Windows系统调用中的系统服务表描述符

 Windows内核分析索引目录：https://www.cnblogs.com/onetrainee/p/11675224.html

Windows系统调用中的系统服务表描述符(SSDT)

　　在前面，我们将解过 系统服务表。可是，我们有个疑问，系统服务表存储在哪里呢？

　　答案就是：系统服务表 存储在 系统服务描述符表中。(其又称为 SSDT Service Descriptor Table)

　　

 一、使用PELord函数从ntoskrnl.exe文件中查看SSDT导出函数

　　如图，可以看出KeServiceDescriptorTable导出函数。

　　通过该函数可以查找SSDT表的位置。

　　

二、通过Windbg来内存中查看SSDT表

　　使用Windbg，可以使用 kd> dd nt!KeServiceDescriptorTable 指令来查看SSDT表。

　　但该指令存在缺点，可以看到第二张表为0，说明如果使用KeServiceDescriptorTable这个公开的导出函数，我们无法看到win32k.sys这张表结构

　　kd> dd nt!KeServiceDescriptorTable
　　　　83f759c0  83e89d9c 00000000 00000191 83e8a3e4
　　　　83f759d0  00000000 00000000 00000000 00000000
　　　　83f759e0  83ee86af 00000000 0327aa43 000000bb
　　　　83f759f0  00000011 00000100 5385d2ba d717548f

　　为了解决上面这个问题，我们只能使用另外一个指令，该指令对应的是一个未公开导出的函数。

　　如下，可以看到其第二行，win32k.sys系统服务表已经可见。

　　kd> dd KeServiceDescriptorTableShadow
　　　　83f75a00  83e89d9c 00000000 00000191 83e8a3e4
　　　　83f75a10  83b66000 00000000 00000339 83b6702c
　　　　83f75a20  00000000 00000000 83f75a24 00000340
　　　　83f75a30  00000340 855e8440 00000007 00000000

三、验证ReadMemory真正的内核实现部分

　　我们在这篇《Windows系统调用中API的三环部分(依据分析重写ReadProcessMemory函数)》中曾提到过直接使用快速调用来摒弃R3层层封装的API，其中给eax一个函数号，现在我们来实战刨析一下。

mov eax, 0x115
mov edx, 0X7FFE0300

　　如下，系统描述符的数据结构，其依次分别为

　　

　　其依次分别为 ServiceTable 83e89d9c,Count 00000000,ServiceLimit  00000191,ServiceTable 83e8a3e4　

　　使用Windbg来查看其115h序号的函数地址 115h*4 + 83e89d9c (ServiceTable)

　　得到函数地址为 8406c82c

　　kd> dd 115h*4 + 83e89d9c
　　　　83e8a1f0  8406c82c 840feb46 83fb488c 83fb6128　

　　再对此进行反汇编可得

　　kd > u 8406c82c　　　
                nt!NtReadVirtualMemory:
                8406c82c 6a18            push    18h
                8406c82e 68282ae683      push    offset nt!? ? ::FNODOBFM::`string'+0x3ea8 (83e62a28)
                8406c833 e870e3e1ff      call    nt!_SEH_prolog4(83e8aba8)
                8406c838 648b3d24010000  mov     edi, dword ptr fs : [124h]
                8406c83f 8a873a010000    mov     al, byte ptr[edi + 13Ah]
                8406c845 8845e4          mov     byte ptr[ebp - 1Ch], al
                8406c848 8b7514          mov     esi, dword ptr[ebp + 14h]
                8406c84b 84c0            test    al, al

　　之后，我们查看该nt!NtReadVirtualMemory函数的参数个数

　　kd > db 83e8a3e4 + 115
                83e8a4f9  14 08 04 04 14 04 10 08 - 0c 04 14 18 08 08 08 0c
                83e8a509  0c 08 10 14 08 08 0c 08 - 0c 0c 04 08 08 08 08 08  
                83e8a519  08 0c 0c 24 00 08 08 08 - 0c 04 08 04 08 10 08 04　　

　　

四、通过修改SSDT表增添系统服务函数

　　我们在 Windows系统调用中API的三环部分(依据分析重写ReadProcessMemory函数) 调用的是 115h 号函数。

　　现在，我们将该函数地址放到 191 号函数处(之前一共有191个函数，占据0-190位)。

　　修改思路：

　　1）将 nt!NtReadVirtualMemory 函数地址 8406c82c 放到 191号处(83e89d9 + 191h*4)

　　　　kd> ed 83e89d9 + 191h*4　8406c82c　

　　2)  增大 服务表最大个数。 (因为我们上一节分析其反汇编代码的时候，发现其会进行最大个数的判断)

　　　　kd> ed 83f75a00+8 192

　　3)  修改参数个数表中对应的191号参数个数。（我们之前查阅过其为 14,以字节为单位)

　　　　kd> eb 83e8a3e4+191 14

　　4)  之后，我们运行下列代码。其与《Windows系统调用中API的三环部分(依据分析重写ReadProcessMemory函数)》唯一的不同调用函数号为192，最终效果完全一样。

