMDL, KernelMode);
if(wpGbs.callTable==NULL)
{
DbgPrint("[disableWP_MDL] %\n","call to MmMapLockedPages failed");
return (wpGbs);
}
return (wpGbs);
}
这个例程返回一个结构,它只是一个指向我们MDL和SSDT指针的包装器。
typedef struct _WP_GLOBALS
{
unsigned char *callTable;
PMDL pMDL;
}WP_GLOBALS;
我们通过前面的函数返回该结构,以便访问可写版本的SSDT,而且当不再需要MDL缓冲区时,我们可以复原事务的原始状态。为复原系统状态,我们使用以下函数:
void enableWP_MDL(PMDL mdlPtr,unsigned char *callTable)
{
if(mdlPtr != NULL)
{
MmUnmapLockedPages((PVOID)callTable, mdlPtr);
IoFreeMdl(mdlPtr);
}
}
二、 挂钩SSDT项
一旦禁用了写保护,我们可以使用以下例程将新的函数地址换人SSDT
unsigned char* hookSSDT(unsigned char *apiCall,unsigned char *newAddr,unsigned int *callTable)
{
PLONG target;
unsigned int indexValue;
indexValue = getSSDTIndex(apiCall);
target = (PLONG)&(callTable[indexValue]);
return ((unsigned char*)InterlockedExchange(target,(LONG)newAddr));
}
该例程接收挂钩例程的地址、现有例程的地址以及指向SSDT的指针,返回现有例程的地址(以便完成任务后恢复SSDT)。
给定某个Nt*()函数,他的地址在SSDT中的什么位置?我们在调试器中使用u nt!Zw*命令查看汇编代码,发现这种函数开始处的汇编代码都是这种格式:mov eax,xxxH,这个xxx就是系统调用的索引号。
unsigned int getSSDTIndex(unsigned char *address)
{
unsigned char *addressOfIndex;
unsigned int indexValue;
addressOfIndex = address + 1;
indexValue = *((PULONG)addressOfIndex);
return (indexValue);
}
一旦有了索引值,定位表项的地址并且将其换出就是一件简单的事情。但是请注意,我们必须使用InterlockedExchange()锁定对此项的访问,以便我们暂时拥有独占的访问权。与IDT或GDT这样基于处理器的结构不同,不论多少个处理器正在运行,只有一个单独的SSDT。
对SSDT中的系统调用脱钩使用同样的基本机制。唯一的不同之处在于我们不向调用例程返回值。
void unHookSSDT(unsigned char *apiCall,unsigned char *oldAddr,unsigned int *callTable)
{
PLONG target;
unsigned int indexValue;
indexValue = getSSDTIndex(apiCall);
target = (PLONG)&(callTable[indexValue]);
InterlockedExchange(target,(LONG)oldAddr);
}
三、 SSDT示例
既然已经分析了组成这首乐曲的各种和弦,让我们将其演奏起来听听看。挂钩ZwTerminateProcess系统调用。
NTSTATUS DriverEntry (
IN PDRIVER_OBJECT DriverObject,
IN PUNICODE_STRING RegistryPath
)
{
DbgPrint("Load SSDT Driver \n");
DriverObject ->DriverUnload = UnLoad;
wpGlobals = disableWP_MDL(KeServiceDescriptorTable.ServiceTableBase, KeServiceDescriptorTable.NumberOfServices);
if(wpGlobals.pMDL==NULL || wpGlobals.callTable==NULL)
{
return (STATUS_UNSUCCESSFUL);
}
pMDL = wpGlobals.pMDL;
systemCallTable = (PVOID *)wpGlobals.callTable;
Old_ZwTerminateProcess =(ZwTerminateProcessPtr)hookSSDT((unsigned char*)ZwTerminateProcess, (unsigned char*)NewZwTerminateProcess, (unsigned int*)systemCallTable);
return STATUS_SUCCESS;
}
KeServiceDescriptorTable是由ntoskrnl.exe导出的符号。要想访问它,我们必须为声明加上__declspec(dllimport)前缀,以便编译器知道我们在做什么。导出的内核符号为我们提供了内存中一个位置的地址。我们提供的数据类型定义(即typedef struct ServiceDescriptorEntry)把某个复合结构强加于这个地址的内存。通过这种通用方法,你能够修改由操作系统导出的任意变量。
我们将返回值保存到三个全局变量中(pMDL,systemCallTable,Old_ZwTerminateProcess),以便能够脱钩系统调用,并且重新启用写保护。
VOID
UnLoad (
IN PDRIVER_OBJECT DriverObject
)
{
DbgPrint("Unload SSDT Driver \n");
unHookSSDT((unsigned char*)ZwTerminateProcess, (unsigned char*)Old_ZwTerminateProcess, (unsigned int*)systemCallTable);
enableWP_MDL(pMDL,(unsigned char*)systemCallTable);
}
每当ZwTerminateProcess被调用,我们挂钩的函数都会被调用。为了存储实现此接口的现有系统调用的地址,定义以下的函数指针数据类型。
typedef NTSTATUS(*ZwTerminateProcessPtr)(
IN HAndLE ProcessHAndle OPTIONAL,
IN NTSTATUS ExitStatus );
要做的事情只剩下实现挂钩例程。我们通过打印输出字符串跟踪调用,然后调用原始的系统调用。
NTSTATUS NewZwTerminateProcess(
IN HAndLE ProcessHAndle OPTIONAL,
IN NTSTATUS ExitStatus )
{
NTSTATUS ntStatus;
DbgPrint("NewZwTerminateProcess Called \n");
ntStatus = ((ZwTerminateProcessPtr)(Old_ZwTerminateProcess))(ProcessHAndle,ExitStatus);
if(!NT_SUCCESS(ntStatus))
{
DbgPrint("[NewZwTerminateProcess] %\n","Call to Old_ZwTerminateProcess failed");
}
return STATUS_SUCCESS;
}
我们在这个示例中建立的是挂钩SSDT的标准操作程序。不论我们正在拦截哪个例程,挂钩与脱钩的技术细节保持相同。从现在起,无论我们何时想要跟踪或过滤系统调用,必须做的所有工作只有以下几点
- 声明原始系统调用原型(例如ZwTerminateProcess())
- 声明相应的函数指针数据类型(例如ZwTerminateProcessPtr)
- 定义函数指针(例如Old_ZwTerminateProcess)
- 实现挂钩例程(例如NewZwTerminateProcess())
四、加载驱动
我们用INSTDRV加载编译好的驱动程序DCSSSDT.sys
我们用PCHunter32查看挂钩是否成功
我们用Dbgview查看调试信息
没有问题都成功了。
转自 http://www.dcscms.com/article/content.php?seq=13