[原创]Win32Asm 驱动学习笔记《 HOOK SSDT》-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]Win32Asm 驱动学习笔记《 HOOK SSDT》

发表于: 2013-8-6 12:00 12964

[原创]Win32Asm 驱动学习笔记《 HOOK SSDT》

非安全

2013-8-6 12:00

12964

SYSCALL_INDEX MACRO lpZwproc:REQ
mov eax, lpZwproc

mov eax,[eax+2] ;jmp dword ptr ds:[0F7B24390h]
mov eax,[eax] ; ZwTerminateProcess Base
mov eax,[eax+1] ;NtTerminateProcess Index
EXITM <eax>
endm

;***************************************************************************
; 一个简单的HOOK SSDT 框架 by nohacks WebHome: 274K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3S2A6i4K6u0W2j5X3q4A6k6s2g2Q4x3X3g2U0L8$3#2Q4x3V1k6F1L8$3S2S2j5$3E0K6
;***************************************************************************

.386
.model flat, stdcall
option casemap:none

include w2k\ntstatus.inc
include w2k\ntddk.inc
include w2k\ntoskrnl.inc
include w2k\w2kundoc.inc

includelib \RadASM\masm32\lib\w2k\ntoskrnl.lib

include \RadASM\masm32\Macros\Strings.mac

;******************************************************************************

; 根据给出的服务对应的Zw函数返回服务号，例如：SYSCALL_INDEX(ZwTerminateProcess)

;******************************************************************************

SYSCALL_INDEX MACRO lpZwproc:REQ
mov eax, lpZwproc

mov eax,[eax+2] ;jmp dword ptr ds:[0F7B24390h]
mov eax,[eax] ; ZwTerminateProcess Base
mov eax,[eax+1] ;NtTerminateProcess Index
EXITM <eax>
endm

.data ?

OldProc dd ? ;用来保存原来的服务地址

.code

;***************************************************************************
; 根据给出的服务序号和替代服务地址修改ssdt表，返回值为原服务地址
;***************************************************************************
EditSSDT proc uses ecx dwIndex:dword,lpNowProc:dword

mov ecx, dwIndex ;服务号
mov eax, KeServiceDescriptorTable ;KSDT ,ntoskrnel SYSTEM_SERVICE_TABLE

mov eax,[eax] ; KSDT的指针

.if ecx>[eax+8] ;判断服务序号是否超出服务总数

mov eax,FALSE
ret

.endif

mov eax,[eax] ;SSDT的指针

pop [eax+ecx*4] ;保存原来的ServerBase

lea ecx,[eax+ecx*4] ;取序号地址也就是 mov ecx,eax+ecx*4

push ecx ;保护ecx， MmIsAddressValid函数会修改ECX的值
invoke MmIsAddressValid,[ecx] ;检查地址是否有效
pop ecx

.if al== FALSE

jmp retun

.endif

;去掉写保护
push eax
cli
mov eax, cr0
and eax, not 10000h
mov cr0, eax
pop eax

;修改 SSDT
push lpNowProc
pop [ecx]

;恢复写保护
push eax
mov eax, cr0
or eax, 10000h
mov cr0, eax
sti
pop eax

retun:

pop eax ;原来的ServerBase

ret

EditSSDT endp

登录后可查看完整内容

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

收藏・15

免费・5

支持

最新回复 (22)
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 2 楼汇编很好玩吗？ 2013-8-6 12:05 0
linhanshi 雪币： 106728 活跃值： (202444) 能力值： (RANK：10 ) 在线值：发帖 9314 回帖 28042 粉丝 486 关注私信	linhanshi 3 楼 +1 2013-8-6 12:15 0
viphack 雪币： 217 活跃值： (898) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1010 粉丝 44 关注私信	viphack 4 4 楼 +2 2013-8-6 12:40 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 5 楼感谢共享谢谢 2013-8-6 12:53 0
学雄雪币： 371 活跃值： (72) 能力值： ( LV5，RANK：60 ) 在线值：发帖 19 回帖 426 粉丝 0 关注私信	学雄 1 6 楼汇编很好玩吗? 如果没有后面的注释,可读性一塌糊涂,敢不敢后面不写注释 2013-8-6 13:26 0
非安全雪币： 750 活跃值： (227) 能力值： ( LV9，RANK：780 ) 在线值：发帖 63 回帖 487 粉丝 12 关注私信	非安全 17 7 楼呵呵，每个人的环境不一样，我是业余玩家，写驱动只会W32ASM不会其它。写注释是因为照顾象我一样的新手朋友因为我的代码完全是能用API就用API 所以有点汇编基础的人应该都能看懂希望我的回答你能满意，谢谢！ 2013-8-6 13:32 0
八十客车雪币： 245 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 135 粉丝 0 关注私信	八十客车 8 楼谢谢楼主分享 2013-8-6 14:00 0
小烦雪币： 167 活跃值： (200) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 189 粉丝 5 关注私信	小烦 1 9 楼汇编很好玩汇编能力强读程序代码能力不可能弱！ 2013-8-6 14:27 0
非安全雪币： 750 活跃值： (227) 能力值： ( LV9，RANK：780 ) 在线值：发帖 63 回帖 487 粉丝 12 关注私信	非安全 17 10 楼还不错。。。。 2013-8-6 14:39 0
leelittle 雪币： 224 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 85 粉丝 0 关注私信	leelittle 11 楼正在学习琢石成器，希望能早日看懂楼主的大作 2013-8-6 15:48 0
pxhb 雪币： 7278 活跃值： (5356) 能力值： ( LV7，RANK：110 ) 在线值：发帖 10 回帖 429 粉丝 22 关注私信	pxhb 2 12 楼还可以，很喜欢用RadAsm 2013-8-6 17:01 0
hilylwz 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 17 粉丝 0 关注私信	hilylwz 13 楼楼主能否把开发环境“RadAsm(Masm+Kmdkit)整合版”共享一下啊：） 2013-8-7 11:22 0
非安全雪币： 750 活跃值： (227) 能力值： ( LV9，RANK：780 ) 在线值：发帖 63 回帖 487 粉丝 12 关注私信	非安全 17 14 楼 8dbK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3u0S2K9h3c8#2i4K6u0W2j5$3!0E0i4K6u0r3L8r3W2F1K9#2)9K6c8Y4g2J5L8q4)9K6c8q4A6x3j5e0W2x3N6q4m8w2x3%4b7K6x3s2N6n7y4r3g2^5k6p5f1^5K9$3g2b7g2@1I4n7k6Y4m8t1K9V1S2J5f1e0q4e0e0i4u0g2M7e0S2X3M7@1y4G2x3#2)9J5k6p5p5#2f1p5M7K6d9e0N6f1M7%4m8E0N6i4W2x3i4K6g2X3L8e0N6m8K9p5W2&6b7V1A6S2b7@1)9%4g2V1y4Y4e0g2S2h3z5o6u0u0L8f1W2m8j5b7`.`." target="_blank">RadASM下载\|RadASM 2.2.1.9 增强版 2013-8-7 11:26 0
路独行雪币： 29 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 142 粉丝 0 关注私信	路独行 15 楼看来还有人玩汇编驱动....找到同类的感觉确实不错. 另回答上面的问题汇编确实好玩....像我这类新手除了汇编容易一点入门外其它怕是想搞清楚来龙去脉还是相当的麻烦 2013-8-8 21:48 0
zyr零零发雪币： 808 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 330 粉丝 0 关注私信	zyr零零发 1 16 楼汇编接触系统底层，用多了感觉和c没有区别。 radasm非常不错。 2013-8-9 08:05 0
小龙程序雪币： 67 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 129 粉丝 0 关注私信	小龙程序 17 楼非常不错的贴子！我喜欢汇编 2013-8-10 01:38 0
cnxxm 雪币： 478 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 53 回帖 473 粉丝 1 关注私信	cnxxm 18 楼学习中。。。。。 2013-8-10 03:38 0
skyercao 雪币： 114 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	skyercao 19 楼冷嘲热讽很好玩么? 2013-8-11 12:57 0
AsmCoder 雪币： 57 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 0 关注私信	AsmCoder 20 楼 push [eax+ecx4] ;压入原来的ServerBase lea ecx,[eax+ecx4] ;取序号地址也就是 mov ecx,eax+ecx*4 push ecx ;保护ecx， MmIsAddressValid函数会修改ECX的值 invoke MmIsAddressValid,ecx ;检查地址是否有效 .if al== FALSE ;建议加上add esp,8 ret .endif 这样的写法很危险. 当al为false的时候，未平衡堆栈直接使用了ret ，当然这个函数因为有参数不会出错如果没有参数和变量，当al为false的时候会出错. 例：将生成： test1 将出错, test2 与 test3 正常上传的附件： 1.jpg （25.51kb，3次下载） 2.jpg （20.63kb，2次下载） 3.jpg （20.80kb，2次下载） 2013-8-12 15:02 0
AsmCoder 雪币： 57 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 0 关注私信	AsmCoder 21 楼仔细的读了下，发现lz取ssdt序号的思路不错. 我以前是用内核工具查看对应函数的序号直接拿来用.受教了。一点小建议，SYSCALL_INDEX 宏里直接使用eax就可以不用去注意保存ecx了. 2013-8-12 15:17 0
非安全雪币： 750 活跃值： (227) 能力值： ( LV9，RANK：780 ) 在线值：发帖 63 回帖 487 粉丝 12 关注私信	非安全 17 22 楼 [QUOTE=AsmCoder;1208932]push [eax+ecx4] ;压入原来的ServerBase lea ecx,[eax+ecx4] ;取序号地址也就是 mov e...[/QUOTE] 受教了，一直没注意这方面的问题。我修改了下代码，在判断返回前就恢复堆栈。 2013-8-12 16:47 0
非安全雪币： 750 活跃值： (227) 能力值： ( LV9，RANK：780 ) 在线值：发帖 63 回帖 487 粉丝 12 关注私信	非安全 17 23 楼谢谢你的建议，已经修改。之前是出于调用程序可能用EAX和SYSCALL_INDEX宏同时做为参数的考虑。 2013-8-12 17:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

