[原创]Hook Shadow SSDT-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]Hook Shadow SSDT

发表于: 2008-6-2 23:21 97291

[原创]Hook Shadow SSDT

sislcb

2008-6-2 23:21

97291

网上很多文章都有关于SSDT的完整的实现，但是没有关于Shadow SSDT的完整实现，目前最好的文章是《shadow ssdt学习笔记 by zhuwg》，我这里的程序也很多参考了他的文章，在这里谢谢了。我这里给出一个hook shadow ssdt的完整实现的驱动和3层的代码。

这里主要是hook 了NtUserFindWindowEx，NtUserBuildHwndList，NtUserQueryWindow，NtUserGetForegroundWindow，NtUserWindowFromPoint来防止其他应用程序通过FindWindow，EnumWindow，WindowFromPoint，GetForegroundWindow这些函数来枚举我们的窗口，不过这个程序对于GetWindowText这个东西无法防护，如果有朋友在驱动层实现了对该函数的保护，是否能一起交流呢。

关于hook的流程，看了上面zhuwg的文章，大家应该很好的了解了。下面的代码也很简单。大家随便看看吧，通信方面，随便使用了METHOD_NEITHER方法，这个方法不好，有问题，不过懒得改了，懂驱动的应该很容易改为BUFFERED模式吧。

