Author: 云舒
http://www.ph4nt0m.org
Date: 2007-06-11
论技术,我还差得远,而且网上关于SSDT的文章也多不胜数。但是还是想自己写一下,因为我想试试我能不能用最简单的语言来描述SSDT——这个对一般来人来说比较神秘的属于内核的地带。引用EVA说的一句话,“以为写个驱动就是内核,还远着了”——大概是这么个意思,记得不是很清楚。
关于SSDT,描述得最清楚的应该算《SSDT Hook的妙用-对抗ring0 inline hook》一文了,作者是堕落天才。这里引用一下他写的开头部分,略有个别字符的修改:
内核中有两个系统服务描述符表,一个是KeServiceDescriptorTable,由ntoskrnl.exe导出,一个是 KeServieDescriptorTableShadow,没有导出。这两者都是一个结构体,结构下面会给出。他们的区别是, KeServiceDescriptorTable仅有 ntoskrnel一项,而KeServieDescriptorTableShadow则包含了ntoskrnel和win32k。一般的Native API的服务地址由KeServiceDescriptorTable分派,而gdi.dll和
user.dll的内核API调用服务地址,由 KeServieDescriptorTableShadow分派。还有要清楚一点的是win32k.sys只有在GUI线程中才加载,一般情况下是不加载的。
他们的结构如下:
typedef
struct
_SYSTEM_SERVICE_TABLE
{
PVOID ServiceTableBase; // 这个指向系统服务函数地址表
PULONG ServiceCounterTableBase;
ULONG NumberOfService; // 服务函数的个数,NumberOfService*4 就是整个地址表的大小
ULONG ParamTableBase;
}SYSTEM_SERVICE_TABLE, * PSYSTEM_SERVICE_TABLE;
typedef struct _SERVICE_DESCRIPTOR_TABLE
{
SYSTEM_SERVICE_TABLE ntoskrnel; // ntoskrnl.exe的服务函数
SYSTEM_SERVICE_TABLE win32k; // win32k.sys的服务函数,(gdi.dll/user.dll的内核支持)
SYSTEM_SERVICE_TABLE NotUsed1;
SYSTEM_SERVICE_TABLE NotUsed2;
}SYSTEM_DESCRIPTOR_TABLE, * PSYSTEM_DESCRIPTOR_TABLE;
{
PVOID ServiceTableBase; // 这个指向系统服务函数地址表
PULONG ServiceCounterTableBase;
ULONG NumberOfService; // 服务函数的个数,NumberOfService*4 就是整个地址表的大小
ULONG ParamTableBase;
}SYSTEM_SERVICE_TABLE, * PSYSTEM_SERVICE_TABLE;
typedef struct _SERVICE_DESCRIPTOR_TABLE
{
SYSTEM_SERVICE_TABLE ntoskrnel; // ntoskrnl.exe的服务函数
SYSTEM_SERVICE_TABLE win32k; // win32k.sys的服务函数,(gdi.dll/user.dll的内核支持)
SYSTEM_SERVICE_TABLE NotUsed1;
SYSTEM_SERVICE_TABLE NotUsed2;
}SYSTEM_DESCRIPTOR_TABLE, * PSYSTEM_DESCRIPTOR_TABLE;
当系统需要使用一个本机API的时候,就会去查找SYSTEM_DESCRIPTOR_TABLE这个表,也就是由ntoskrnl.exe导出的KeServiceDescriptorTable:
nt
!
