驱动开发:内核扫描SSDT挂钩状态
在笔者上一篇文章《内核实现SSDT挂钩与摘钩》
中介绍了如何对SSDT
函数进行Hook
挂钩与摘钩的,本章将继续实现一个新功能,如何检测SSDT
函数是否挂钩,要实现检测挂钩状态
有两种方式,第一种方式则是类似于《摘除InlineHook内核钩子》
文章中所演示的通过读取函数的前16个字节与原始字节
做对比来判断挂钩状态,另一种方式则是通过对比函数的当前地址
与起源地址
进行判断,为了提高检测准确性本章将采用两种方式混合检测。
具体原理,通过解析内核文件PE结构
找到导出表,依次计算出每一个内核函数的RVA
相对偏移,通过与内核模块基址
相加此相对偏移得到函数的原始地址,然后再动态获取函数当前地址,两者作比较即可得知指定内核函数是否被挂钩。
在实现这个功能之前我们需要解决两个问题,第一个问题是如何得到特定内核模块的内存模块基址
此处我们需要封装一个GetOsBaseAddress()
用户只需要传入指定的内核模块即可得到该模块基址,如此简单的代码没有任何解释的必要;
|
如上直接编译并运行,即可输出ntoskrnl.exe
以及hal.dll
两个内核模块的基址;
其次我们还需要实现另一个功能,此时想像一下当我告诉你一个内存地址,我想要查该内存地址属于哪个模块该如何实现,其实很简单只需要拿到这个地址依次去判断其是否大于等于该模块的基地址,并小于等于该模块的结束地址,那么我们就认为该地址落在了此模块上,在这个思路下LyShark
实现了以下代码片段。
|
我们以0xFFFFF8051AF5D030
地址为例对其进行判断可看到输出了如下结果,此地址被落在了hal.dll
模块上;
为了能读入磁盘PE文件到内存此时我们还需要封装一个LoadKernelFile()
函数,该函数的作用是读入一个内核文件到内存空间中,此处如果您使用前一篇《内核解析PE结构导出表》
文章中的内存映射函数来读写则会蓝屏,原因很简单KernelMapFile()
是映射而映射一定无法一次性完整装载其次此方法本质上还在占用原文件,而LoadKernelFile()
则是读取磁盘文件并将其完整拷贝一份,这是两者的本质区别,如下代码则是实现完整拷贝的实现;
|
运行如上这段程序,则会将ntoskrnl.exe
文件载入到内存,并读取出其中的OptionalHeader.ImageBase
映像基址,如下图所示;
有了上述方法,最后一步就是组合并实现判断即可,如下代码通过对导出表的解析,并过滤出所有的Nt
开头的系列函数,然后依次对比起源地址与原地址是否一致,得出是否被挂钩,完整代码如下所示;
ULONGLONG ntoskrnl_base = 0; |
使用ARK工具手动改写几个Nt开头的函数,并运行这段代码,观察是否可以输出被挂钩的函数详情;