蹂躪D&F學習之一

原創 EXPENF 2020-05-31 11:32 

uf KeAddSystemServiceTable



[


]

一個叫二石的人在元月,在樹下,吃月餅:

1.獲取NtCreateFile索引:

方法一,不能用xuetr,xuetr只能看被HOOK的。PowerTool也只能看被HOOK的,不知道是不是比xuetr深入,可以看TP保護。KD:


方法二,OD:

附加隨便一個進程。不需要運行,直接右擊--查詢--符號,進入下面的界面:

右擊--選擇反彙編窗口中跟隨輸入函數:


Ctrl+Shift+X,添加類嚮導:


刪除代碼段:


**********************************************************************************


ULONG GetSDDTAddr(ULONG uIndex)
{
	
}

typedef struct _SDT_ENTRY
{
	PVOID *ServiceTableBase;
	PULONG ServiceCounterTableBase; //Used only in checked build
	ULONG NumberOfServices;
	PUCHAR ParamTableBase;
} SDT_ENTRY, *PSDT_ENTRY;
*********************************************************************************************************** 

<img src="https://img-blog.csdn.net/20150115135603025?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvRVhQRU5G/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="" />
<pre name="code" class="cpp">//源文件
#include <ntddk.h>
#include "SSDTHOOK.h"
void UnloadDriver(PDRIVER_OBJECT pDriver);

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING str)
{
#if DBG
	_asm int 3
#endif
	//驅動 ->驅動卸載=卸載驅動
	pDriver->DriverUnload = UnloadDriver;
	//調試輸出
	DbgPrint("Loading MyDriver...\r");//有一個換行的空格
	ULONG uAddr = GetSDDTAddr(0x42);
	if (uAddr)
	{
		KdPrint(("NtCreateFile:0x%08x\r", uAddr));
	}
	return 1;
}

void UnloadDriver(PDRIVER_OBJECT pDriver)
{
	//調試輸出
	DbgPrint("unLoading MyDriver...\r");

}



<img src="https://img-blog.csdn.net/20150115135612946?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvRVhQRU5G/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="" />
<pre name="code" class="cpp">//SSDTHOOK.cpp
#include "SSDTHOOK.h"

ULONG GetSDDTAddr(ULONG uIndex)
{
	ULONG uAddr = *(PULONG)((ULONG)(*KeServiceDescriptorTable).ServiceTableBase + uIndex * sizeof(ULONG));
	return uAddr;
}




</pre><img src="https://img-blog.csdn.net/20150115135815109?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvRVhQRU5G/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" alt="" /><br /><pre name="code" class="cpp">//SSDTHOOK.h
#pragma once

#ifdef  __cplusplus
extern "C" {
#endif
#include <ntddk.h>
#include <string.h>
#ifdef  __cplusplus
};// extern "C"
#endif


typedef struct _SDT_ENTRY
{
	PVOID *ServiceTableBase;
	PULONG ServiceCounterTableBase; //Used only in checked build
	ULONG NumberOfServices;
	PUCHAR ParamTableBase;
} SDT_ENTRY, *PSDT_ENTRY;

EXTERN_C SDT_ENTRY *KeServiceDescriptorTable;

ULONG GetSDDTAddr(ULONG uIndex);


Alt+5打開debug的內存窗口。





FlashFXP


windows XP桌面路徑:C:\Documents and Settings\用戶名\桌面




//沒有VMTOOL 竟然可以共享剪貼板
Microsoft Windows XP [版本 5.1.2600]
(C) 版權所有 1985-2001 Microsoft Corp.

C:\Documents and Settings\Administrator>ipconfig

Windows IP Configuration


Ethernet adapter 本地連接:

        Connection-specific DNS Suffix  . : localdomain
        IP Address. . . . . . . . . . . . : 192.168.232.129
        Subnet Mask . . . . . . . . . . . : 255.255.255.0
        Default Gateway . . . . . . . . . : 192.168.232.2

C:\Documents and Settings\Administrator>
FileZilla(在查看裏,把消息日誌取消)可以比較目錄。



FlashFXP建立本地連接不行;安裝在系統盤。





//源文件
#include "mini_ddk.h"
#include "SSDTHOOK.h"




ULONG g_uOldNtCreateFileAddr = 0;
PFNNTCREATEFILE g_pfnNtCreateFile = NULL;