RtlpBreakWithStatusInstruction:
80527fc8 cc int 3
kd > dd KeServiceDescriptorTable
80553380 805021fc 00000000 0000011c 80502670
80553390 00000000 00000000 00000000 00000000
805533a0 00000000 00000000 00000000 00000000
805533b0 00000000 00000000 00000000 00000000
805533c0 00002710 bf80c227 00000000 00000000
805533d0 f9e6da80 f963a9e0 816850f0 806e0f40
805533e0 00000000 00000000 00000000 00000000
805533f0 97c5ac40 01c7abf5 00000000 00000000
80527fc8 cc int 3
kd > dd KeServiceDescriptorTable
80553380 805021fc 00000000 0000011c 80502670
80553390 00000000 00000000 00000000 00000000
805533a0 00000000 00000000 00000000 00000000
805533b0 00000000 00000000 00000000 00000000
805533c0 00002710 bf80c227 00000000 00000000
805533d0 f9e6da80 f963a9e0 816850f0 806e0f40
805533e0 00000000 00000000 00000000 00000000
805533f0 97c5ac40 01c7abf5 00000000 00000000
可以看到,KeServiceDescriptorTable的地址是80553380。现在看看这个地址保存的是什么,因为这个地址的值就是 SYSTEM_SERVICE_TABLE的起始地址。好了,我们看到这个地址保存的是805021fc,那么也就是说,系统服务的地址表起始地址为 805021fc了。看看这个表是些什么鬼东西:
kd
>
dd 805021fc
805021fc 80599746 805e6914 805ea15a 805e6946
8050220c 805ea194 805e697c 805ea1d8 805ea21c
8050221c 8060b880 8060c5d2 805e1cac 805e1904
8050222c 805ca928 805ca8d8 8060bea6 805ab334
8050223c 8060b4be 8059dbbc 805a5786 805cc406
8050224c 804ffed0 8060c5c4 8056be64 805353f2
8050225c 80604b90 805b19c0 805ea694 80619a56
8050226c 805eeb86 80599e34 80619caa 805996e6
805021fc 80599746 805e6914 805ea15a 805e6946
8050220c 805ea194 805e697c 805ea1d8 805ea21c
8050221c 8060b880 8060c5d2 805e1cac 805e1904
8050222c 805ca928 805ca8d8 8060bea6 805ab334
8050223c 8060b4be 8059dbbc 805a5786 805cc406
8050224c 804ffed0 8060c5c4 8056be64 805353f2
8050225c 80604b90 805b19c0 805ea694 80619a56
8050226c 805eeb86 80599e34 80619caa 805996e6
这个过程是这样的,最开始是SYSTEM_DESCRIPTOR_TABLE(80553380)保存了SYSTEM_SERVICE_TABLE的地址(805021fc),SYSTEM_SERVICE_TABLE的地址(805021fc)又保存了很多地址,这个地址就是系统服务的地址了,类似 NtOpenProcess这样的ring0的函数地址。这样,系统就可以方便的找到每一个ring0函数去调用。
我们先看看第一个地址80599746是个什么函数,反汇编一下:
kd
>
u
80599746
nt ! NtAcceptConnectPort:
80599746 689c000000 push 9Ch
8059974b 6820a14d80 push offset nt ! _real + 0x128 (804da120)
80599750 e8abebf9ff call nt ! _SEH_prolog ( 80538300 )
80599755 64a124010000 mov eax,dword ptr fs:[00000124h]
8059975b 8a8040010000 mov al, byte ptr [eax + 140h]
80599761 884590 mov byte ptr [ebp - 70h],al
80599764 84c0 test al,al
80599766 0f84b9010000 je nt ! NtAcceptConnectPort + 0x1df ( 80599925 )
nt ! NtAcceptConnectPort:
80599746 689c000000 push 9Ch
8059974b 6820a14d80 push offset nt ! _real + 0x128 (804da120)
80599750 e8abebf9ff call nt ! _SEH_prolog ( 80538300 )
80599755 64a124010000 mov eax,dword ptr fs:[00000124h]
8059975b 8a8040010000 mov al, byte ptr [eax + 140h]
