Author: 云舒
http://www.ph4nt0m.org
Date: 2007-06-11
论 技术,我还差得远,而且网上关于SSDT的文章也多不胜数。但是还是想自己写一下,因为我想试试我能不能用最简单的语言来描述SSDT——这个对一般来人 来说比较神秘的属于内核的地带。引用EVA说的一句话,“以为写个驱动就是内核,还远着了”——大概是这么个意思,记得不是很清楚。
关于SSDT,描述得最清楚的应该算《SSDT Hook的妙用-对抗ring0 inline hook》一文了,作者是堕落天才。这里引用一下他写的开头部分,略有个别字符的修改:
内 核中有两个系统服务描述符表,一个是KeServiceDescriptorTable,由ntoskrnl.exe导出,一个是 KeServieDescriptorTableShadow,没有导出。这两者都是一个结构体,结构下面会给出。他们的区别是, KeServiceDescriptorTable仅有 ntoskrnel一项,而KeServieDescriptorTableShadow则包含了ntoskrnel和win32k。一般的Native API的服务地址由KeServiceDescriptorTable分派,而gdi.dll和
user.dll的内核API调用服务地址,由 KeServieDescriptorTableShadow分派。还有要清楚一点的是win32k.sys只有在GUI线程中才加载,一般情况下是不加载的。
他们的结构如下:
typedef
struct
_SYSTEM_SERVICE_TABLE
{
PVOID ServiceTableBase;
//
这个指向系统服务函数地址表
PULONG ServiceCounterTableBase;
ULONG NumberOfService;
//
服务函数的个数,NumberOfService*4 就是整个地址表的大小
ULONG ParamTableBase;
}SYSTEM_SERVICE_TABLE,
*
PSYSTEM_SERVICE_TABLE;
typedef
struct
_SERVICE_DESCRIPTOR_TABLE
{
SYSTEM_SERVICE_TABLE ntoskrnel;
//
ntoskrnl.exe的服务函数
SYSTEM_SERVICE_TABLE win32k;
//
win32k.sys的服务函数,(gdi.dll/user.dll的内核支持)
SYSTEM_SERVICE_TABLE NotUsed1;
SYSTEM_SERVICE_TABLE NotUsed2;
}SYSTEM_DESCRIPTOR_TABLE,
*
PSYSTEM_DESCRIPTOR_TABLE;
当系统需要使用一个本机API的时候,就会去查找SYSTEM_DESCRIPTOR_TABLE这个表,也就是由ntoskrnl.exe导出的KeServiceDescriptorTable:
nt
!
RtlpBreakWithStatusInstruction:
80527fc8 cc
int
3
kd
>
dd KeServiceDescriptorTable
80553380
805021fc
00000000
0000011c
80502670
80553390
00000000
00000000
00000000
00000000
805533a0
00000000
00000000
00000000
00000000
805533b0
00000000
00000000
00000000
00000000
805533c0
00002710
bf80c227
00000000
00000000
805533d0 f9e6da80 f963a9e0 816850f0 806e0f40
805533e0
00000000
00000000
00000000
00000000
805533f0 97c5ac40 01c7abf5
00000000
00000000
可 以看到,KeServiceDescriptorTable的地址是80553380。现在看看这个地址保存的是什么,因为
这个地址的值就是 SYSTEM_SERVICE_TABLE的起始地址。好了,我们看到这个地址保存的是805021fc,那么也就是说,系统服务的地址表起始地址为 805021fc了。看看这个表是些什么鬼东西:
kd
>
dd 805021fc
805021fc
80599746
805e6914 805ea15a 805e6946
8050220c 805ea194 805e697c 805ea1d8 805ea21c
8050221c 8060b880 8060c5d2 805e1cac 805e1904
8050222c 805ca928 805ca8d8 8060bea6 805ab334
8050223c 8060b4be 8059dbbc 805a5786 805cc406
8050224c 804ffed0 8060c5c4 8056be64 805353f2
8050225c 80604b90 805b19c0 805ea694 80619a56
8050226c 805eeb86 80599e34 80619caa 805996e6
这 个过程是这样的,最开始是SYSTEM_DESCRIPTOR_TABLE(80553380)保存了SYSTEM_SERVICE_TABLE的地址 (805021fc),SYSTEM_SERVICE_TABLE的地址(805021fc)又保存了很多地址,这个地址就是系统服务的地址了,类似 NtOpenProcess这样的ring0的函数地址。这样,系统就可以方便的找到每一个ring0函数去调用。
我们先看看第一个地址80599746是个什么函数,反汇编一下:
kd
>
u
80599746
nt
!
