文章目錄:
1. 引子 – Hook 技術:
2. SSDT 簡介:
3. 應用層調用 Win32 API 的完整執行流程:
4. 詳解 SSDT:
5. SSDT Hook 原理:
6. 小結:
1. 引子 – Hook 技術:
前面一篇博文呢介紹了代碼的注入技術(遠程線程實現),博文地址如下:
http://www.cnblogs.com/BoyXiao/archive/2011/08/11/2134367.html
雖然代碼注入是很老的技術了,但是這種技術也還是比較常見,
當然也比較好用的,比如在 Spy++ 中就使用了遠程線程注入技術,
同時,如果有興趣的閱讀過 Spy++ 的源碼的朋友,當然也可以在其源碼中閱讀到關于遠程線程注入技術了。
(這篇博文雖然我會截斷分為兩篇博文撰寫,但是博文仍然會比較長,內容其實是比較多的,覆蓋面也比較廣,
需要有一定耐心和基礎方可閱讀完,有興趣者請自備茶水以及零食,然后慢慢閱讀全文,
PS:這話引用自園子里某位園友)
(然后的話就是漫漫長夜,心情不佳,于是寫了篇博文,剛好又喝了點,所以估計會有些許疏漏之處,還請見諒 ~)
在這一篇博文中呢,介紹的是一種 Hook 技術,對于 Hook 技術,可以分為兩塊,
第一塊是在 Ring3 層的 Hook,俗稱應用層 Hook 技術,
而另外一塊自然是在 Ring0 層得 Hook,俗稱為內核層 Hook 技術,
而在 Ring3 層的 Hook 基本上可以分為兩種大的類型,
第一類即是 Windows 消息的 Hook,第二類則是 Windows API 的 Hook。
關于 Hook 的幾種類型呢,下面給出幾個簡潔的圖示:
關于 Windows 消息的 Hook,相信很多朋友都有接觸過的,因為一個 SetWindowsHookEx 即可以完成消息 Hook,
在這里簡要介紹一下消息 Hook,消息 Hook 是通過 SetWindowsHookEx 可以實現將自己的鉤子插入到鉤子鏈的最前端,
而對于發送給被 Hook 的窗口(也有可能是所有的窗口,即全局 Hook)的消息都會被我們的鉤子處理函數所捕獲到,
也就是我們可以優先于窗體先捕獲到這些消息,Windows 消息 Hook 可以實現為進程內消息 Hook 和全局消息 Hook,
對于進程內消息 Hook,則可以簡單的將 Hook 處理函數直接寫在這個進程內,即是自己 Hook 自己,
而對于用途更為廣泛的全局消息 Hook,則需要將 Hook 處理函數寫在一個 DLL 中,
這樣才可以讓你的處理函數被所有的進程所加載(進程自動加載包含 Hook 消息處理函數的 DLL)。
對于 Windows 消息 Hook 呢,可以有個簡單的邪惡應用,就是記錄鍵盤按鍵消息,
從而達到監視用戶輸入的鍵值信息的目的,這樣,對于一些簡單的用戶通過鍵盤輸入的密碼就可以被 Hook 獲取到,
因為沒當用戶按下一個鍵時,Windows 都會產生一個按鍵消息(當然有按下,彈起等消息的區分),
然后我們可以 Hook 到這個按鍵消息,這樣就可以在 Hook 的消息處理函數中獲取到用戶按下的是什么鍵了。
當然關于消息 Hook 的話,其不是這篇博文的重點,
這篇博文主要介紹的是 SSDT Hook 技術,即內核 Hook 技術的一種,
這種技術呢,也是比較老的技術了,貌似是當年 Rootkit 起火的時候出來的,
但是 SSDT Hook 現在也還比較流行,比如在很多的殺毒軟件或者安全軟件里面也都會使用到 SSDT Hook 技術。
關于內核 Hook 也有幾種類型,下面也給出一副圖示:
上面的幾種內核級 Hook 技術,在看雪啊,debugman,xfocus 上都有很多的介紹,
而我只不過是落后這些技術很多年的小輩后生,在這里也只是將自己的學習以及一些總結的經驗給列出來而已,
如果有興趣想深入了解這些內容的話,完全可以在看雪上找到資料 ~
2. SSDT 簡介:
以下介紹來自百度(PS:被百度文庫弄去了很多博文,這里也抄它一下):
SSDT 的全稱是 System Services Descriptor Table,系統服務描述符表。
這個表就是一個把 Ring3 的 Win32 API 和 Ring0 的內核 API 聯系起來。
SSDT 并不僅僅只包含一個龐大的地址索引表,它還包含著一些其它有用的信息,諸如地址索引的基地址、服務函數個數等。