80599761 884590 mov byte ptr [ebp - 70h],al
80599764 84c0 test al,al
80599766 0f84b9010000 je nt ! NtAcceptConnectPort + 0x1df ( 80599925 )
原来是NtAcceptConnectPort函数,第二个805e6914呢?我们也看一下,
kd
>
u 805e6914
nt ! NtAccessCheck:
805e6914 8bff mov edi,edi
805e6916 55 push ebp
805e6917 8bec mov ebp,esp
805e6919 33c0 xor eax,eax
805e691b 50 push eax
805e691c ff7524 push dword ptr [ebp + 24h]
805e691f ff7520 push dword ptr [ebp + 20h]
805e6922 ff751c push dword ptr [ebp + 1Ch]
nt ! NtAccessCheck:
805e6914 8bff mov edi,edi
805e6916 55 push ebp
805e6917 8bec mov ebp,esp
805e6919 33c0 xor eax,eax
805e691b 50 push eax
805e691c ff7524 push dword ptr [ebp + 24h]
805e691f ff7520 push dword ptr [ebp + 20h]
805e6922 ff751c push dword ptr [ebp + 1Ch]
原来是NtAccessCheck函数。
这样我们可以清楚的看到,在这个起始地址为0x805021fc的表中,保存了各个ring0函数的地址。下面我来做个简单的比喻。
从前有一个很大的帮派,名字叫做Windows,功能很多并且很强大。因为这些各方面的能力由各个专人负责,他们一个人做一件事情。随着人员增多,帮主发现联系起来越来越困了。有一天帮主要找竟然NtOpenProcess来调查一下他的一个手下是不是别的帮派派来的间谍,但是他发现 NtOpenProcess跑不见了。
于是军师就想出了一个好办法来解决这个问题:先建立一个封闭的密室,这个密室只有八袋长老以上的人才能进去。密室中间有一张纸条,上面写着一个地址——温家堡,还有这个地址放着多少人的联系信息等内容。这个密室就是Ntdll.dll,这个纸条就是 SYSTEM_DESCRIPTOR_TABLE,上写的地址就是SYSTEM_SERVICE_TABLE,也就是温家堡了。这个温家堡是一个有很多大房间的地方,每个房子有个房间号
,房间里面又放着一张纸条,上面写着各个手下的住所。比如说编号为7A的房间,里面放的是NtOpenProcess的家庭住址。
这样一来,帮主要找人就容易了。先去密室找到纸条,看看上面写的是温家堡还是白云城,那个地方有多少个人的联系信息等。如果是温家堡就跑到那里去,看看要找谁,找NtOpenProcess就去7A房间。在这个房间里一看,啊,里面写着NtOpenProcess现在就住在密室的旁边……搞定。
这里就有一个新的问题,帮主假设这个里面写的东西都是正确的,没有被人改过。于是就有了别派的间谍发现了,偷偷溜进密室,然后根据纸条的内容,又跑到温家堡。进到7A房间,神不知鬼不觉的把里面记录的NtOpenProcess的地址改成了自己的家。于是,帮主再找人,发现找到对头家里去了。这个就是传说中的SSDT Hook了。
攻击者进入ring0之后,找到KeServiceDescriptorTable地址的值,即 SYSTEM_SERVICE_TABLE的地址(进入密室,找到纸条写的地址——温家堡)。然后改写SYSTEM_SERVICE_TABLE中一个特定函数的地址为自己定义的函数入口处,截获了系统调用(来到温家堡,改掉7A房间里面写的住所,改成自己家)。一次HOOK就完成了。
下面我给一段简单的代码,演示怎么样让一个特定的PID不会被杀死。这段代码基本和《SSDT Hook的妙用-对抗ring0 inline hook》一文一样,我只是注释了一下而已,另外在MyNtOpenProcess处加了个判断是不是某个特定PID的功能。
/*
演示HOOK系统服务调用表中的NtOpenProcess函数,保护需要保护的进程被,防止被杀掉
*/
#include < ntddk.h >
/*
KeServiceDescriptorTable仅有ntoskrnel一项,没有包含win32k,而且后面的两个字段都没有使用,所
以为了简便直接把SystemServiceDescriptorTable定义成SYSTEM_SERVICE_TABLE,免得访问多个结构体的
字段,麻烦。这里明白就行了。
*/
typedef struct _SystemServiceDescriptorTable
{
PVOID ServiceTableBase;
PULONG ServiceCounterTableBase;
ULONG NumberOfService;
ULONG ParamTableBase;
}SystemServiceDescriptorTable, * PSystemServiceDescriptorTable;
// KeServiceDescriptorTable为ntoskrnl.exe导出
extern PSystemServiceDescriptorTable KeServiceDescriptorTable;
// 定义一下NtOpenProcess的原型,下面如果用汇编调用就不用定义了,但是我想尽量不用汇编
typedef NTSTATUS (__stdcall * NTOPENPROCESS)( OUT PHANDLE ProcessHandle,
IN ACCESS_MASK AccessMask,
IN POBJECT_ATTRIBUTES ObjectAttributes,
IN PCLIENT_ID ClientId
);
NTOPENPROCESS RealNtOpenProcess;
