详解Win64上的SSDT

前置知识:汇编

关键词:win64,SSDT

图/文 胡文亮

探究了一年多的Win64内核,终于到了核心部分:SSDT。我估计SSDT这个词对很多底层爱好者都有特殊的含义,绝对不仅仅是“系统服务描述表”这么简单,相信不少人都是从玩SSDT HOOK开始玩Windows内核的,至少我就是如此。大约十年前,网上出现了第一篇详解Win32上SSDT的中文文章。十年之后,让我来用中文来写这篇《详解Win64上的SSDT》。

好了,废话就不说了,说多了估计有读者会拿砖头拍我。言归正传,本文只解决两个问题。第一,如何在内核里动态获得SSDT的基址;第二,如何在内核里动态获得Native API的地址(无论导出与否)。至于如何调用Native API,就不解释了,因为调用API是C语言的问题,和平台无关。

在Win32下,第一个问题就根本不是问题,因为KeService DescriptorTable直接被导出了。但是Win64下,KeServiceDescriptor Table没有被导出。所以我们必须搜索得到它的地址。首先反汇编一下KiSystemCall64:

  lkd> uf KiSystemCall64
  Flow analysis was incomplete, some code may be missing
  nt!KiSystemCall64:
  fffff800`03cc7ec00f01f8         swapgs
  fffff800`03cc7ec3654889242510000000 mov qword ptr
gs:[10h],rsp
  fffff800`03cc7ecc65488b2425a8010000 movrsp,qword ptr gs:[1A8h]
  fffff800`03cc7ed56a2b           push 2Bh
  fffff800`03cc7ed765ff342510000000 push qword
ptr gs:[10h]
  fffff800`03cc7edf4153           push r11
  fffff800`03cc7ee16a33           push 33h
  fffff800`03cc7ee351             push rcx
  fffff800`03cc7ee4498bca         mov rcx,r10
  fffff800`03cc7ee74883ec08       sub rsp,8
  fffff800`03cc7eeb55             push rbp
  fffff800`03cc7eec4881ec58010000 sub rsp,158h
  fffff800`03cc7ef3488dac2480000000 lea
rbp,[rsp+80h]
  fffff800`03cc7efb48899dc0000000 mov qword ptr
[rbp +0C0h],rbx
  fffff800`03cc7f024889bdc8000000 mov qword ptr
[rbp +0C8h],rdi
  fffff800`03cc7f094889b5d0000000 mov qword ptr
[rbp +0D0h],rsi
  fffff800`03cc7f10c645ab02 mov byte ptr
[rbp-55h],2
  fffff800`03cc7f1465488b1c2588010000 mov rbx,qword
ptr gs: [188h]
  fffff800`03cc7f1d0f0d8bd8010000 prefetchw [rbx+1D8h]
  fffff800`03cc7f240fae5dac stmxcsr dword ptr
[rbp-54h]
  fffff800`03cc7f28650fae142580010000 ldmxcsr dword ptr
gs:[180h]
  fffff800`03cc7f31807b0300 cmp byte ptr
[rbx+3],0
  fffff800`03cc7f3566c785800000000000 mov word ptr
[rbp+80h],0
  fffff800`03cc7f3e0f848c000000 je
nt!KiSystemCall64+0x110 (fffff800`03cc7fd0)
  【省略大量无关代码】
  nt!KiSystemCall64+0x110:
  fffff800`03cc7fd0 fb sti
  fffff800`03cc7fd1 48898be0010000 mov qword ptr
[rbx +1E0h],rcx
  fffff800`03cc7fd8 8983f8010000 mov dword ptr
[rbx +1F8h],eax
  fffff800`03cc7fde 4889a3d8010000 mov qword ptr
[rbx +1D8h],rsp
  fffff800`03cc7fe5 8bf8 mov edi,eax
  fffff800`03cc7fe7 c1ef07 shr edi,7
  fffff800`03cc7fea 83e720 and edi,20h
  fffff800`03cc7fed 25ff0f0000 and eax,0FFFh
  nt!KiSystemServiceRepeat:
  fffff800`03cc7ff2 4c8d1547782300 lea
r10,[nt!KeService DescriptorTable (fffff800`03eff840)]
  fffff800`03cc7ff9 4c8d1d80782300 lea
r11,[nt!KeService DescriptorTableShadow (fffff800`03eff880)]
  fffff800`03cc8000 f7830001000080000000 test dword ptr
[rbx +100h],80h
  fffff800`03cc800a 4d0f45d3 cmovne r10,r11
  fffff800`03cc800e 423b441710 cmp eax,dword ptr [rdi +r10+10h]
  fffff800`03cc8013 0f83e9020000 jae nt!KiSystemServiceExit+0x1a7 (fffff800`03cc8302)
  nt!KiSystemServiceRepeat+0x27:
  fffff800`03cc8019 4e8b1417 mov r10,qword ptr
[rdi +r10]
  fffff800`03cc801d 4d631c82 movsxd r11,dword
ptr [r10 +rax*4]
  fffff800`03cc8021 498bc3 mov rax,r11
  fffff800`03cc8024 49c1fb04 sar r11,4
  fffff800`03cc8028 4d03d3 add r10,r11
  fffff800`03cc802b 83ff20 cmp edi,20h
  fffff800`03cc802e 7550 jne
nt!KiSystemServiceGdiTebAccess+0x49 (fffff800`03cc8080)
  【省略大量无关代码】

