SSDT 的全称是 System Services Descriptor Table，系统服务描述符表。这个表就是一个把 Ring3 的 Win32 API 和 Ring0 的内核 API 联系起来。SSDT 并不仅仅只包含一个庞大的地址索引表，它还包含着一些其它有用的信息，诸如地址索引的基地址、服务函数个数等。通过修改此表的函数地址可以对常用 Windows 函数及 API 进行 Hook，从而实现对一些关心的系统动作进行过滤、监控的目的。一些 HIPS、防毒软件、系统监控、注册表监控软件往往会采用此接口来实现自己的监控模块。

结构

ssdt是一张表，即系统服务描述符表

kd> dd  KeServiceDescriptorTable

第一个参数指向的地址存储的是全部的内核函数

这个参数代表ssdt表里面有多少个内核函数

这个参数是一个指针指向一个地址，这里表示的是与上面的内核函数相对应的参数个数，例如第一个为18，参数个数就为18/4 = 6

这里找一下OpenProcess在SSDT表的索引，首先bp OpenProcess

断在了kerner32.OpenProcess，这里OpenProcess会调用ntdll里面的ZwOpenProcess进入ring0，在ring0ZwOpenProcess又会调用NtOpenProcess

赶紧去可以发现mov eax,0x7A，那么这里ZwOpenProcess的索引就为0x7A

然后通过KeServiceDescriptorTable找到所有的内核函数，通过内核函数+偏移找到OpenProcess函数

在 NT 4.0 以上的 Windows 操作系统中，默认就存在两个系统服务描述表，这两个调度表对应了两类不同的系统服务，这两个调度表为：KeServiceDescriptorTable 和 KeServiceDescriptorTableShadow，其中 KeServiceDescriptorTable 主要是处理来自 Ring3 层 Kernel32.dll 中的系统调用，而 KeServiceDescriptorTableShadow 则主要处理来自 User32.dll 和 GDI32.dll 中的系统调用，并且KeServiceDescriptorTable 在ntoskrnl.exe(Windows 操作系统内核文件，包括内核和执行体层)是导出的，而 KeServiceDescriptorTableShadow 则是没有被 Windows 操作系统所导出。

关于 SSDT 的全部内容则都是通过KeServiceDescriptorTable 来完成的。

SSDT表的结构通过结构体表示为如下：

typedef struct _KSERVICE_TABLE_DESCRIPTOR

{

  KSYSTEM_SERVICE_TABLE  ntoskrnl;  // ntoskrnl.exe 的服务函数

  KSYSTEM_SERVICE_TABLE  win32k;  // win32k.sys 的服务函数

(GDI32.dll/User32.dll 的内核支持)

  KSYSTEM_SERVICE_TABLE  notUsed1;

  KSYSTEM_SERVICE_TABLE  notUsed2;

} KSERVICE_TABLE_DESCRIPTOR, * PKSERVICE_TABLE_DESCRIPTOR;

其中每一项又是一个结构体： KSYSTEM_SERVICE_TABLE 。通过结构体表示为如下：

typedef struct _KSYSTEM_SERVICE_TABLE

{

  PULONG  ServiceTableBase;      // SSDT (System Service Dispatch Table)的基地址

  PULONG  ServiceCounterTableBase;  // 用于 checked builds, 包含 SSDT 中每个服务被调用的次数

  ULONG  NumberOfService;      // 服务函数的个数, NumberOfService * 4 就是整个地址表的大小

  ULONG  ParamTableBase;      // SSPT(System Service Parameter Table)的基地址

} KSYSTEM_SERVICE_TABLE, * PKSYSTEM_SERVICE_TABLE;

调用号

进入0环时调用号是eax传递的，但这个调用号并不只是一个普通的数字作为索引序号，系统会把他用32位数据表示，拆分成19：1：12的格式，如下：

分析一下0-11这低12位组成一个真正的索引号，第12位表示服务表号，13-31位没有使用。而进入内核后调用哪一张表，就由调用号中的第12位决定，为0则调用SSDT表，为1则调用ShadowSSDT表。