// 定义函数原型
VOID Hook();
VOID Unhook();
VOID OnUnload(IN PDRIVER_OBJECT DriverObject);
// 真实的函数地址,我们会在自定义的函数中调用
ULONG RealServiceAddress;
// 需要被驱动保护的进程ID
HANDLE MyPID;
// 自定义的NtOpenProcess函数
NTSTATUS __stdcall MyNtOpenProcess( OUT PHANDLE ProcessHandle,
IN ACCESS_MASK DesiredAccess,
IN POBJECT_ATTRIBUTES ObjectAttributes,
IN PCLIENT_ID ClientId )
{
NTSTATUS rc;
ULONG PID;
// DbgPrint( "NtOpenProcess() called./n" );
rc = (NTSTATUS)(NTOPENPROCESS)RealNtOpenProcess( ProcessHandle, DesiredAccess,
ObjectAttributes, ClientId );
if ( (ClientId != NULL) )
{
PID = (ULONG)ClientId -> UniqueProcess;
// DbgPrint( "%d was opened,Handle is %d./n", PID, (ULONG)ProcessHandle );
// 如果进程PID是1520,直接返回权限不足,并将句柄设置为空
if ( PID == 1520 )
{
DbgPrint( " Some want to open pid 1520!/n " );
ProcessHandle = NULL;
rc = STATUS_ACCESS_DENIED;
}
}
return rc;
}
// 驱动入口
NTSTATUS DriverEntry( IN PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath )
{
DriverObject -> DriverUnload = OnUnload;
Hook();
return STATUS_SUCCESS;
}
// 驱动卸载
VOID OnUnload(IN PDRIVER_OBJECT DriverObject)
{
Unhook( );
}
// 此处修改SSDT中的NtOpenProcess服务地址
VOID Hook()
{
ULONG Address;
// 0x7A为Winxp+SP2下NtOpenProcess服务ID号
// Adress是个地址A,这个地址的数据还是一个地址B,这个地址B就是NtOpenProcess的地址了
// (ULONG)KeServiceDescriptorTable->ServiceTableBase就是温家堡的第一个房间
// Address是第7A个房间。
Address = (ULONG)KeServiceDescriptorTable -> ServiceTableBase + 0x7A * 4 ;
// 取得地址A的值,也就是NtOpenProcess服务的地址了,保存原来NtOpenProcess的地址以后恢
复用
RealServiceAddress = * (ULONG * )Address;
RealNtOpenProcess = (NTOPENPROCESS)RealServiceAddress;
DbgPrint( " Address of Real NtOpenProcess: 0x%08X/n " , RealServiceAddress );
DbgPrint( " Address of MyNtOpenProcess: 0x%08X/n " , MyNtOpenProcess );
// 去掉内存保护
__asm
{
cli
mov eax, cr0
and eax, not 10000h
mov cr0, eax
}
// 修改SSDT中NtOpenProcess服务的地址
* ((ULONG * )Address) = (ULONG)MyNtOpenProcess;
// 恢复内存保护
__asm
{
mov eax, cr0
or eax, 10000h
mov cr0, eax
sti
}
}
//////////////////////////////////////////////////////
VOID Unhook()
{
ULONG Address;
Address = (ULONG)KeServiceDescriptorTable -> ServiceTableBase + 0x7A * 4 ;
__asm
{
cli
mov eax, cr0
and eax, not 10000h
mov cr0, eax
}
// 还原SSDT
* ((ULONG * )Address) = (ULONG)RealServiceAddress;
__asm
{
mov eax, cr0
or eax, 10000h
mov cr0, eax
sti
}
DbgPrint( " Unhook " );
}
演示HOOK系统服务调用表中的NtOpenProcess函数,保护需要保护的进程被,防止被杀掉
*/
#include < ntddk.h >
/*
KeServiceDescriptorTable仅有ntoskrnel一项,没有包含win32k,而且后面的两个字段都没有使用,所
以为了简便直接把SystemServiceDescriptorTable定义成SYSTEM_SERVICE_TABLE,免得访问多个结构体的
字段,麻烦。这里明白就行了。
*/
typedef struct _SystemServiceDescriptorTable
{
PVOID ServiceTableBase;
PULONG ServiceCounterTableBase;
ULONG NumberOfService;
ULONG ParamTableBase;