最终,我们在KiSystemServiceRepeat里找到了KeService DescriptorTable的踪影。可能会有人问,为什么不直接反汇编KiSystemServiceRepeat呢?原因很简单,因为你找不到KiSystem ServiceRepeat的地址。虽然KiSystemCall64和KiSystemService Repeat都没有由ntoskrnl. exe导出,但是我们能找到KiSystemCall64的地址。怎么找?直接读取指定的msr得出。很多人只听过通用寄存器和调试寄存器,其实还有很多其他的寄存器(你想想最古老的586 CPU的一级缓存都有32KB呢,而现在的AMD64 CPU的每个核心的一级缓存正好有64KB)。Msr的中文全称是就是“特别模块寄存器”(model specific register),它控制CPU的工作环境和标示CPU的工作状态等信息(例如倍频、最大TDP、危险警报温度),它能够读取,也能够写入,但是无论读取还是写入,都只能在Ring 0下进行。我们通过读取C0000082寄存器,能够得到KiSystemCall64的地址,然后从KiSystemCall64的地址开始,往下搜索0x500字节左右(特征码是4c8d15),就能得到KeServiceDescriptorTable的地址了。同理,我们换一下特征码(4c8d1d),就能获得KeServiceDescriptor TableShadow的地址了。

先用WinDBG证明一下(输入rdmsr c0000082),如图1所示。

图1

代码实现如下:

   ULONGLONG MyGetKeServiceDescriptorTable64()
   {
      PUCHAR StartSearchAddress =
(PUCHAR)__readmsr(0xC0000082);
      PUCHAR EndSearchAddress = StartSearchAddress +
0x500;
      PUCHAR i = NULL;
      UCHAR b1=0,b2=0,b3=0;
      ULONG templong=0;
      ULONGLONG addr=0;
      for(i=StartSearchAddress;i<EndSearchAddress;i++)
      {
         if( MmIsAddressValid(i) && MmIsAddressValid(i+1) &&
MmIsAddressValid(i+2) )
         {
            b1=*i;
            b2=*(i+1);
            b3=*(i+2);
            if( b1==0x4c && b2==0x8d && b3==0x15 )
//4c8d15
          {
              memcpy(&templong,i+3,4);
              addr = (ULONGLONG)templong +
(ULONG LONG)i + 7;
              return addr;
           }
        }
    }
    return 0;
}

计算地址的核心代码是4c8d15后面的那4个字节(正好算是一个long)加上当前指令的起始地址再加上7。为什么要加上7呢?因为[lea r10,XXXXXXXX]指令的长度是7个字节。另外,我在外国的网站上看到了同样功能的另外一段代码,也贴出来给大家看一下:

  ULONGLONG GetKeServiceDescriptorTable64()
  {
    char KiSystemServiceStart_pattern[13] =
"\x8B\xF8\xC1\xEF\ x07\x83\xE7\x20\x25\xFF\x0F\x00\x00";
    ULONGLONG CodeScanStart = (ULONGLONG)&_
strnicmp;
  ULONGLONG CodeScanEnd =
(ULONGLONG)&KdDebugger NotPresent;
  ULONGLONG i, tbl_address, b;
  for (i = 0; i < CodeScanEnd - CodeScanStart; i++)
  {
    if
(!memcmp((char*)(ULONGLONG)CodeScanStart +i,
(char*)KiSystemServiceStart_pattern,13))
    {
      for (b = 0; b < 50; b++)
      {
      tbl_address =
((ULONGLONG)CodeScan Start+i+b);
      if (*(USHORT*) ((ULONGLONG)tbl_
address)==(USHORT)0x8d4c)
         return ((LONGLONG)tbl_address
+7) + *(LONG*)(tbl_address +3);
             }
        }
    }
    return 0;
}

接下来要获取Native API在内核里的地址了。获取Native API在内核里的地址需要得知Native API的index。由于我还没有摸透PE+格式,所以这个index暂时用硬编码。怎么得知这个index呢?我们还是需要使用WinDBG,不过不需要内核调试,普通调试就可以了。随便创建一个进程,然后使用WinDBG附加,再然后在命令栏里输入:u ntdll!函数名

比如输入u ntdll!NtOpenProcess,出现以下结果:

0:004> u ntdll!ntopenprocess
ntdll!ZwOpenProcess:
00000000`772b0110 4c8bd1     mov    r10,rcx
00000000`772b0113 b823000000 mov    eax,23h
00000000`772b0118 0f05       syscall
00000000`772b011a c3         ret

再输入u ntdll!NtTerminateProcess,出现以下结果:

0:004> u ntdll!NtTerminateProcess
ntdll!ZwTerminateProcess:
00000000`772b0170 4c8bd1     mov      r10,rcx
00000000`772b0173 b829000000 mov      eax,29h
00000000`772b0178 0f05       syscall
00000000`772b017a c3         ret

