吾爱汇编论坛

 找回密码
 立即注册

QQ登录

绑定QQ避免忘记帐号

查看: 541|回复: 62

[C/C++] 不调用API实现驱动访问Shadow SSDT表

  [复制链接]

  离线 

升级   5%

aswcy483875672 发表于 2021-11-12 21:32 | 显示全部楼层 |阅读模式


Shadow SSDT这里面所有的函数都来自于一个win32k.sys,我看很多网上的办法是Attach Process(附加一个可以访问Shadow SSDT)的进程,如果逆过Attach Process,这个函数的本质就是切换Cr3.   
自己的猜想: 自己手动切换cr3(一个可以访问Shadow SSDT),之后获取win32k.sys的dos头位置,获取到pde,然后切换回自己的驱动进程,修改驱动程序的pde,即可达到不调用api实现访问Shadow SSDT
运行的函数头:void AffiliatedPhysical();   从这个函数头开始看
至于获取可以访问Shadow SSDT的进程,比如explorere.exe就可以,获取这个进程的cr3,你可以先通过全局句柄表获取eprocess结构体

[C] 纯文本查看 复制代码
unsigned int GetDllBase(PVOID frm,int flag) {
        UNICODE_STRING* BaseDllName = frm;
        if (flag == 1) {
                LPSTR FunName = frm;
                UNICODE_STRING us;
                ANSI_STRING as;
                as.Length = strlen(FunName);
                as.MaximumLength = strlen(FunName) + 1;
                as.Buffer = FunName;
                RtlAnsiStringToUnicodeString(&us, &as, TRUE);
                BaseDllName = &us;
        }

        LDR_DATA_TABLE_ENTRY* pLdr = pDriverObject->DriverSection;
        do {
                //DbgPrint("\nDllName: %wZ\nDllBase: %x\n", &pLdr->BaseDllName, pLdr->DllBase);
                if (!RtlCompareUnicodeString(BaseDllName, &pLdr->BaseDllName, TRUE)) {
                        return pLdr->DllBase;
                }
                pLdr = pLdr->InLoadOrderLinks.Blink;
        } while (pLdr->DllBase);

        return 0;
}

unsigned int* GetPDE(unsigned int VirtualAddr) {
        unsigned int JudgePAE = 0;
        _asm {
                mov eax, cr0;
                and eax, 0x10;
                mov JudgePAE, eax;
        }
        if (JudgePAE) {
                return 0xC0600000 + ((VirtualAddr >> 18) & 0x3ff8);
        }
        return 0xC0300000 + (VirtualAddr >> 22) * 4;
}

unsigned int* GetPTE(unsigned int VirtualAddr) {
        unsigned int JudgePAE = 0;
        _asm {
                mov eax, cr0;
                and eax, 0x10;
                mov JudgePAE, eax;
        }
        if (JudgePAE) {
                return 0xC0000000 + ((VirtualAddr >> 9) & 0x7ffff8);
        }
        return 0xC0000000 + (VirtualAddr >> 22) * 0x1000 + ((VirtualAddr << 10) >> 22) * 4;
}

unsigned int GetEProcess(LPSTR ImageFileName) {
        unsigned int** PspCidTable;
        _asm {
                mov eax, dword ptr ds:[0xffdff000 + 0x34];
                mov eax, dword ptr ds : [eax + 0x80];
                mov eax, dword ptr ds : [eax];
                and eax, 0xFFFFFFFC;
                mov PspCidTable, eax;
        }

        int i = 0;
        while (*PspCidTable) {

                for (size_t j = 2; j < 0x800; j += 2) {

                        OBJECT_HEADER* Head = (PspCidTable[i][j] & 0xFFFFFFFE) - 0x18;

                        if (MmIsAddressValid(Head)) {

                                OBJECT_TYPE* TypeName = Head->Type;

                                if (!wcscmp(L"Process", TypeName->Name.Buffer)) {

                                        unsigned char* Name = (PspCidTable[i][j] & 0xFFFFFFFE) + 0x174;

                                        if (!strcmp(Name, ImageFileName)) {

                                                return PspCidTable[i][j] & 0xFFFFFFFE;
                                        }
                                }
                        }
                }
                i++;
                PspCidTable++;
        }
        return 0;
}

//给驱动挂上win32k物理页
void AffiliatedPhysical() {
        unsigned int Eprocess = GetEProcess("explorer.exe");
        unsigned int rr3 = *(unsigned int*)(Eprocess + 0x18);

        _asm {
                cli;
                mov eax, cr3;
                push eax;
                mov eax, rr3;
                mov cr3, eax;
        }

        unsigned int PDE = *GetPDE(GetDllBase("win32k.sys", 1));

        _asm {
                pop eax;
                mov cr3, eax;
                sti;
        }

        *GetPDE(GetDllBase("win32k.sys", 1)) = PDE;

        DbgPrint("挂载物理页成功了!\n");
}

评分

参与人数 6HB +13 THX +4 收起 理由
agan8888 + 1
pmm018 + 2
mxx852 + 1 + 1 [快捷评语]--2021年,我们爱0爱1
liu8522850 + 1 + 1 [快捷评语]--你将受到所有人的崇拜!
白云点缀的蓝 + 6 + 1 [快捷评语]--积极评分,从我做起。感谢分享!
boot + 2 + 1 [快捷评语]--积极评分,从我做起。感谢分享!

查看全部评分

吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

白云点缀的蓝 发表于 2021-11-13 12:04 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

升级   5%

丰富踢白开水 发表于 2022-1-22 14:41 | 显示全部楼层


感谢楼主
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

升级   5%

拼搏笑小白菜 发表于 2022-1-22 23:05 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

升级   72.46%

CQPyO618 发表于 2022-1-29 12:49 | 显示全部楼层


感谢楼主
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

升级   31.88%

NQYHnsv4372 发表于 2022-1-29 13:04 | 显示全部楼层
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

升级   95%

冷风7 发表于 2022-1-31 01:05 | 显示全部楼层


感谢楼主
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

升级   61.59%

fMb42 发表于 2022-2-1 00:59 | 显示全部楼层


没有比这个更强的啦!!!
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

升级   54.35%

gLNw7 发表于 2022-2-2 19:16 | 显示全部楼层


火前留名!我相信一定会火!
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM

  离线 

升级   68.12%

hZW13 发表于 2022-2-2 19:18 | 显示全部楼层


感谢楼主
吾爱汇编论坛-学破解,防破解!知进攻,懂防守!逆向分析,软件安全!52HB.COM
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则 警告:本站严惩灌水回复,尊重自己从尊重他人开始!

1层
2层
3层
4层
5层
6层
7层
8层
9层
10层

免责声明

吾爱汇编论坛(www.52hb.com)所发布的破解补丁、注册机、逆向教程、逆向文章等,包含但不限于上述内容,仅限用于学习和研究目的,不得用于非法途径或商业行为。否则,一切后果请用户自行承担。本站内容源于网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除。如果您喜欢某程序,请购买正版,支持正版,获得正版优质服务。如有侵权请邮件或微信与我们联系处理。

站长邮箱:SharkHeng@iCloud.com
站长微信:SharkHeng


QQ|RSS|手机版|小黑屋|帮助|吾爱汇编论坛 ( 京公网安备11011502005403号 , 京ICP备20003498号 )

GMT+8, 2022-5-28 14:55 , Processed in 0.388589 second(s), 80 queries .

Powered by Discuz!

吾爱汇编论坛 www.52hb.com

快速回复 返回顶部 返回列表