}SystemServiceDescriptorTable, * PSystemServiceDescriptorTable;
// KeServiceDescriptorTable为ntoskrnl.exe导出
extern PSystemServiceDescriptorTable KeServiceDescriptorTable;
// 定义一下NtOpenProcess的原型,下面如果用汇编调用就不用定义了,但是我想尽量不用汇编
typedef NTSTATUS (__stdcall * NTOPENPROCESS)( OUT PHANDLE ProcessHandle,
IN ACCESS_MASK AccessMask,
IN POBJECT_ATTRIBUTES ObjectAttributes,
IN PCLIENT_ID ClientId
);
NTOPENPROCESS RealNtOpenProcess;
// 定义函数原型
VOID Hook();
VOID Unhook();
VOID OnUnload(IN PDRIVER_OBJECT DriverObject);
// 真实的函数地址,我们会在自定义的函数中调用
ULONG RealServiceAddress;
// 需要被驱动保护的进程ID
HANDLE MyPID;
// 自定义的NtOpenProcess函数
NTSTATUS __stdcall MyNtOpenProcess( OUT PHANDLE ProcessHandle,
IN ACCESS_MASK DesiredAccess,
IN POBJECT_ATTRIBUTES ObjectAttributes,
IN PCLIENT_ID ClientId )
{
NTSTATUS rc;
ULONG PID;
// DbgPrint( "NtOpenProcess() called./n" );
rc = (NTSTATUS)(NTOPENPROCESS)RealNtOpenProcess( ProcessHandle, DesiredAccess,
ObjectAttributes, ClientId );
if ( (ClientId != NULL) )
{
PID = (ULONG)ClientId -> UniqueProcess;
// DbgPrint( "%d was opened,Handle is %d./n", PID, (ULONG)ProcessHandle );
// 如果进程PID是1520,直接返回权限不足,并将句柄设置为空
if ( PID == 1520 )
{
DbgPrint( " Some want to open pid 1520!/n " );
ProcessHandle = NULL;
rc = STATUS_ACCESS_DENIED;
}
}
return rc;
}
// 驱动入口
NTSTATUS DriverEntry( IN PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath )
{
DriverObject -> DriverUnload = OnUnload;
Hook();
return STATUS_SUCCESS;
}
// 驱动卸载
VOID OnUnload(IN PDRIVER_OBJECT DriverObject)
{
Unhook( );
}
// 此处修改SSDT中的NtOpenProcess服务地址
VOID Hook()
{
ULONG Address;
// 0x7A为Winxp+SP2下NtOpenProcess服务ID号
// Adress是个地址A,这个地址的数据还是一个地址B,这个地址B就是NtOpenProcess的地址了
// (ULONG)KeServiceDescriptorTable->ServiceTableBase就是温家堡的第一个房间
// Address是第7A个房间。
Address = (ULONG)KeServiceDescriptorTable -> ServiceTableBase + 0x7A * 4 ;
// 取得地址A的值,也就是NtOpenProcess服务的地址了,保存原来NtOpenProcess的地址以后恢
复用
RealServiceAddress = * (ULONG * )Address;
RealNtOpenProcess = (NTOPENPROCESS)RealServiceAddress;
DbgPrint( " Address of Real NtOpenProcess: 0x%08X/n " , RealServiceAddress );
DbgPrint( " Address of MyNtOpenProcess: 0x%08X/n " , MyNtOpenProcess );
// 去掉内存保护
__asm
{
cli
mov eax, cr0
and eax, not 10000h
mov cr0, eax
}
// 修改SSDT中NtOpenProcess服务的地址
* ((ULONG * )Address) = (ULONG)MyNtOpenProcess;
// 恢复内存保护
__asm
{
mov eax, cr0
or eax, 10000h
mov cr0, eax
sti
}
}
//////////////////////////////////////////////////////
VOID Unhook()
{
ULONG Address;
Address = (ULONG)KeServiceDescriptorTable -> ServiceTableBase + 0x7A * 4 ;
__asm
{
cli
mov eax, cr0
and eax, not 10000h
mov cr0, eax
}
// 还原SSDT
* ((ULONG * )Address) = (ULONG)RealServiceAddress;
__asm
{
mov eax, cr0
or eax, 10000h
mov cr0, eax
sti
}
DbgPrint( " Unhook " );
}