NtAcceptConnectPort:
80599746
689c000000 push 9Ch
8059974b 6820a14d80 push offset nt
!
_real
+
0x128
(804da120)
80599750
e8abebf9ff call nt
!
_SEH_prolog (
80538300
)
80599755
64a124010000 mov eax,dword ptr fs:[00000124h]
8059975b 8a8040010000 mov al,
byte
ptr [eax
+
140h]
80599761
884590
mov
byte
ptr [ebp
-
70h],al
80599764
84c0 test al,al
80599766
0f84b9010000 je nt
!
NtAcceptConnectPort
+
0x1df
(
80599925
)
原来是NtAcceptConnectPort函数,第二个805e6914呢?我们也看一下,
kd
>
u 805e6914
nt
!
NtAccessCheck:
805e6914 8bff mov edi,edi
805e6916
55
push ebp
805e6917 8bec mov ebp,esp
805e6919 33c0 xor eax,eax
805e691b
50
push eax
805e691c ff7524 push dword ptr [ebp
+
24h]
805e691f
ff7520 push dword ptr [ebp
+
20h]
805e6922 ff751c push dword ptr [ebp
+
1Ch]
原来是NtAccessCheck函数。
这样我们可以清楚的看到,在这个起始地址为0x805021fc的表中,保存了各个ring0函数的地址。下面我来做个简单的比喻。
从 前有一个很大的帮派,名字叫做Windows,功能很多并且很强大。因为这些各方面的能力由各个专人负责,他们一个人做一件事情。随着人员增多,帮主发现 联系起来越来越困了。有一天帮主要找竟然NtOpenProcess来调查一下他的一个手下是不是别的帮派派来的间谍,但是他发现 NtOpenProcess跑不见了。
于是军师就想出了一个好办法来解决这个问题:先建立一个封闭的密室,这个密室只有八袋长老以上的人 才能进去。密室中间有一张纸条,上面写着一个地址——温家堡,还有这个地址放着多少人的联系信息等内容。这个密室就是Ntdll.dll,这个纸条就是 SYSTEM_DESCRIPTOR_TABLE,上写的地址就是SYSTEM_SERVICE_TABLE,也就是温家堡了。这个温家堡是一个有很多大 房间的地方,每个房子有个房间号
,房间里面又放着一张纸条,上面写着各个手下的住所。比如说编号为7A的房间,里面放的是NtOpenProcess的家庭住址。
这 样一来,帮主要找人就容易了。先去密室找到纸条,看看上面写的是温家堡还是白云城,那个地方有多少个人的联系信息等。如果是温家堡就跑到那里去,看看要找 谁,找NtOpenProcess就去7A房间。在这个房间里一看,啊,里面写着NtOpenProcess现在就住在密室的旁边……搞定。
这 里就有一个新的问题,帮主假设这个里面写的东西都是正确的,没有被人改过。于是就有了别派的间谍发现了,偷偷溜进密室,然后根据纸条的内容,又跑到温家 堡。进到7A房间,神不知鬼不觉的把里面记录的NtOpenProcess的地址改成了自己的家。于是,帮主再找人,发现找到对头家里去了。这个就是传说 中的SSDT Hook了。
攻击者进入ring0之后,找到KeServiceDescriptorTable地址的值,即 SYSTEM_SERVICE_TABLE的地址(进入密室,找到纸条写的地址——温家堡)。然后改写SYSTEM_SERVICE_TABLE中一个特 定函数的地址为自己定义的函数入口处,截获了系统调用(来到温家堡,改掉7A房间里面写的住所,改成自己家)。一次HOOK就完成了。
下面我给一段简单的代码,演示怎么样让一个特定的PID不会被杀死。这段代码基本和《SSDT Hook的妙用-对抗ring0 inline hook》一文一样,我只是注释了一下而已,另外在MyNtOpenProcess处加了个判断是不是某个特定PID的功能。