 #include "pch.h"
 #include <iostream>
 #include <algorithm>
 #include <Windows.h>
 void  ReadMemory(HANDLE hProcess, PVOID pAddr, PVOID pBuffer, DWORD dwSize, DWORD  *dwSizeRet)
 {

     _asm
     {
         lea     eax, [ebp + 0x14]
         push    eax
         push[ebp + 0x14]
         push[ebp + 0x10]
         push[ebp + 0xc]
         push[ebp + ]
         sub esp,
         mov eax, 0x192  // 注意：修改的是这里
         mov edx, 0X7FFE0300   //sysenter不能直接调用，我间接call的
         CALL DWORD PTR[EDX]
         add esp, 

     }
 }
 int main()
 {
     HANDLE hProcess = ;
     int t = ;
     DWORD pBuffer;
     //hProcess = OpenProcess(PROCESS_ALL_ACCESS, 0,a);
     ReadMemory((HANDLE)-, (PVOID)&t, &pBuffer, sizeof(int), );
     printf("%X\n", pBuffer);
     ReadProcessMemory((HANDLE)-, &t, &pBuffer, sizeof(int), );
     printf("%X\n", pBuffer);

     getchar();
     return ;
 }

五、驱动代码实现

　　其中涉及页保护问题，可以查看我的博客其他文章，有介绍。

 /*
     利用IDT_HOOK技术，将115h号函数地址挂靠在191h处。
 */

 #include <ntddk.h>
 #include <ntstatus.h>
 // 系统服务表的结构体
 typedef struct _KSYSTEM_SERVICE_TABLE
 {
     PULONG  ServiceTableBase;                               // SSDT (System Service Dispatch Table)的基地址
     PULONG  ServiceCounterTableBase;                        // 用于 checked builds, 包含 SSDT 中每个服务被调用的次数
     ULONG   NumberOfService;                                // 服务函数的个数, NumberOfService * 4 就是整个地址表的大小
     // ParamTableBase[0x115]，一个字节一个数，因此要使用PUCHAR数据类型而不是PULONG
     PUCHAR   ParamTableBase                                 // SSPT(System Service Parameter Table)的基地址
 } KSYSTEM_SERVICE_TABLE, *PKSYSTEM_SERVICE_TABLE;
 // SSDT结构体
 typedef struct _KSERVICE_TABLE_DESCRIPTOR
 {
     KSYSTEM_SERVICE_TABLE   ntoskrnl;                       // ntoskrnl.exe 的服务函数
     KSYSTEM_SERVICE_TABLE   win32k;                         // win32k.sys 的服务函数(GDI32.dll/User32.dll 的内核支持)
     KSYSTEM_SERVICE_TABLE   notUsed1;
     KSYSTEM_SERVICE_TABLE   notUsed2;
 }KSERVICE_TABLE_DESCRIPTOR, *PKSERVICE_TABLE_DESCRIPTOR;
  // KeServiceDescriptorTable 这个变量名不能改，其为 ntoskrnl.exe 导出的变量名
 extern PKSYSTEM_SERVICE_TABLE KeServiceDescriptorTable;
 //关闭内存保护裸函数
 void _declspec(naked)OffMemoryProtect()
 {
     __asm { //关闭内存保护
         push eax;
         mov eax, cr0;
         and eax, ~0x10000;
         mov cr0, eax;
         pop eax;
         ret;
     }
 }
 //开启内存保护裸函数
 void  _declspec(naked)OnMemoryProtect()
 {
     __asm { //恢复内存保护
         push eax;
         mov eax, cr0;
         or eax, 0x10000;
         mov cr0, eax;
         pop eax;
         ret;
     }
 }

 // 驱动卸载函数
 NTSTATUS DriverUnload(PDRIVER_OBJECT Driver) {
     return STATUS_SUCCESS;
 }

 // 驱动入口函数
 NTSTATUS DriverEntry(PDRIVER_OBJECT Driver, PUNICODE_STRING RegPath) {
     NTSTATUS status;

     Driver->DriverUnload = DriverUnload;
     DbgPrint("---> %x", KeServiceDescriptorTable);

     // 关闭内存保护
     OffMemoryProtect();

     // 修改服务表的最大个数
     KeServiceDescriptorTable->NumberOfService++;
     // 增加一个新地址
     KeServiceDescriptorTable->ServiceTableBase[0x191] = KeServiceDescriptorTable->ServiceTableBase[0x115];
     // 将参数地址也给同步更新
     KeServiceDescriptorTable->ParamTableBase[0x191] = KeServiceDescriptorTable->ParamTableBase[0x115];

     // 开启内存保护
     OnMemoryProtect();
     return STATUS_SUCCESS;
 }