通過修改此表的函數地址可以對常用 Windows 函數及 API 進行 Hook,從而實現對一些關心的系統動作進行過濾、監控的目的。
一些 HIPS、防毒軟件、系統監控、注冊表監控軟件往往會采用此接口來實現自己的監控模塊。
在 NT 4.0 以上的 Windows 操作系統中,默認就存在兩個系統服務描述表,這兩個調度表對應了兩類不同的系統服務,
這兩個調度表為:KeServiceDescriptorTable 和 KeServiceDescriptorTableShadow,
其中 KeServiceDescriptorTable 主要是處理來自 Ring3 層得 Kernel32.dll 中的系統調用,
而 KeServiceDescriptorTableShadow 則主要處理來自 User32.dll 和 GDI32.dll 中的系統調用,
并且 KeServiceDescriptorTable 在 ntoskrnl.exe(Windows 操作系統內核文件,包括內核和執行體層)是導出的,
而 KeServiceDescriptorTableShadow 則是沒有被 Windows 操作系統所導出,
而關于 SSDT 的全部內容則都是通過 KeServiceDescriptorTable 來完成的 ~
從下面的截圖可以看出 KeServiceDescriptorTable 在 ntoskrnl.exe 中被導出:
然后我們再來看看在 Windows 操作系統的源碼 WRK 中,KeServiceDescriptorTable 是怎么被定義的 ~
首先來看 KeServiceDescriptorTable 是如何被 Windows 操作系統源碼給導出的:
從下面的截圖可以看出,這個系統服務描述表是在 WRK 源碼中的某一個模塊劃分文件(.def)中所導出的。
關于 WRK 是什么東西 ? 則可以參閱我的另一篇博文《Windows 內核(WRK)簡介》,博文地址如下:
http://www.cnblogs.com/BoyXiao/archive/2011/01/08/1930904.html
而在 Windows 源碼 WRK 中對于系統服務描述符表的代碼定義如下(KeServiceDecriptorTable 即由該結構定義):
上面的這個結構定義在成員變量的名稱上還看不出什么名堂,下面給出我們將在自己代碼中所使用的結構體:
1: typedef struct _KSYSTEM_SERVICE_TABLE
2: {
3: PULONG ServiceTableBase; // SSDT (System Service Dispatch Table)的基地址
4: PULONG ServiceCounterTableBase; // 用于 checked builds, 包含 SSDT 中每個服務被調用的次數
5: ULONG NumberOfService; // 服務函數的個數, NumberOfService * 4 就是整個地址表的大小
6: ULONG ParamTableBase; // SSPT(System Service Parameter Table)的基地址
7:
8: } KSYSTEM_SERVICE_TABLE, *PKSYSTEM_SERVICE_TABLE;
9:
10: typedef struct _KSERVICE_TABLE_DESCRIPTOR
11: {
12: KSYSTEM_SERVICE_TABLE ntoskrnl; // ntoskrnl.exe 的服務函數
13: KSYSTEM_SERVICE_TABLE win32k; // win32k.sys 的服務函數(GDI32.dll/User32.dll 的內核支持)
14: KSYSTEM_SERVICE_TABLE notUsed1;
15: KSYSTEM_SERVICE_TABLE notUsed2;
16:
17: } KSERVICE_TABLE_DESCRIPTOR, *PKSERVICE_TABLE_DESCRIPTOR;
18:
19: //導出由 ntoskrnl.exe 所導出的 SSDT
20: extern PKSERVICE_TABLE_DESCRIPTOR KeServiceDescriptorTable;