非安全

发帖

487

回帖

780

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 2 楼汇编很好玩吗？ 2013-8-6 12:05 0
linhanshi 雪币： 106728 活跃值： (202444) 能力值： (RANK：10 ) 在线值：发帖 9314 回帖 28042 粉丝 486 关注私信	linhanshi 3 楼 +1 2013-8-6 12:15 0
viphack 雪币： 217 活跃值： (898) 能力值： (RANK：290 ) 在线值：发帖 135 回帖 1010 粉丝 44 关注私信	viphack 4 4 楼 +2 2013-8-6 12:40 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 5 楼感谢共享谢谢 2013-8-6 12:53 0
学雄雪币： 371 活跃值： (72) 能力值： ( LV5，RANK：60 ) 在线值：发帖 19 回帖 426 粉丝 0 关注私信	学雄 1 6 楼汇编很好玩吗? 如果没有后面的注释,可读性一塌糊涂,敢不敢后面不写注释 2013-8-6 13:26 0
非安全雪币： 750 活跃值： (227) 能力值： ( LV9，RANK：780 ) 在线值：发帖 63 回帖 487 粉丝 12 关注私信	非安全 17 7 楼呵呵，每个人的环境不一样，我是业余玩家，写驱动只会W32ASM不会其它。写注释是因为照顾象我一样的新手朋友因为我的代码完全是能用API就用API 所以有点汇编基础的人应该都能看懂希望我的回答你能满意，谢谢！ 2013-8-6 13:32 0
八十客车雪币： 245 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 135 粉丝 0 关注私信	八十客车 8 楼谢谢楼主分享 2013-8-6 14:00 0
小烦雪币： 167 活跃值： (200) 能力值： ( LV5，RANK：60 ) 在线值：发帖 27 回帖 189 粉丝 5 关注私信	小烦 1 9 楼汇编很好玩汇编能力强读程序代码能力不可能弱！ 2013-8-6 14:27 0
非安全雪币： 750 活跃值： (227) 能力值： ( LV9，RANK：780 ) 在线值：发帖 63 回帖 487 粉丝 12 关注私信	非安全 17 10 楼还不错。。。。 2013-8-6 14:39 0
leelittle 雪币： 224 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 85 粉丝 0 关注私信	leelittle 11 楼正在学习琢石成器，希望能早日看懂楼主的大作 2013-8-6 15:48 0
pxhb 雪币： 7278 活跃值： (5356) 能力值： ( LV7，RANK：110 ) 在线值：发帖 10 回帖 429 粉丝 22 关注私信	pxhb 2 12 楼还可以，很喜欢用RadAsm 2013-8-6 17:01 0
hilylwz 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 17 粉丝 0 关注私信	hilylwz 13 楼楼主能否把开发环境“RadAsm(Masm+Kmdkit)整合版”共享一下啊：） 2013-8-7 11:22 0
非安全雪币： 750 活跃值： (227) 能力值： ( LV9，RANK：780 ) 在线值：发帖 63 回帖 487 粉丝 12 关注私信	非安全 17 14 楼 8dbK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3u0S2K9h3c8#2i4K6u0W2j5$3!0E0i4K6u0r3L8r3W2F1K9#2)9K6c8Y4g2J5L8q4)9K6c8q4A6x3j5e0W2x3N6q4m8w2x3%4b7K6x3s2N6n7y4r3g2^5k6p5f1^5K9$3g2b7g2@1I4n7k6Y4m8t1K9V1S2J5f1e0q4e0e0i4u0g2M7e0S2X3M7@1y4G2x3#2)9J5k6p5p5#2f1p5M7K6d9e0N6f1M7%4m8E0N6i4W2x3i4K6g2X3L8e0N6m8K9p5W2&6b7V1A6S2b7@1)9%4g2V1y4Y4e0g2S2h3z5o6u0u0L8f1W2m8j5b7`.`." target="_blank">RadASM下载\|RadASM 2.2.1.9 增强版 2013-8-7 11:26 0