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriver, PUNICODE_STRING str)
{
//#if DBG
//	_asm int 3
//#endif
	//驅動 ->驅動卸載=卸載驅動
	pDriver->DriverUnload = UnloadDriver;
	//調試輸出
	DbgPrint("Loading MyDriver...\r");//有一個換行的空格
	ULONG uAddr = GetSDDTAddr(0x42);
	if (uAddr)
	{
		g_pfnNtCreateFile = (PFNNTCREATEFILE)uAddr;
		HookSSDTByMdl(0x42, (ULONG)rlNtCreateFile, &g_uOldNtCreateFileAddr);

		
		KdPrint(("NtCreateFile:0x%08x\r", uAddr));

	}
	return 1;
}

void UnloadDriver(PDRIVER_OBJECT pDriver)
{
	UnHookSSDTByMdl(0x42, g_uOldNtCreateFileAddr);
	//調試輸出
	DbgPrint("unLoading MyDriver...\r");
}

NTSTATUS rlNtCreateFile(
	_Out_     PHANDLE FileHandle,
	_In_      ACCESS_MASK DesiredAccess,
	_In_      POBJECT_ATTRIBUTES ObjectAttributes,
	_Out_     PIO_STATUS_BLOCK IoStatusBlock,
	_In_opt_  PLARGE_INTEGER AllocationSize,
	_In_      ULONG FileAttributes,
	_In_      ULONG ShareAccess,
	_In_      ULONG CreateDisposition,
	_In_      ULONG CreateOptions,
	_In_      PVOID EaBuffer,
	_In_      ULONG EaLength
	)
{
	if (ObjectAttributes  && ObjectAttributes->ObjectName)
	{
		if (wcsstr(ObjectAttributes->ObjectName->Buffer, L"1.txt") != 0)
		{
			KdPrint(("NtCreateFile %wZ\r"), ObjectAttributes->ObjectName);
			return STATUS_UNSUCCESSFUL;
		}

	}
	return g_pfnNtCreateFile(FileHandle, DesiredAccess, ObjectAttributes, IoStatusBlock, AllocationSize, FileAttributes,

		ShareAccess, CreateDisposition, CreateOptions, EaBuffer, EaLength);

}


//SSDTHOOK.cpp
#include "SSDTHOOK.h"

ULONG GetSDDTAddr(ULONG uIndex)
{
	ULONG uAddr = *(PULONG)((ULONG)(*KeServiceDescriptorTable).ServiceTableBase + uIndex * sizeof(ULONG));
	return uAddr;
}

BOOLEAN HookSSDT(ULONG uIndex, ULONG uNewAddr, PULONG puOldAddr)

{
	if (uNewAddr == 0 || puOldAddr == NULL)
	{
		return FALSE;
	}
	ULONG uAddr = ((ULONG)(*KeServiceDescriptorTable).ServiceTableBase + uIndex * sizeof(ULONG));

*puOldAddr = *(PULONG)uAddr;

	//DisableWP();
	*(PULONG)uAddr=uNewAddr;
	//EnableWP();
	return TRUE;
}

BOOLEAN unHookSSDT(ULONG uIndex, PULONG uOldAddr)
{
	if (uOldAddr == 0)
	{
		return FALSE;
	}

	ULONG uAddr = ((ULONG)(*KeServiceDescriptorTable).ServiceTableBase + uIndex * sizeof(ULONG));

	//DisableWP();
	*(PULONG)uAddr = uOldAddr;
	//EnableWP();

	return TRUE;

}



void DisableWP()
{
	_asm
	{
		cli//不要切換到其他CPU
			push eax
			mov eax,cr0
			and eax,0xfffeffff
			mov cr0,eax
			pop eax


	}
}

void EnableWP()
{
	_asm
	{
		push eax
			mov eax,cr0
			or eax,0x10000
			mov cr0,eax
			pop eax
			sti
	}
}


BOOLEAN HookSSDTByMdl(ULONG uIndex, ULONG uNewAddr, PULONG puOldAddr)

{
	if (uNewAddr == 0 || puOldAddr == NULL)
	{
		return FALSE;
	}

	PMDL pSSDTMdl= MmCreateMdl(NULL, (*KeServiceDescriptorTable).ServiceTableBase, sizeof(ULONG)* (*KeServiceDescriptorTable).NumberOfServices);
if (pSSDTMdl == NULL)
	{
		return FALSE;

	}
	MmBuildMdlForNonPagedPool(pSSDTMdl);

	pSSDTMdl->MdlFlags |= MDL_MAPPED_TO_SYSTEM_VA;

	PVOID pServiceTableBase = MmMapLockedPages(pSSDTMdl, KernelMode);


	if (pServiceTableBase == NULL)
	{
		return FALSE;
	}

	ULONG uAddr = ((ULONG)(*KeServiceDescriptorTable).ServiceTableBase + uIndex);