有了上面的介紹后,我們可以簡單的將 KeServiceDescriptor 看做是一個數組了(其實質也就是個數組),
在應用層 ntdll.dll 中的 API 在這個系統服務描述表(SSDT)中都存在一個與之相對應的服務,
當我們的應用程序調用 ntdll.dll 中的 API 時,最終會調用內核中與之相對應的系統服務,
由于有了 SSDT,所以我們只需要告訴內核需要調用的服務所在 SSDT 中的索引就 OK 了,
然后內核根據這個索引值就可以在 SSDT 中找到相對應的服務了,然后再由內核調用服務完成應用程序 API 的調用請求即可。
基本結構可以參考下圖:
3. 應用層調用 Win32 API 的完整執行流程:
有了上面的 SSDT 基礎后,我們再來看一下在應用層調用 Win32 API(這里主要指的是 ntdll.dll 中的 API)的完整流程,
這里我們主要是分析 ntdll.dll 中的 NtQuerySystemInformation 這個 API 的調用流程,
(PS:Windows 任務管理器即是通過這個 API 來獲取到系統的進程等等信息的)。
先給出一副圖示(先記住這里有四個類似的 API,但是必須得注意區分開來,弄混淆了就麻煩大了):
再給出這些個 API 的基本的調用流程(讓大伙有個印象,至少不會迷失):
首先,使用 PE 工具來打開 ntdll.dll 文件,可以看到 NtQuerySystemInformation,
除了 NtQuerySystemInformation 外,同時還可以看到 ZwQuerySystemInformation,
而實質上,在 Windows 操作系統中,
Ntdll.dll 中的ZwQuerySystemInformation 和 NtQuerySystemInformation 是同一函數,
可以通過下面的截圖看出,這兩個函數的入口地址指向同一區域,他們的函數入口地址都是一樣的 ~
很奇怪吧 ~ 其實我也覺得奇怪 ~ 何必多此一舉呢 ~
眾所周知 Ntdll.dll 中的 API 都只不過是一個簡單的包裝函數而已,
當 Kernel32.dll 中的 API 通過 Ntdll.dll 時,會完成參數的檢查,
再調用一個中斷(int 2Eh 或者 SysEnter 指令),從而實現從 Ring3 進入 Ring0 層,
并且將所要調用的服務號(也就是在 SSDT 數組中的索引值)存放到寄存器 EAX 中,
并且將參數地址放到指定的寄存器(EDX)中,再將參數復制到內核地址空間中,
再根據存放在 EAX 中的索引值來在 SSDT 數組中調用指定的服務 ~
經過上面的步驟后,便由 Ring3 層進入了 Ring0 層,
我們再通過 PE 工具來查看 ntoskrnl.exe 中的 ZwQuerySystemInformation 和 NtQuerySystemInformation
先來看 ntoskrnl.exe 中的 ZwQuerySystemInformation:
在上面的這幅截圖中,可以看到在 Ring0 下的 ZwQuerySystemInformation 將 0ADh 放入了寄存器 eax 中,
然后調用了系統服務分發函數 KiSystemService,而這個 KiSystemService 函數則是根據 eax 寄存器中的索引值,
然后再 SSDT 數組中找到索引值為 eax 寄存器中存放的值得那個 SSDT 項,
最后就是根據這個 SSDT 項中所存放的系統服務的地址來調用這個系統服務了 ~
比如在這里就是調用 KeServiceDescriptorTable[0ADh] 處所保存的地址所對應的系統服務了 ~
也就是調用 Ring0 下的 NtQuerySystemInformation 了 ~
至此,在應用層中調用 NtQuerySystemInformation 的全部流程也就結束了 ~
最后,貼出一點在 Ring0 下的 NtQuerySystemInformation 的反匯編代碼:
4. 詳解 SSDT:
在這一節里面,我們將來看看 SSDT 到底是個什么東西 ~ 這里使用 WinDbg 來調試 XP SP2 系統 ~
首先來看看 KeServiceDescriptorTable 是何物 ?