在这里谢谢给了很多帮助的各位牛人，特别是NetRoc，很细心的帮我测试。。

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

HookShadowSSDT.rar （466.20kb，2286次下载）

收藏・148

免费・8

支持

最新回复 (70) 1 2 3 ▶
DiYhAcK 雪币： 354 活跃值： (10) 能力值： ( LV8，RANK：120 ) 在线值：发帖 6 回帖 96 粉丝 0 关注私信	DiYhAcK 2 2 楼 nice。。。 2008-6-2 23:43 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 3 楼 gooooooooooooooooooood 2008-6-3 08:50 0
hljleo 雪币： 564 活跃值： (42) 能力值： ( LV12，RANK：230 ) 在线值：发帖 13 回帖 130 粉丝 2 关注私信	hljleo 5 4 楼 VERY NICE 2008-6-3 09:24 0
combojiang 雪币： 321 活跃值： (275) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 60 关注私信	combojiang 26 5 楼 if(memcmp((PVOID)dwordatbyte, &KeServiceDescriptorTable, 16) == 0) 这个处理的好，充分利用两者的特点。还有找csrss.exe的句柄用的办法都很不错。好文，学习。 2008-6-3 10:20 0
combojiang 雪币： 321 活跃值： (275) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 60 关注私信	combojiang 26 6 楼目前qq三国游戏中，也采用了类似的手法，hook shadow ssdt。保护常规的API函数。他们是： GetDC GetDCEx WindowFromPoint GetForegroundWindow FindWindowEx EnumWindows EnumChildWindows 此文已被编入rootkit专题中。 2008-6-3 10:29 0
sislcb 雪币： 266 活跃值： (59) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 136 粉丝 6 关注私信	sislcb 7 7 楼恩，其实这也是外挂的保护技术，但是有一个没办法解决，就是GetWindowText这个函数，这个函数在03和xp下的表现是不同的，据《window编程启示录》那里写的，在如果是本进程，则为发送WM_GETTEXT消息，如果为其他进程，则是其他的做法。具体这部分内容，在csdn的读书频道上有。地址如下：762K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0G2L8$3E0Q4x3X3g2U0M7$3c8F1i4K6u0W2L8X3g2@1i4K6u0r3j5X3!0G2K9$3k6A6L8r3g2K6i4K6u0r3y4o6M7J5i4K6u0r3x3e0l9H3y4o6M7J5x3e0j5#2x3K6y4Q4x3X3g2K6K9s2c8E0L8l9`.`. 2008-6-3 12:53 0
HSQ 雪币： 388 活跃值： (280) 能力值： ( LV13，RANK：330 ) 在线值：发帖 36 回帖 332 粉丝 7 关注私信	HSQ 8 8 楼只能说学习，帮顶了。。。 2008-6-4 12:31 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 9 楼 METHOD_NEITHER方法，这个方法不好不用这么说,,其实只要按照规范使用,一样很好建议参考那篇详细的4种io通信解说搜索1下论坛即可 2008-6-7 22:25 0
future 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 87 粉丝 0 关注私信	future 10 楼问一个初级问题，我装了Visual 2005与ddk开发工具包，怎样设置环境可以成功编译，期待中...... 2008-6-8 00:53 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 11 楼楼上的直接进入ddk环境执行build就可以了 2008-6-8 06:27 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 12 楼搜藏了。拿回电脑后慢慢看。 2008-6-8 20:36 0
robar 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 87 粉丝 0 关注私信	robar 13 楼 NICE JOB 2008-6-9 13:18 0
future 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 87 粉丝 0 关注私信	future 14 楼非常感谢“11楼” 的 2008-6-14 11:23 0
笨奔雪币： 415 活跃值： (34) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 748 粉丝 1 关注私信	笨奔 1 15 楼好强大，没的说了。正好有用。 2008-6-15 02:51 0
outrun 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	outrun 16 楼好文章，学习~ 2008-6-15 10:04 0
hack杰雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 72 粉丝 1 关注私信	hack杰 17 楼好好文学习了 2008-6-20 17:35 0
maikkk 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 32 粉丝 0 关注私信	maikkk 18 楼多谢LZ了。 2008-6-24 11:08 0
wwwddd 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 68 粉丝 0 关注私信	wwwddd 19 楼谢谢楼主, 但在我机子上测试了一下,运行都正常,只是ring3程序关闭时候会蓝屏. 2008-8-15 13:21 0
wwwddd 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 68 粉丝 0 关注私信	wwwddd 20 楼找到原因了,是我把驱动部分误操作后再编译,因此安装后的驱动有错. 重新编译正确的版本就好了. 2008-8-15 14:00 0
kgdiwss 雪币： 147 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 59 粉丝 0 关注私信	kgdiwss 21 楼 Handles->Information[r].ObjectTypeNumber == 21 21是XP下的,2K和2K3下这个值是多少? 2008-9-9 22:16 0
MCY 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	MCY 22 楼很高深啊，学习了。 2008-9-10 11:48 0
snowtang 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	snowtang 23 楼非常感谢,太THANKS了 2008-9-27 23:04 0
happywrw 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	happywrw 24 楼卡巴2009的主动怎么过啊？这个貌似过不了卡巴2009 2008-9-28 14:46 0
黑蝙蝠雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	黑蝙蝠 25 楼是哦，卡巴2009的过不了， 2008-9-29 11:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

sislcb

发帖

136

回帖

290

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (70) 1 2 3 ▶
DiYhAcK 雪币： 354 活跃值： (10) 能力值： ( LV8，RANK：120 ) 在线值：发帖 6 回帖 96 粉丝 0 关注私信	DiYhAcK 2 2 楼 nice。。。 2008-6-2 23:43 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 3 楼 gooooooooooooooooooood 2008-6-3 08:50 0
hljleo 雪币： 564 活跃值： (42) 能力值： ( LV12，RANK：230 ) 在线值：发帖 13 回帖 130 粉丝 2 关注私信	hljleo 5 4 楼 VERY NICE 2008-6-3 09:24 0
combojiang 雪币： 321 活跃值： (275) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 60 关注私信	combojiang 26 5 楼 if(memcmp((PVOID)dwordatbyte, &KeServiceDescriptorTable, 16) == 0) 这个处理的好，充分利用两者的特点。还有找csrss.exe的句柄用的办法都很不错。好文，学习。 2008-6-3 10:20 0
combojiang 雪币： 321 活跃值： (275) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 60 关注私信	combojiang 26 6 楼目前qq三国游戏中，也采用了类似的手法，hook shadow ssdt。保护常规的API函数。他们是： GetDC GetDCEx WindowFromPoint GetForegroundWindow FindWindowEx EnumWindows EnumChildWindows 此文已被编入rootkit专题中。 2008-6-3 10:29 0
sislcb 雪币： 266 活跃值： (59) 能力值： ( LV9，RANK：290 ) 在线值：发帖 11 回帖 136 粉丝 6 关注私信	sislcb 7 7 楼恩，其实这也是外挂的保护技术，但是有一个没办法解决，就是GetWindowText这个函数，这个函数在03和xp下的表现是不同的，据《window编程启示录》那里写的，在如果是本进程，则为发送WM_GETTEXT消息，如果为其他进程，则是其他的做法。具体这部分内容，在csdn的读书频道上有。地址如下：762K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0G2L8$3E0Q4x3X3g2U0M7$3c8F1i4K6u0W2L8X3g2@1i4K6u0r3j5X3!0G2K9$3k6A6L8r3g2K6i4K6u0r3y4o6M7J5i4K6u0r3x3e0l9H3y4o6M7J5x3e0j5#2x3K6y4Q4x3X3g2K6K9s2c8E0L8l9`.`. 2008-6-3 12:53 0
HSQ 雪币： 388 活跃值： (280) 能力值： ( LV13，RANK：330 ) 在线值：发帖 36 回帖 332 粉丝 7 关注私信	HSQ 8 8 楼只能说学习，帮顶了。。。 2008-6-4 12:31 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 9 楼 METHOD_NEITHER方法，这个方法不好不用这么说,,其实只要按照规范使用,一样很好建议参考那篇详细的4种io通信解说搜索1下论坛即可 2008-6-7 22:25 0
future 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 87 粉丝 0 关注私信	future 10 楼问一个初级问题，我装了Visual 2005与ddk开发工具包，怎样设置环境可以成功编译，期待中...... 2008-6-8 00:53 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 7 关注私信	zhuwg 11 11 楼楼上的直接进入ddk环境执行build就可以了 2008-6-8 06:27 0
vrowang123 雪币： 257 活跃值： (56) 能力值： ( LV5，RANK：60 ) 在线值：发帖 75 回帖 586 粉丝 0 关注私信	vrowang123 1 12 楼搜藏了。拿回电脑后慢慢看。 2008-6-8 20:36 0
robar 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 87 粉丝 0 关注私信	robar 13 楼 NICE JOB 2008-6-9 13:18 0
future 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 87 粉丝 0 关注私信	future 14 楼非常感谢“11楼” 的 2008-6-14 11:23 0
笨奔雪币： 415 活跃值： (34) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 748 粉丝 1 关注私信	笨奔 1 15 楼好强大，没的说了。正好有用。 2008-6-15 02:51 0
outrun 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	outrun 16 楼好文章，学习~ 2008-6-15 10:04 0
hack杰雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 72 粉丝 1 关注私信	hack杰 17 楼好好文学习了 2008-6-20 17:35 0
maikkk 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 32 粉丝 0 关注私信	maikkk 18 楼多谢LZ了。 2008-6-24 11:08 0
wwwddd 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 68 粉丝 0 关注私信	wwwddd 19 楼谢谢楼主, 但在我机子上测试了一下,运行都正常,只是ring3程序关闭时候会蓝屏. 2008-8-15 13:21 0
wwwddd 雪币： 215 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 68 粉丝 0 关注私信	wwwddd 20 楼找到原因了,是我把驱动部分误操作后再编译,因此安装后的驱动有错. 重新编译正确的版本就好了. 2008-8-15 14:00 0
kgdiwss 雪币： 147 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 59 粉丝 0 关注私信	kgdiwss 21 楼 Handles->Information[r].ObjectTypeNumber == 21 21是XP下的,2K和2K3下这个值是多少? 2008-9-9 22:16 0
MCY 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	MCY 22 楼很高深啊，学习了。 2008-9-10 11:48 0
snowtang 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	snowtang 23 楼非常感谢,太THANKS了 2008-9-27 23:04 0
happywrw 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	happywrw 24 楼卡巴2009的主动怎么过啊？这个貌似过不了卡巴2009 2008-9-28 14:46 0
黑蝙蝠雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	黑蝙蝠 25 楼是哦，卡巴2009的过不了， 2008-9-29 11:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复