路独行雪币： 29 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 39 回帖 142 粉丝 0 关注私信	路独行 15 楼看来还有人玩汇编驱动....找到同类的感觉确实不错. 另回答上面的问题汇编确实好玩....像我这类新手除了汇编容易一点入门外其它怕是想搞清楚来龙去脉还是相当的麻烦 2013-8-8 21:48 0
zyr零零发雪币： 808 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 330 粉丝 0 关注私信	zyr零零发 1 16 楼汇编接触系统底层，用多了感觉和c没有区别。 radasm非常不错。 2013-8-9 08:05 0
小龙程序雪币： 67 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 129 粉丝 0 关注私信	小龙程序 17 楼非常不错的贴子！我喜欢汇编 2013-8-10 01:38 0
cnxxm 雪币： 478 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 53 回帖 473 粉丝 1 关注私信	cnxxm 18 楼学习中。。。。。 2013-8-10 03:38 0
skyercao 雪币： 114 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	skyercao 19 楼冷嘲热讽很好玩么? 2013-8-11 12:57 0
AsmCoder 雪币： 57 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 0 关注私信	AsmCoder 20 楼 push [eax+ecx4] ;压入原来的ServerBase lea ecx,[eax+ecx4] ;取序号地址也就是 mov ecx,eax+ecx*4 push ecx ;保护ecx， MmIsAddressValid函数会修改ECX的值 invoke MmIsAddressValid,ecx ;检查地址是否有效 .if al== FALSE ;建议加上add esp,8 ret .endif 这样的写法很危险. 当al为false的时候，未平衡堆栈直接使用了ret ，当然这个函数因为有参数不会出错如果没有参数和变量，当al为false的时候会出错. 例：将生成： test1 将出错, test2 与 test3 正常上传的附件： 1.jpg （25.51kb，3次下载） 2.jpg （20.63kb，2次下载） 3.jpg （20.80kb，2次下载） 2013-8-12 15:02 0
AsmCoder 雪币： 57 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 0 关注私信	AsmCoder 21 楼仔细的读了下，发现lz取ssdt序号的思路不错. 我以前是用内核工具查看对应函数的序号直接拿来用.受教了。一点小建议，SYSCALL_INDEX 宏里直接使用eax就可以不用去注意保存ecx了. 2013-8-12 15:17 0
非安全雪币： 750 活跃值： (227) 能力值： ( LV9，RANK：780 ) 在线值：发帖 63 回帖 487 粉丝 12 关注私信	非安全 17 22 楼 [QUOTE=AsmCoder;1208932]push [eax+ecx4] ;压入原来的ServerBase lea ecx,[eax+ecx4] ;取序号地址也就是 mov e...[/QUOTE] 受教了，一直没注意这方面的问题。我修改了下代码，在判断返回前就恢复堆栈。 2013-8-12 16:47 0
非安全雪币： 750 活跃值： (227) 能力值： ( LV9，RANK：780 ) 在线值：发帖 63 回帖 487 粉丝 12 关注私信	非安全 17 23 楼谢谢你的建议，已经修改。之前是出于调用程序可能用EAX和SYSCALL_INDEX宏同时做为参数的考虑。 2013-8-12 17:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复