從下面的截圖中可以看到 KeServiceDesciptorTable 的首地址為 804e58a0,
然后查看分析這個地址,可以查看到第一個系統服務的入口地址為 80591bfb !
我們再來看看 80591bfb 這個地址對應的究竟是何系統服務 ?
從下面的截圖中,可以看到 SSDT 中第一個系統服務就是 NtAcceptConnectPort !!!
由于我們知道了 SSDT 的首地址,又知道了 Ring0 下 NtQuerySystemInformation 服務的索引號,
所以可以根據 “SSDT 中系統服務地址所在的 Address = SSDT 首地址 + 4 * 索引號”,
推算出 NtQuerySystemInformation 服務的地址,
因此有 Address = 804e58a0 + 4 * 0adh = 804E5B54;
然后我們再來看 804E5B54 這個地址的信息,信息如下截圖:
從截圖中,我們可以看到 NtQuerySystemInformation 的起始地址為 80586ff1,
下面就來驗證一下地址 80586ff1 到底是不是 NtQuerySystemInformation 的首地址 ~
從下面的截圖中可以肯定 80586ff1 確實就是 NtQuerySystemInformation 的首地址,
這和我們上面對 SSDT 中指定索引號的服務的地址的計算公式計算出來的結果是統一的 !!!
從上面的介紹,可以看出,其實 SSDT 就是一個用來保存 Windows 系統服務地址的數組而已 !!!
5. SSDT Hook 原理:
有了上面的這部分基礎后,就可以來看 SSDT HOOK 的原理了,
其實 SSDT Hook 的原理是很簡單的,從上面的分析中,
我們可以知道在 SSDT 這個數組中呢,保存了系統服務的地址,
比如對于 Ring0 下的 NtQuerySystemInformation 這個系統服務的地址,
就保存在 KeServiceDescriptorTable[0ADh] 中,
既然是 Hook 的話,我們就可以將這個 KeServiceDescriptorTable[0ADh] 下保存的服務地址替換掉,
將我們自己的 Hook 處理函數的地址來替換掉原來的地址,
這樣當每次調用 KeServiceDescriptorTable[0ADh]時就會調用我們自己的這個 Hook 處理函數了。
下面用幾幅截圖來表示:
下面的截圖則是 SSDT Hook 之后了,可以看到將 SSDT 中的服務地址修改為 MyHookNtQuerySystemInformation 了,
這樣的話,每次系統調用 NtQuerySystemInformation 這個系統服務時,
實質上調用的就是 MyHookNtQuerySystemInformation 了,而我們為了保證系統的穩定性(至少不讓其崩潰),
一般會在 MyHookNtQuerySystemInformation 中調用系統中原來的服務,也就是 NtQuerySystemInformation。
6. 小結:
本篇博文呢尚還只是介紹了 SSDT 到底是個什么東西,而還沒有給出具體的 SSDT Hook 的實現,
對于 SSDT Hook 的實現以及 Demo 我都放到(二)中完成,也就是本篇博文未完 , 待續 ……
關于 SSDT 的話,在看雪上有很多的文章,由于我也是前陣子對這東西突然感興趣了,
所以我也算是初次了解,自然也看過了很多的文章,SSDT 在 Google 一搜索可以出來一大堆,
[1] [2] 下一頁
| 