CR4寄存器

这里函数准备好以后，就要将该函数的指针覆盖原来NtOpenProcess的指针。但是需要注意的是：我们自己改自己的代码是不用管权限的，改别人的代码很有可能这块内存是只读的，并不可写。

那么本质上就是SSDT对应的物理页是只读的，这里有两种办法，我们都知道物理页的内存R/W位的属性是由PDE和PTE相与而来的，那么我们就可以改变SSDT对应的PDE和PTE的R/W属性，将物理页设置为可读可写的。通过CR4寄存器判断是2-9-9-12分页还是10-10-12分页。

if(RCR4 & 0x00000020)

{//说明是2-9-9-12分页

      KdPrint(("2-9-9-12分页 %p\n",RCR4));

      KdPrint(("PTE1 %p\n",*(DWORD*)(0xC0000000 + ((HookFunAddr >> 9) &0x007FFFF8))));

      *(DWORD64*)(0xC0000000 + ((HookFunAddr >> 9) & 0x007FFFF8)) |= 0x02;

      KdPrint(("PTE1 %p\n",*(DWORD*)(0xC0000000 + ((HookFunAddr >> 9) &0x007FFFF8))));

}

else

{//说明是10-10-12分页

      KdPrint(("10-10-12分页\n"));

      KdPrint(("PTE1 %p\n",*(DWORD*)(0xC0000000 + ((HookFunAddr >> 10) & 0x003FFFFC))));

      *(DWORD*)(0xC0000000 + ((HookFunAddr >> 10) & 0x003FFFFC)) |= 0x02;

      KdPrint(("PTE2 %p\n",*(DWORD*)(0xC0000000 + ((HookFunAddr >> 10) &0x003FFFFC))));

}

CR0寄存器

使用PsGetCurrentThread()函数可获取当前KTHREAD的首地址。

但是需要注意的是SSDT表所在的内存页属性是只读，没有写入的权限，所以需要把该地址设置为可写入，这样才能写入自己的函数，使用的是CR0寄存器关闭只读属性。

简单介绍下CR0寄存器:

可以看到这里使用32位寄存器，而在CR0寄存器中，我们重点关注的是3个标志位：

PE ­ 是否启用保护模式,置1则启用。

PG ­ 是否使用分页模式, 置1则开启分页模式, 此标志置1时, PE 标志也必须置1,否则CPU报异常。

WP WP为1时, 不能修改只读的内存页 , WP为0时, 可以修改只读的内存页。

所以在进行HOOK时，只要把CR0寄存器中的WP位置为0，就能对内存进行写入操作。

//关闭页只读保护

__asm

    {

        push eax;

        mov eax, cr0;

        and eax, ~0x10000; // 与0x10000相与后取反得到0

        mov cr0, eax;

        pop eax;

        ret;

    }

//开启页只读保护

__asm

    {

        push eax;

        mov eax, cr0;

        or eax, 0x10000;

        mov cr0, eax;

        pop eax;

        ret;

    }

实现代码

#include <ntddk.h>

#include <ntstatus.h>

// 记录原函数的地址

ULONG uOldNtOpenProcess;

//内核之SSDT-HOOK

//系统服务表

typedef struct _KSYSTEM_SERVICE_TABLE

{

    PULONG ServiceTableBase;      //函数地址表的首地址

    PULONG ServiceCounterTableBase;//函数表中每个函数被调用的次数

    ULONG  NumberOfService;        //服务函数的个数

    ULONG ParamTableBase;          //参数个数表首地址

}KSYSTEM_SERVICE_TABLE, *PKSYSTEM_SERVICE_TABLE;

//服务描述符

typedef struct _KSERVICE_TABLE_DESCRIPTOR

{

    KSYSTEM_SERVICE_TABLE ntoskrnl;//ntoskrnl.exe的服务函数,SSDT

    KSYSTEM_SERVICE_TABLE win32k;  //win32k.sys的服务函数,ShadowSSDT

    KSYSTEM_SERVICE_TABLE notUsed1;//暂时没用1

    KSYSTEM_SERVICE_TABLE notUsed2;//暂时没用2

}KSERVICE_TABLE_DESCRIPTOR, *PKSERVICE_TABLE_DESCRIPTOR;