	*puOldAddr = *(PULONG)uAddr;
	
	*(PULONG)uAddr = uNewAddr;

	IoFreeMdl(pSSDTMdl);
	return TRUE;
}

BOOLEAN UnHookSSDTByMdl(ULONG uIndex, ULONG uOldAddr)

{
	if ( uOldAddr == NULL)
	{
		return FALSE;
	}

	PMDL pSSDTMdl = MmCreateMdl(NULL, (*KeServiceDescriptorTable).ServiceTableBase, sizeof(ULONG)* (*KeServiceDescriptorTable).NumberOfServices);
	if (pSSDTMdl == NULL)
	{
		return FALSE;

	}
	MmBuildMdlForNonPagedPool(pSSDTMdl);

	pSSDTMdl->MdlFlags |= MDL_MAPPED_TO_SYSTEM_VA;

	PVOID pServiceTableBase = MmMapLockedPages(pSSDTMdl, KernelMode);


	if (pServiceTableBase == NULL)
	{
		return FALSE;
	}

	ULONG uAddr = ((ULONG)(*KeServiceDescriptorTable).ServiceTableBase + uIndex);


	*(PULONG)uAddr = uOldAddr;

	IoFreeMdl(pSSDTMdl);
	return TRUE;
}

//SSDTHOOK.h
#pragma once

#ifdef  __cplusplus
extern "C" {
#endif
#include <ntddk.h>
#include <string.h>
#ifdef  __cplusplus
};// extern "C"
#endif


typedef struct _SDT_ENTRY
{
	PVOID *ServiceTableBase;
	PULONG ServiceCounterTableBase; //Used only in checked build
	ULONG NumberOfServices;
	PUCHAR ParamTableBase;
} SDT_ENTRY, *PSDT_ENTRY;

EXTERN_C SDT_ENTRY *KeServiceDescriptorTable;

ULONG GetSDDTAddr(ULONG uIndex);
//BOOLEAN HookSSDT(ULONG uIndex, ULONG uNewAddr, PULONG puOldAddr);
//BOOLEAN unHookSSDT(ULONG uIndex, PULONG uOldAddr);

//void DisableWP();
//void EnableWP();
BOOLEAN HookSSDTByMdl(ULONG uIndex, ULONG uNewAddr, PULONG puOldAddr);
BOOLEAN UnHookSSDTByMdl(ULONG uIndex, ULONG uOldAddr);

//mini_ddk.h
#include <ntddk.h>


void UnloadDriver(PDRIVER_OBJECT pDriver);
NTSTATUS rlNtCreateFile(
	_Out_     PHANDLE FileHandle,
	_In_      ACCESS_MASK DesiredAccess,
	_In_      POBJECT_ATTRIBUTES ObjectAttributes,
	_Out_     PIO_STATUS_BLOCK IoStatusBlock,
	_In_opt_  PLARGE_INTEGER AllocationSize,
	_In_      ULONG FileAttributes,
	_In_      ULONG ShareAccess,
	_In_      ULONG CreateDisposition,
	_In_      ULONG CreateOptions,
	_In_      PVOID EaBuffer,
	_In_      ULONG EaLength
	);
typedef NTSTATUS (*PFNNTCREATEFILE)(
	_Out_     PHANDLE FileHandle,
	_In_      ACCESS_MASK DesiredAccess,
	_In_      POBJECT_ATTRIBUTES ObjectAttributes,
	_Out_     PIO_STATUS_BLOCK IoStatusBlock,
	_In_opt_  PLARGE_INTEGER AllocationSize,
	_In_      ULONG FileAttributes,
	_In_      ULONG ShareAccess,
	_In_      ULONG CreateDisposition,
	_In_      ULONG CreateOptions,
	_In_      PVOID EaBuffer,
	_In_      ULONG EaLength
	);














    





發表評論














所有評論



還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.







