***********关于hook**********************************
首先我们说下hook,什么是hook?hook的英文已经说明了,hook在英文中是钩的意思,计算机取其意叫钩子,而我的理解叫截!
大家应该写过r3下程序,估计也写过一些r3的hook,例如有一个API是OpenProcess,功能是打开进程得到进程句柄,比如我们要结束一个进程,如果调用TerminateProcess这个API来结束进程,就必须知道进程句柄。
那么结束一个进程的伪代码就是这样
push PID
push 0
push 2035711 //权限
call OpenProcess
push 0
push eax
call TerminateProcess
这段代码执行,如果正常的话,这个PID的进程应该就会被结束了,这里我们来设想一下,假设我们这里call openprocess做一下修改,变成这样,
push PID
push 0
push 2035711 //权限
call myopen
push 0
push eax
call TerminateProcess
myopen这里是我自己写的一个函数,这个函数跟OpenProcess一样,也有三个参数,也有相同的返回值类型。在这个函数里,我把三个参数,传递给真正的OpenProcess,而把OpenProcess的返回值,做为myopen的返回值,那么,这套流程下来,肯定也是可以执行的,myopen函数类似这样:
有童鞋要问了,这样做执行是可以执行,但是何必费力做一个包装函数,再调用原函数,这样的意义是什么?
现在这套流程下来非常正常,我们做的这个包装函数没有意义,现在我们假设,如果有一个恶意进程PID=9527,你写这个结束程序来结束这个PID=9527的进程,这个恶意进程却给你安装了这个包装函数。但是,他稍微的修改了下,变成这样:
嘿嘿,这样下来,会怎么样?你还能结束恶意进程吗?
当然不能
因为你如果打开PID为9527的进程时候,得不到正确的句柄返回值,返回值为0。
这个方法,叫hook,我们也可以在OpenProcess的函数头进行hook。
而我把这种方法,叫截,截获后,可阻止,可改变,可放行!hook,无非是截获流程,根据自己的需要替换,阻止,放行而已!
r3层的r0层的hook原理一样,大道至简,现在很多驱动hook一上来就说内核,ssdt,弄的大家一头雾水,其实假传万卷书,真传一句话,驱动hook就是截获api在内核的执行流程,然后根据自己的需要替换,阻止,放行。 理论上你会r3的hook,你一定会r0的hook!
*********关于SSDT**********************************
明白了HOOK原理后,那么内核hook就很简单了,只要我们在API函数执行流程走到内核后在内核流程中进行截断,处理,就是内核hook了
我们在内核流程的位置选择了SSDT表,那么,SSDT表是什么?
SSDT(System Services Descriptor Table),系统服务描述符表。这个表就是一个把ring3的Win32 API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。
现在我们以OpenProcess来说明,看下SSDT表在函数执行流程中起的作用!
函数的执行流程以OpenProcess是这样.先说明,下面再解释
*r3 OpenProcess进入ntdll.dll的NtOpenProcess或ZwOpenProcess函数(反正是同一个地址)
*进入内核
*进入Ntoskrnl.exe的ZwOpenProcess
*根据ZwOpenProcess的索引,找到SSDT表对应的地址,再根据SSDT表对应地址的数据(Ntoskrnl.exe的NtOpenProcess),执行函数。
*也就是Ntoskrnl.exe的NtOpenProcess才是真正的执行主体
根据上面OpenProcess的流程说明,进入内核后,OpenProcess是进入了Ntoskrnl.exe的ZwOpenProcess这个函数,根据这个函数的索引,在SSDT表查找到真正的内核执行体Ntoskrnl.exe的NtOpenProcess函数,然后执行。
首先,我们先找到SSDT表,下面我们来看一个被内核导出的结构KeServiceDescriptorTable.
struct KeServiceDescriptorTable
SSDT表的指针 //这个指向系统服务函数地址表
ServiceCounterTableBase;
NumberOfService; //服务函数的个数
TableBase
end KeServiceDescriptorTable
这里第一个字段就是SSDT表的指针,我们用windbg看一下,先dd KeServiceDescriptorTable
第一个字段是80502b8c,这个就是SSDT表的地址了
我们dd 80502b8c看看SSDT表
里面存放的都是一些NT函数地址。
之前说了Ntoskrnl.exe的ZwOpenProcess函数有个索引,根据索引在SSDT表里查找真正的内核执行体函数Ntoskrnl.exe的NtOpenProcess函数
我们看看ZwOpenProcess,用windbg查看,u nt!ZwOpenProcess
索引号是7Ah
那么Ntoskrnl.exe的NtOpenProcess函数应该存放的位置就是=80502b8ch(SSDT表的开始地址)+7Ah(索引)*4(每个函数的间隔),得到80502D74h
80502D74h处存放的地址是805C2296,这个应该是Ntoskrnl.exe的NtOpenProcess函数的地址,我们看下是不是
果然是的.
所以函数在由R3进R0后,要通过SSDT表的来选择最终执行的内核函数,假设我们想在内核中HOOKOpenProcess这个函数,只需要修改80502d74处存放的地址,放入我们自己写的newNtOpenProcess函数地址,在我们newNtOpenProcess函数中,进行了修改或替换或阻止或放行后执行真正的NtOpenProcess,这就是所谓的SSDThook
那么,我简单说下ssdt表中 hook OpenProcess这个函数步骤
1.先得到Ntoskrnl.exe的NtOpenProcess函数的地址(用MmGetSystemRoutineAddress函数得到内核导出函数地址)
2.再得到SSDT表中Ntoskrnl.exe的NtOpenProcess函数应该存放的位置
(SSDT表的开始地址)+(索引)*4(每个函数的间隔)
SSDT表的开始地址=[KeServiceDescriptorTable->SSDT表的指针]
索引=[Ntoskrnl.exe的zwOpenProcess地址+1]
3.自己建立一个新函数,参数和返回值要和Ntoskrnl.exe的NtOpenProcess函数一模一样
4.把自己的新函数地址写到SSDT表中我们算出来的存放位置处,(mov [(SSDT表的开始地址)+(索引)*4(每个函数的间隔)],新函数地址)
下面是部分重要代码:
执行效果如图:
