保護ドライブ:コアSSDTフックを取り外します(2)

その他 2019-09-21 23:01:39 訪問数: null

システムサービス記述子テーブルとして中国名のSSDTの役割、テーブルが2つのAPI関数を接続し、アクションリング3リング0アプリケーション層とコア層であるが、機能は、接続リンクとして、ちょうど大きなインデックステーブルアドレスSSDTを含みませんそれはまた、いくつかの他の有用な情報、ベースアドレス、例えばアドレス・インデックスなどのサービス機能の数が含まれている、コアシステムの一部を達成するために、一般的に使用されるWindows関数アドレステーブルを変更することにより、SSDTフック関数のカーネルレベルであってもよいです監視目的のためにアクションフィルタ、。

その後、我々は手動で解除するドライバの作成を通して一歩一歩になる、以前の研究とは、ドライバを書くことができましたし、指定されたカーネル関数にリンクNtOpenProcessを取り除く方法をステップバイステップでシミュレートするために、ドライブの保護機能を保護ゲーム。

通常の状況下でゲームを開始するには、保護をロードする際に、この保護層を達成するために、SSDTフックで通常ですが、関数は、関数にリンクされていたら、それは仕方によって読み取ら前の元のアドレスで読み取ることができませんオーバーフック関数によって示されるように、関数は、元のアドレスと現在のアドレスが著しい変化を遂げてきた見ることができます。

それでは、どのように動作するには?非常に単純なだけで、私たちに利用できるシステムを使用してMmGetSystemRoutineAddress、次のように元の関数のアドレスを取得する機能、最終テストコードは次のとおりです。

#include <ntddk.h>
extern "C" LONG KerServiceDescriptorTable;

ULONG Get_SSDTAddr(){
    UNICODE_STRING NtOpenProcess;  // 存放函数的Unicode字符串
    ULONG SSDT_Addr;               // 用于存放原始的SSDT地址

    // 将NtOpenProcess字符串以Uncode格式写入到NtProcess变量中
    RtlInitUnicodeString(&NtOpenProcess, L"NtOpenProcess");
    // 获取系统程序地址,取得NtOpenProcess的原始地址
    SSDT_Addr = (ULONG)MmGetSystemRoutineAddress(&NtOpenProcess);
    DbgPrint("原始函数的地址是: %x\n", SSDT_Addr);
    return SSDT_Addr;
}

VOID UnDriver(PDRIVER_OBJECT driver)
{
    DbgPrint(("驱动卸载成功 ! \n"));
}

NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath)
{
    Get_SSDTAddr();
    DriverObject->DriverUnload = UnDriver;
    return STATUS_SUCCESS;
}

この仮想マシンに戻って手動で観察を確認するドライバをロードし、次に、このドライバ・コードをコンパイルします。

ドライバコードのコンパイルは、上記も実証されていない、効果は同じ、アセンブリコード転記実装プロセスで、その代わりに実装されてもよいです。

#include <ntddk.h>
extern "C" LONG KerServiceDescriptorTable;

ULONG Get_SSDTAddr(){
    UNICODE_STRING NtOpen;         // 存放函数的Unicode字符串
    ULONG SSDT_Addr;                     // 用于存放原始的SSDT地址

    // 将NtOpenProcess字符串以Uncode格式写入到NtProcess变量中
    RtlInitUnicodeString(&NtOpen, L"NtOpenProcess");
    __asm
    {
        lea eax, NtOpen             // 将初始化的NtOpenProcess地址给EAX
        push eax                    // EAX压入堆栈 等待调用
        call DWORD ptr DS:[MmGetSystemRoutineAddress]
        mov SSDT_Addr,eax           // 将结果赋值给变量
    }
    DbgPrint("原始函数的地址是: %x\n", SSDT_Addr);
    return SSDT_Addr;
}

VOID UnDriver(PDRIVER_OBJECT driver)
{
    DbgPrint(("驱动卸载成功 ! \n"));
}

NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath)
{
    Get_SSDTAddr();
    DriverObject->DriverUnload = UnDriver;
    return STATUS_SUCCESS;
}

111

おすすめ

転載: www.cnblogs.com/LyShark/p/11563775.html
おすすめ
Apache Doris バージョン 2.0.10 が正式にリリースされました。
Open Source Daily | 大手モデルが戦争に突入、大手モデルのユニコーンが身売りしていることが明らかに; 最大のオープンソース AI コミュニティが GPU の共有に 1,000 万ドルを提供すると示唆
ランキング
ジャンゴ使用KindEditorアップロード写真
FirstOrDefault VS C#の検索
SQL UNIONルール
VS Code は HTML スタートアップを実装し、ホット アップデート サービスを提供します
Linux プログラミング: 1. コルーチンの設計原則
目标检测的“尽头”竟是语言建模?Hinton团队提出Pix2Seq:性能优于DETR
CTFdインストールの新バージョン以降の操作および保守について話します
構造体へのポインタ出力4人の学生学生ID名前性別年齢を使用することにより
1.3.2リリース、連続ファイル同期ツールをSyncthing
PyQt5 インストールチュートリアル
アーカイブ
もっと
2024-05-17(6)
2024-05-16(24)
2024-05-15(5)
2024-05-14(9)
2024-05-13(8)
2024-05-12(27)
2024-05-11(31)
2024-05-10(33)
2024-05-09(30)
2024-05-08(18)

コードワールド

© 2018 codetd.com