驱动开发笔记3—SSDT表详解

原创 已于 2022-04-25 18:23:49 修改 · 4.4k 阅读 · 18
标签
#windows #内核
于 2021-10-09 22:39:02 首次发布
本文详细介绍了系统服务描述表(SSDT)在Windows操作系统中的作用,它是内核处理API调用的关键结构。SSDT包含了一系列Nt函数,如NtAcceptConnectPort、NtAccessCheck等,通过服务函数的索引可以在Ring3层进入Ring0层进行系统调用。文章还展示了如何获取SSDT表的基地址和服务函数的索引,涉及了在x86和x64平台上的不同计算方式,并提供了访问ntkrnlpa.exe和ntdll.dll中SSDT函数索引的示例代码。

开发板推荐:天空星STM32F407VET6开发板

超高性价比 STM32主控 | 超高主频 | 一板兼容百芯 | 比赛神器 | 沉金彩色丝印

点击查看

SSDT表

SSDT的全称是"System Services Descriptor Table",即系统服务描述表,在内核中的实际名称是KeServiceDescriptorTable,这个表由ntoskrnl.exe导出(在x64里不导出)。

SSDT用于处理应用层通过Kernel32.dll下发的各个API操作请求。ntdll.dll中的API是一个简单的包装函数,当Kernel32.dll中的API通过Ntdll.dll时,会先完成对参数的检查,再调用一个中断(int 2Eh 或者 SysEnter指令),从而实现从Ring3层进入Ring0层,并将要调用的服务号(也就是SSDT数组中的索引号index值)存放到寄存器EAX中,最后根据存放在EAX中的索引值在SSDT数组中调用指定的服务(Nt系列函数)。
在这里插入图片描述

KeServiceDescriptorTable变量是在NTOS模块中导出的一个全局变量,声明一下就可以用
3: kd> dd KeServiceDescriptorTable
849acb00 848c143c 00000000 00000191 848c1a84
(其中,848c143c就是SSDT表的基地址,00000191是SSDT表中服务函数的个数)

extern PSYSTEM_SERVICE_DESCRIPTOR_TABLE	KeServiceDescriptorTable;

typedef struct _SYSTEM_SERVICE_DESCRIPTOR_TABLE
{
   
   
	PVOID		ServiceTableBase;			//SSDT表的基地址
	PVOID		ServiceCounterTableBase;
	ULONG_PTR	NumberOfServices;			//SSDT表中服务函数的个数
	PVOID		ParameterTableBase;
}SYSTEM_SERVICE_DESCRIPTOR_TABLE, *PSYSTEM_SERVICE_DESCRIPTOR_TABLE;

知道了SSDT表的基地址(数组的首地址)和SSDT函数的索引号(Index),就可以求出对应的服务函数的地址。
在x86平台上: FuncAddress = KeServiceDescriptorTable + 4 * Index
在x64平台上:FuncAddress = [KeServiceDescriptorTable+4*Index]>>4 + KeServiceDescriptorTable
在这里插入图片描述

获得SSDT表中Nt函数索引的方法:

先获得Zw函数的地址,然后加一个字节得到Nt函数的索引
注意:
ntkrnlpa.exe的物理内存是映射到Ring0层内存空间的,和我们的进程(xxx.sys)是在一片内存空间中,因此可以直接访问。
ntdll.dll的物理内存是映射在Ring3层内存空间的(映射到每一个应用程序的内存中),我们的进程(xxx.sys)若想要访问ntdll.dll的数据,需要先把它的物理内存映射到自己(xxx.sys)的内存空间,然后才能访问。

1. 直接访问ntkrnlpa.exe中的SSDT表

UNICODE_STRING v1;
RtlInitUnicodeString(&v1, L"ZwOpenProcess");
ZwOpenProcess = MmGetSystemRoutineAddress(&v1);

#define SSDT_INDEX(ZwFunctionAddress)	*(PULONG)(ZwFunctionAddress + 1)
/*
	3: kd> u ZwOpenProcess
	nt!ZwOpenProcess:
	8487ecd8  b8be000000      mov     eax,0BEh

	3: kd> dd 8487ecd8
	8487ecd8  0000beb8 24548d00 086a9c04 0019d5e8

	3: kd> dd 8487ecd9
	8487ecd9  000000be 0424548d e8086a9c 000019d5

*/
//ZwFunctionAddress + 1,加一个字节,越过那个b8,就能得到索引

2. 通过访问Ntdll.dll模块的导出表
首先通过Ntdll.dll的路径获得文件句柄,然后通过文件句柄获得映射句柄,然后映射Ntdll.dll物理内存到当前进程的内存空间,得到映射内存的首地址和映射内存大小。
通过模块基地址,访问ntdll.dll模块的导出表,利用那三个数组,来获得Zw函数地址,最后加一个字节得到Nt函数索引。

NTSTATUS MyGetSSDTFunctionIndex(char* ZwFunctionName, ULONG* NtFunctionIndex)
{
   
   
	NTSTATUS Status = STATUS_UNSUCCESSFUL;
	WCHAR FileFullPath[] = L"\\SystemRoot\\System32\\ntdll.dll";
	PVOID MappedFileVA = NULL;
	ULONG MappedFileSize = 0;
	PIMAGE_NT_HEADERS ImageNtHeaders = NULL;
	PIMAGE_EXPORT_DIRECTORY ImageExportDirectory = NULL;
	ULONG* AddressOfFunctions = NULL;
	ULONG* AddressOfNames = NULL;
	USHORT* AddressOfNameOrdinals = NULL;
	ULONG i = 0;
	char* FunctionName = NULL;
	PUCHAR FunctionAddress = NULL;
	ULONG Offset = 1;

	if (!ZwFunctionName)
	{
   
   
		return Status;
	}
	//将Ntdll.dll文件映射到系统空间中
	if (!NT_SUCCESS(MyMappingPEFileInRing0Space(FileFullPath, &MappedFileVA, &MappedFileSize)))
	{
   
   
		return Status;
	}
	__try
	{
   
   
		//通过Dos头获得Nt头
		ImageNtHeaders = RtlImageNtHeader(MappedFileVA);
		if (ImageNtHeaders && ImageNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress)
		{
   
   
			ImageExportDirectory = (IMAGE_EXPORT_DIRECTORY*)((ULONG_PTR)MappedFileVA + 
				ImageNtHeaders->OptionalHeader.DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT]

开发板推荐:天空星STM32F407VET6开发板

超高性价比 STM32主控 | 超高主频 | 一板兼容百芯 | 比赛神器 | 沉金彩色丝印

点击查看
最低0.47元/天 解锁文章
SSDTSSDT hook技术
dr0op's blog
09-07 2769
通过修改此的函数地址可以对常用Windows函数及API进行Hook,从而实现对一些关心的系统动作进行过滤、监控等目的。在NT4.0 以上的Windpws 操作系统中,默认存在两个系统服务描述,两个调度对应两类不同的系统服务。要Hook SSDT,首选需要这个是可写的,但是在XP之后的系统都是只读的,有三种方式修改内存保护机制。其中第1位叫做保护属性位,控制着页的读或写属性。如果为0,则只能读/执行。SSDT,IDT(中断描述符)的页属性在默认情况下只读,可执行,但不能写。例如进程保护(驱动
SSDT Hook技术详解与应用
flydragonhero的专栏
03-10 7140
SSDT Hook技术详解与应用SSDT Hook技术详解与应用 一SSDT简介 1什么是SSDT 2SSDT结构 3应用层调用 Win32 API 的完整执行流程 二SSDT Hook原理 1SSDT Hook原理简介 2进程隐藏与保护 3文件隐藏与保护 4端口隐藏一、SSDT简介1、什么是SSDTSSDT 的全称是 System Services Descriptor Table,系统服
从BIOS到操作系统:深入拆解ACPI Table(DSDT/SSDT)如何让Linux/Windows管理你的硬件
最新发布
weixin_28712661的博客
04-19 263
本文深入解析了ACPI Table(DSDT/SSDT)在Linux/Windows系统中管理硬件的核心机制。从BIOS加载的ACPI描述到反编译、修改工具链,详细介绍了如何提取、解读和修改这些格,以实现对硬件行为的精准控制。文章还提供了实战案例和调试技巧,帮助开发者解决风扇控制、电源管理等常见问题。
驱动过游戏保护基础知识点
Windows内核学习笔记
02-27 2085
A、引用KeServiceDescriptorTable B、通过ServiceTableBase+偏移读出当前函数地址 C、用windbg测试读取的值 系统服务描述符 在ntoskrnl.exe导出KeServiceDescriptorTable 这个 typedef struct _ServiceDescriptorTable { PVOID ServiceTableBase; //System Service Dispatch Table 的基地址
初探SSDT
hongduilanjun的博客
03-17 2714
SSDT 的全称是 System Services Descriptor Table,系统服务描述符。这个就是一个把 Ring3 的 Win32 API 和 Ring0 的内核 API 联系起来。SSDT 并不仅仅只包含一个庞大的地址索引,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。通过修改此的函数地址可以对常用 Windows 函数及 API 进行 Hook,从而实现对一些关心的系统动作进行过滤、监控的目的。一些 HIPS、防毒软件、系统监控、注册监控软件往往会采用此接.
SSDT hook技术中KeServiceDescriptorTable 结构及获取
namelcx的专栏
07-05 2293
KeServiceDescriptorTable 结构  KeServiceDescriptorTable:是由内核(Ntoskrnl.exe)导出的一个,这个是访问SSDT的关键,具体结构是    typedef struct ServiceDescriptorTable {    PVOID ServiceTableBase;    PVOID ServiceCounterTabl
驱动开发:Win10内核枚举SSDT基址
热门推荐
LYSHARK
10-19 1万+
三年前面朝黄土背朝天的我,写了一篇如何在`Windows 7`系统下枚举内核`SSDT`的文章`《驱动开发内核读取SSDT基址》`三年过去了微软的`Windows 10`系统已经覆盖了大多数个人PC终端,以前的方法也该进行迭代更新了,或许在网上你能够找到类似的文章,但我可以百分百肯定都不能用,今天`LyShark`将带大家一起分析`Win10 x64`最新系统`SSDT`的枚举实现。
初探win10 x64 SSDT驱动学习笔记五)
rep_Su的博客
10-11 4270
初探win10 x64 SSDT0x0 windbg中查看SSDT背景介绍查看SSDT0x1 代码获取SSDT中的函数获取SSDT的地址 0x0 windbg中查看SSDT 背景介绍 学习驱动的过程中,由于涉及到SSDT HOOK相关的知识点,开始学习SSDT,关于SSDT的基本概念,这里省去,中文名是系统服务描述,具体的理解可自行百度,由于是初步探讨,本篇只介绍方法。 查看SSDT x64系...
6.1 Windows驱动开发内核枚举SSDT基址
LYSHARK
11-26 5229
SSDT(System Service Descriptor Table)是Windows操作系统内核中的关键组成部分,负责存储系统服务调用的相关信息。具体而言,SSDT包含了系统调用的函数地址以及其他与系统服务相关的信息。每个系统调用对应SSDT中的一个项,其中存储了相应系统服务的函数地址。SSDT在64位和32位系统上可能有不同的结构,但通常以数组形式存在。对于系统调用的监控、分析或修改等高级操作,常需要内核枚举SSDT基址。这一操作通常通过内核模块实现,涉及技术手段如逆向工程和Hook
驱动开发:如何枚举所有SSDT地址
LYSHARK
10-14 9902
中已经教大家如何寻找SSDT基地址了,找到后我们可根据序号获取到该SSDT的地址,如果需要输出所有SSDT信息,则可以定义字符串列,以此循环调用。函数依次获取,SSDT我已经提取出来了,该办法虽然笨但也是可以正常使用的。
X86驱动:挂接SSDT内核钩子
LYSHARK
09-20 5872
SSDT 中文名称为系统服务描述符,该的作用是将Ring3应用层与Ring0内核层,两者的API函数连接起来,起到承上启下的作用,SSDT并不仅仅只包含一个庞大的地址索引,它还包含着一些其它有用的信息,诸如地址索引的基址、服务函数个数等,SSDT 通过修改此的函数地址可以对常用 Windows 函数进行内核级的Hook,从而实现对一些核心的系统动作进行过滤、监控的目的,接下来将演示如何通过编写简单的驱动程序,来实现搜索 SSDT 函数的地址,并能够实现简单的内核 Hook 挂钩。
驱动保护:挂接SSDT内核钩子(1)
weixin_30790841的博客
09-20 644
SSDT 中文名称为系统服务描述符,该的作用是将Ring3应用层与Ring0内核层,两者的API函数连接起来,起到承上启下的作用,SSDT并不仅仅只包含一个庞大的地址索引,它还包含着一些其它有用的信息,诸如地址索引的基址、服务函数个数等,SSDT 通过修改此的函数地址可以对常用 Windows 函数进行内核级的Hook,从而实现对一些核心的系统动作进行过滤、监控的目的,接下来将演...
Win10 x64 KeServiceDescriptorTable SSDT 偏移计算理解
Doub1's Blog
11-23 2193
Win10 x64 KeServiceDescriptorTable SSDT 偏移计算理解引言站在巨人的肩膀上实现代码通用的偏移计算方法 引言 很久没写博客了,水个博客,KeServiceDescriptorTableKeServiceDescriptorTableShadow的原理我就不写了,百度很多,主要这篇写如何定位x64下未导出的KeServiceDescriptorTable。 站在巨人的肩膀上 前辈们在之前已经找到了一个计算公式,通过读取msr寄存器的0xC0000082读取到
SQL Server Data Tools (SSDT)入门教程
qq_43535970的博客
09-19 5020
SQL Server Data Tools (SSDT) 是一种集成开发环境 (IDE),用于设计SQL Server数据库对象并实现数据库的持续集成与持续交付 (CI/CD)。数据库项目的开发和版本控制架构比较和同步数据库测试和部署支持T-SQL、SSIS、SSRS和SSAS的开发SSDT是SQL Server开发的强大工具,集成了数据库项目管理、架构同步、自动化部署和单元测试等功能,极大地提升了数据库开发的效率和可靠性。
城里城外看SSDT
马说@CSDN
07-05 6263
原文链接:http://www.titilima.cn/?action=show&id=201点这里下载本文的配套代码引子2006年,中国互联网上的斗争硝烟弥漫。这时的战场上,先前颇为流行的窗口挂钩、API挂钩、进程注入等技术已然成为昨日黄花,大有逐渐淡出之势;取而代之的,则是更狠毒、更为赤裸裸的词汇:驱动、隐藏进程、Rootkit……前不久,我不经意翻出自己2005年9月写下
SSDT(系统服务描述符 system services descriptor table)
weixin_30832143的博客
03-02 1322
SSDT介绍 ntdll.dll模块中的函数有些以nt或zw开头的函数为了完成相应的功能需要进入内核,调用内核中以nt开头的函数来完成相应的功能。ntdll.dll里的函数在进入内核层之前首先将系统服务号传入eax寄存器中,然后调用KiSystemService函数进入内核层。进入内核后会根据eax值索引ssdt里的函数进行执行相应地址的函数。 SSDT的每一项是一个系统服务函数的地址,可...
驱动开发:挂接SSDT内核钩子
LYSHARK
10-15 1万+
SSDT 中文名称为系统服务描述符,该的作用是将Ring3应用层与Ring0内核层,两者的API函数连接起来,起到承上启下的作用,SSDT并不仅仅只包含一个庞大的地址索引,它还包含着一些其它有用的信息,诸如地址索引的基址、服务函数个数等,SSDT 通过修改此的函数地址可以对常用 Windows 函数进行内核级的Hook,从而实现对一些核心的系统动作进行过滤、监控的目的,接下来将演示如何通过编写简单的驱动程序,来实现搜索 SSDT 函数的地址,并能够实现简单的内核 Hook 挂钩。
SSDT Hook实现内核级的进程保护
曾是土木人
06-29 8703
SSDT Hook效果图 加载驱动并成功Hook  NtTerminateProcess函数: 当对 指定的进程进行保护后,尝试使用“任务管理器”结束进程的时候,会弹出“拒绝访问”的窗口,说明,我们的目的已经达到: SSDT简介 SSDT 的全称是 System Services Descriptor Table,系统服务描述符。 这个
驱动编程-ssdt hook--系统服务
健景的博客
05-04 762
整理下自己的驱动编程。 ssdt是系统服务,每个window系统都会维护自己的系统服务。我们可以使用kernel detective看下ssdt。 以openProcess为例子: 开windbg kd> u nt!ZwOpenProcess nt!ZwOpenProcess: 804ff720 b87a000000      mov     eax,7Ah  //7A 8
Windows驱动开发学习笔记(五)—— SSDT HOOK
lzyddf的博客
12-14 1741
Windows驱动开发学习笔记(五)—— SSDT HOOK前言系统服务系统服务描述符 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 系统服务 描述: 全称:SystemServiceTable(系统服务) 可以通过系统服务描述符访问系统服务 系统服务描述符 描述: 全称:System Services Desc...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值