相關文章








N網下載mod方法: 20240614親測好使






https://www.bilibili.com/video/BV1k8411575T/?vd_source=d68ed178f151e80fea1e02efd205802c






 張博的博客

2024-06-15 14:23:44









Libgdx遊戲開發(3)——通過柏林噪音算法地圖隨機地形






原文: Libgdx遊戲開發(3)——通過柏林噪音算法地圖隨機地形-Stars-One的雜貨小窩
在B站刷到了隨機地圖生成的視頻,隨手學習下並做下記錄
注: 本篇使用javafx應用作演示,算是瞭解這個算法的使用,後續會再出篇libgdx






 Stars-one

2024-06-15 14:23:14









電子行業MES系統流程圖梳理






 






 DayVK

2024-06-15 14:22:44









langchain Chatchat 學習實踐(四)——實現對Text2Sql的支持






這裏記錄一下langchain chatchat項目中的text2sql的實現思路。
1、SQLDatabaseChain鏈
SQLDatabaseChain是langchain框架自帶的數據庫自然語言交互工具,其內部通過sqlalchem






 鄭某

2024-06-15 14:19:14









python cuda12 安裝






pip install torch2.3.0 torchvision0.18.0 torchaudio==2.3.0 --index-url https://download.pytorch.org/whl/cu121






 菊花茶

2024-06-15 14:15:03









解決#error -- unsupported GNU version! gcc versions later than 11 are not supported!






ubuntu系統gcc版本太高導致cuda編譯報錯,可以手動切換gcc版本:
#切換gcc版本
sudo update-alternatives --config gcc
#切換g++版本
sudo update-alternatives






 Dsp Tian

2024-06-15 14:14:43









Codeforces Global Round 26 D ''a'' String Problem(思維)






這題思維性很強,沒搞出來,純記錄一下。看題解看了很久纔看懂。代碼補充了幾個例子幫助理解。思路可以參考Codeforces Global Round 26 (A - E) - Lu_xZ - 博客園 (cnblogs.com)
1 #de






 SnowLove

2024-06-15 14:14:03









前端使用 Konva 實現可視化設計器(15)- 自定義連接點、連接優化






前面,本示例實現了折線連接線,簡述了實現的思路和原理,也已知了一些缺陷。本章將處理一些缺陷的同時,實現支持連接點的自定義,一個節點可以定義多個連接點,最終可以滿足類似圖元接線的效果。
請大家動動小手,給我一個免費的 Star 吧~
大家如






 xachary

2024-06-15 14:11:43









爲centos7系統添加新用戶並設置祕鑰登陸






要在CentOS 7系統上創建一個新用戶evan,並禁止其使用密碼登錄而僅允許密鑰登錄,你可以按照以下步驟操作:
創建新用戶
使用root賬號登錄到CentOS 7系統,然後運行以下命令來創建新用戶evan:
           






 憤怒的碼農

2024-06-15 14:09:23









Odoo jsonb查詢






1. ->>查詢具體字段
 
SELECT * FROM product_template WHERE description_purchase->>'en_US' = 'purchase_food'
 
2. ::name 完整字符串匹配






 若-飛

2024-06-15 14:07:53









在 Solidity 中將地址類型轉換爲 IERC20 接口類型






在智能合約開發中,尤其是涉及到 ERC-20 代幣交互時,開發者常常需要將一個地址類型轉換爲 IERC20 接口類型。這樣做的目的是爲了調用接口中的函數,如 transfer 和 approve。本文將詳細講解這一過程,並簡要介紹相關的背景






 若-飛

2024-06-15 14:07:53









solidity calldata學習






在 Solidity 中,calldata 是一種數據位置標識符,用於指定函數參數的存儲位置。calldata 特別適用於函數的外部調用參數,並且是隻讀的。以下是對 Solidity 中數據位置的一些說明:
storage: 用於狀態變量






 若-飛

2024-06-15 14:07:53









理解 Solidity 中的修飾器(Modifiers)






在智能合約開發中,代碼的可讀性和安全性至關重要。Solidity 作爲以太坊上最常用的編程語言,爲開發者提供了一種強大的工具——修飾器(modifiers)。修飾器可以在函數調用前後執行特定的代碼,簡化邏輯並增強合約的安全性。本文將深入探討






 若-飛

2024-06-15 14:07:53









探索 Solidity 中的各種修飾符






探索 Solidity 中的各種修飾符
在智能合約開發中,確保代碼的安全性、可讀性和高效性至關重要。Solidity 作爲以太坊上最廣泛使用的編程語言,提供了一系列的修飾符來幫助開發者實現這些目標。本文將深入探討 Solidity 中的各種






 若-飛

2024-06-15 14:07:53









全球國家或地區ISO代碼,IOS2編碼,IOS3編碼






最近項目需要使用到全球國家或地區ISO編碼。發現網上並沒有完整的數據,然後就自己抓了一些數據回來。
分享給大家,拿來可以直接使用。
excel文件:https://github.com/mtyh/CountryCodeCrawler/tre






 明天以後

2024-06-15 14:05:12