• 驱动开发:内核扫描SSDT挂钩状态

    100编程书屋_孔夫子旧书网

    在笔者上一篇文章《驱动开发:内核实现SSDT挂钩与摘钩》中介绍了如何对SSDT函数进行Hook挂钩与摘钩的,本章将继续实现一个新功能,如何检测SSDT函数是否挂钩,要实现检测挂钩状态有两种方式,第一种方式则是类似于《驱动开发:摘除InlineHook内核钩子》文章中所演示的通过读取函数的前16个字节与原始字节做对比来判断挂钩状态,另一种方式则是通过对比函数当前地址起源地址进行判断,为了提高检测准确性本章将采用两种方式混合检测。

    具体原理,通过解析内核文件PE结构找到导出表,依次计算出每一个内核函数的RVA相对偏移,通过与内核模块基址相加此相对偏移得到函数的原始地址,然后再动态获取函数当前地址,两者作比较即可得知指定内核函数是否被挂钩。

    在实现这个功能之前我们需要解决两个问题,第一个问题是如何得到特定内核模块的内存模块基址此处我们需要封装一个GetOsBaseAddress()用户只需要传入指定的内核模块即可得到该模块基址,如此简单的代码没有任何解释的必要;

    1. // 署名权
    2. // right to sign one's name on a piece of work
    3. // PowerBy: LyShark
    4. // Email: me@lyshark.com
    5.  
    6. #include 
    7. #include 
    8. #include 
    9.  
    10. typedef struct _LDR_DATA_TABLE_ENTRY
    11. {
    12. 	LIST_ENTRY InLoadOrderLinks;
    13. 	LIST_ENTRY InMemoryOrderLinks;
    14. 	LIST_ENTRY InInitializationOrderLinks;
    15. 	PVOID DllBase;
    16. 	PVOID EntryPoint;
    17. 	ULONG SizeOfImage;
    18. 	UNICODE_STRING FullDllName;
    19. 	UNICODE_STRING BaseDllName;
    20. 	ULONG Flags;
    21. 	USHORT LoadCount;
    22. 	USHORT TlsIndex;
    23. 	LIST_ENTRY HashLinks;
    24. 	ULONG TimeDateStamp;
    25. } LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;
    26.  
    27. // 得到内核模块基址
    28. ULONGLONG GetOsBaseAddress(PDRIVER_OBJECT pDriverObject, WCHAR *wzData)
    29. {
    30. 	UNICODE_STRING osName = { 0 };
    31. 	// WCHAR wzData[0x100] = L"ntoskrnl.exe";
    32. 	RtlInitUnicodeString(&osName, wzData);
    33.  
    34. 	LDR_DATA_TABLE_ENTRY *pDataTableEntry, *pTempDataTableEntry;
    35. 	//双循环链表定义
    36. 	PLIST_ENTRY    pList;
    37. 	//指向驱动对象的DriverSection
    38. 	pDataTableEntry = (LDR_DATA_TABLE_ENTRY*)pDriverObject->DriverSection;
    39. 	//判断是否为空
    40. 	if (!pDataTableEntry)
    41. 	{
    42. 		return 0;
    43. 	}
    44.  
    45. 	//得到链表地址
    46. 	pList = pDataTableEntry->InLoadOrderLinks.Flink;
    47.  
    48. 	// 判断是否等于头部
    49. 	while (pList != &pDataTableEntry->InLoadOrderLinks)
    50. 	{
    51. 		pTempDataTableEntry = (LDR_DATA_TABLE_ENTRY *)pList;
    52. 		if (RtlEqualUnicodeString(&pTempDataTableEntry->BaseDllName, &osName, TRUE))
    53. 		{
    54. 			return (ULONGLONG)pTempDataTableEntry->DllBase;
    55. 		}
    56. 		pList = pList->Flink;
    57. 	}
    58. 	return 0;
    59. }
    60.  
    61. VOID UnDriver(PDRIVER_OBJECT driver)
    62. {
    63. 	DbgPrint("驱动卸载 \n");
    64. }
    65.  
    66. NTSTATUS DriverEntry(IN PDRIVER_OBJECT Driver, PUNICODE_STRING RegistryPath)
    67. {
    68. 	DbgPrint("Hello LyShark.com \n");
    69.  
    70. 	ULONGLONG kernel_base = GetOsBaseAddress(Driver, L"ntoskrnl.exe");
    71. 	DbgPrint("ntoskrnl.exe => 模块基址: %p \n", kernel_base);
    72.  
    73. 	ULONGLONG hal_base = GetOsBaseAddress(Driver, L"hal.dll");
    74. 	DbgPrint("hal.dll => 模块基址: %p \n", hal_base);
    75.  
    76. 	Driver->DriverUnload = UnDriver;
    77. 	return STATUS_SUCCESS;
    78. }

    如上直接编译并运行,即可输出ntoskrnl.exe以及hal.dll两个内核模块的基址;

  • 相关阅读:
    大华相机C#学习之IStream类
    VxWorks环境搭建与学习
    并发编程之生产者消费者模型
    [项目管理-32]:项目经理六阶段职业成长之路: 达克效应=>短板理论=>刻意练习=>长版板子理论=>精进=>布道
    Java框架(三)--Spring IoC容器与Bean管理(4)--注入集合对象及查看容器内对象
    _c++11(包装器)
    C语言暑假学习刷题——Day8
    安装zip扩展(PHP)
    Merge之后,还没有Push,如何回滚
    PHP:三元运算符
  • 原文地址:https://blog.csdn.net/booming2/article/details/139409079