//定义HOOK的函数的类型

typedef NTSTATUS(NTAPI* FuZwOpenProcess)(

    _Out_ PHANDLE ProcessHandle,

    _In_ ACCESS_MASK DesiredAccess,

    _In_ POBJECT_ATTRIBUTES ObjectAttributes,

    _In_opt_ PCLIENT_ID ClientId

    );

//自写的函数声明

NTSTATUS NTAPI MyZwOpenProcess(

    _Out_ PHANDLE ProcessHandle,

    _In_ ACCESS_MASK DesiredAccess,

    _In_ POBJECT_ATTRIBUTES ObjectAttributes,

    _In_opt_ PCLIENT_ID ClientId

);

// KeServiceDescriptorTable 为 ntoskrnl.exe 所导出的全局变量

extern PKSERVICE_TABLE_DESCRIPTOR KeServiceDescriptorTable;

//记录系统的该函数

FuZwOpenProcess g_OldZwOpenProcess;

//服务描述符表指针

KSERVICE_TABLE_DESCRIPTOR* g_pServiceTable = NULL;

//要保护进程的ID

ULONG g_Pid = 1624;

//安装钩子

NTSTATUS HookNtOpenProcess();

//卸载钩子

NTSTATUS UnHookNtOpenProcess();

//关闭页写入保护

void ShutPageProtect();

//开启页写入保护

void OpenPageProtect();

//卸载驱动

void DriverUnload(DRIVER_OBJECT* obj);

/***驱动入口主函数***/

NTSTATUS DriverEntry(DRIVER_OBJECT* driver, UNICODE_STRING* path)

{

    KdPrint(("驱动启动成功！\n"));

    //安装钩子

    HookNtOpenProcess();

    driver->DriverUnload = DriverUnload;

    return STATUS_SUCCESS;

}

//卸载驱动

void DriverUnload(DRIVER_OBJECT* obj)

{

    //卸载钩子

    UnHookNtOpenProcess();

    KdPrint(("驱动卸载成功！\n"));

}

NTSTATUS HookNtOpenProcess()

{

    NTSTATUS Status;

    Status = STATUS_SUCCESS;

    //1.关闭页只读保护

    ShutPageProtect();

    //2.修改SSDT表

    uOldNtOpenProcess = KeServiceDescriptorTable->ntoskrnl.ServiceTableBase[0x7a];

    KeServiceDescriptorTable->ntoskrnl.ServiceTableBase[0x7a] =(ULONG)MyZwOpenProcess;

    //3.开启页只读保护

    OpenPageProtect();

    return Status;

}

//卸载钩子

NTSTATUS UnHookNtOpenProcess()

{

    NTSTATUS status;

    status = STATUS_SUCCESS;

    //1.关闭页只读保护

    ShutPageProtect();

    //2.写入原来的函数到SSDT表内

    KeServiceDescriptorTable->ntoskrnl.ServiceTableBase[0x7a] = uOldNtOpenProcess;

    //3.开启页只读保护

    OpenPageProtect();

    return status;

}

//关闭页只读保护

void _declspec(naked) ShutPageProtect()

{

    __asm

    {

        push eax;

        mov eax, cr0;

        and eax, ~0x10000;

        mov cr0, eax;

        pop eax;

        ret;

    }

}

//开启页只读保护

void _declspec(naked) OpenPageProtect()

{

    __asm

    {

        push eax;

        mov eax, cr0;

        or eax, 0x10000;

        mov cr0, eax;

        pop eax;

        ret;

    }

}

//自写的函数

NTSTATUS NTAPI MyZwOpenProcess(

    _Out_ PHANDLE ProcessHandle,

    _In_ ACCESS_MASK DesiredAccess,

    _In_ POBJECT_ATTRIBUTES ObjectAttributes,

    _In_opt_ PCLIENT_ID ClientId

)

{

    //当此进程为要保护的进程时

    if (ClientId->UniqueProcess == (HANDLE)g_Pid)

    {

        //设为拒绝访问

        DesiredAccess = 0;

    }

    //调用原函数

    return NtOpenProcess(ProcessHandle,DesiredAccess,ObjectAttributes,ClientId);

}

实现效果如下

参考

参考自hxd的r0下