可以看到两次反汇编的结果几乎完全相同,唯一不同的地方是第二句。XXh就是此函数的index。

接下来的重头戏就是分析怎样由index和SSDT基址得到Native API的地址。可以说,每个Win64系统(XP/2003/VISTA/7)的计算方法都不同。我下面分析的计算方法,是Windows 7 X64的。这个计算方法不难寻找,它就隐藏在KiSystemServiceStart里。先看一段对KiSystemServiceStart的反汇编代码:

  nt!KiSystemServiceStart:
  fffff800`03cc7fde 4889a3d8010000    mov    qword ptr
[rbx +1D8h],rsp
  ;Native API Index
  fffff800`03cc7fe5 8bf8              mov    edi,eax
  ;操作1
  fffff800`03cc7fe7 c1ef07            shr    edi,7
  ;操作2
  fffff800`03cc7fea 83e720            and    edi,20h
  ;操作3(和获得地址无关,和对比函数有效性有关)
  fffff800`03cc7fed 25ff0f0000        and    eax,0FFFh
  nt!KiSystemServiceRepeat:
  ;取得SSDT地址
  fffff800`03cc3ff2 4c8d1547782300    lea
r10,[nt!KeService DescriptorTable (fffff800`03efb840)]
  ;取得SSSDT地址
  fffff800`03cc3ff9 4c8d1d80782300    lea
r11,[nt!KeServiceDescriptorTableShadow (fffff800`03efb880)]
  ;判断调用的是ssdt函数还是sssdt函数
  fffff800`03cc4000 f7830001000080000000 test dword
ptr [rbx +100h],80h
  ;根据上面的判断把ssdt或sssdt的基址放入r10
  fffff800`03cc400a 4d0f45d3          cmovne  r10,r11
  ;判断函数是否有效
  fffff800`03cc400e 423b441710        cmp     eax,dword ptr [rdi +r10+10h]
  ;条件跳转
  fffff800`03cc4013 0f83e9020000      jae
nt!KiSystemService Exit+0x1a7 (fffff800`03cc4302)
  ;计算步骤1
  fffff800`03cc4019 4e8b1417          mov r10,qword
ptr [rdi +r10]
  ;计算步骤2
  fffff800`03cc401d 4d631c82          movsxd r11,dword
ptr [r10 +rax*4]
  ;计算步骤3
  fffff800`03cc4021 498bc3            mov rax,r11
  ;计算步骤4
  fffff800`03cc4024 49c1fb04          sar r11,4
  ;计算步骤5
  fffff800`03cc4028 4d03d3            add r10,r11
  ;edi和0x20对比(和计算函数地址无关)
  fffff800`03cc402b 83ff20            cmp edi,20h
  ;条件跳转
  fffff800`03cc402e 7550              jne
nt!KiSystemService GdiTebAccess+0x49 (fffff800`03cc4080)
  【省略大量无关代码】
  ;调用Native API
  fffff800`03cc4150 41ffd2            call r10

一般来说反汇编代码里的精华部分很少,不过这段汇编代码却全部都是精华,它完整地诠释了系统是怎样由SSDT基址和Native API的index获得Native API的地址。我曾经尝试把这段汇编代码变成数学公式,但是算出来的结果不对。为了保证能算对地址,我决定使用原版的汇编代码来计算:

mov rax, rcx ;rcx=Native API的index
  lea r10,[rdx] ;rdx=ssdt基址
  mov edi,eax
  shr edi,7
  and edi,20h
  mov r10, qword ptr [r10+rdi]
  movsxd r11,dword ptr [r10+rax*4]
  mov rax,r11
  sar r11,4
  add r10,r11
  mov rax,r10
  ret

由于微软的x64编译器不能内联汇编,所以使用我只能使用Shellcode了:

  typedef UINT64 (__fastcall *SCFN)(UINT64,UINT64);
  SCFN scfn;
  VOID Initxxxx()
  {
  UCHAR strShellCode[36]="\x48\x8B\xC1\x4C\x8D\
x12\x8B\xF8\xC1\xEF\x07\x83\xE7\x20\x4E\x8B\x14\x17\x4
D\x63\x1C\x82\x49\x8B\xC3\x49\xC1\xFB\x04\x4D\x03\xD3\x
49\x8B\xC2\xC3";
    scfn=ExAllocatePool(NonPagedPool,36);
    memcpy(scfn,strShellCode,36);
  }
  ULONGLONG
GetSSDTFunctionAddress64(ULONGLONG NtApiIndex)
  {
    ULONGLONG ret=0;
    ULONGLONG ssdt=GetKeServiceDescriptorTable64();
    if(scfn==NULL)
        Initxxxx();
    ret=scfn(NtApiIndex, ssdt);
    return ret;
}

测试代码和运行结果如图2所示。

  DbgPrint("SSDT: %llx[TA's
method]",MyGetKeServiceDescriptor Table64());
  DbgPrint("SSDT: %llx[Foreigner's method]",GetKeService
DescriptorTable64());
  DbgPrint("NtOpenProcess: %llx",GetSSDTFunction
Address64(0x23));
  DbgPrint("NtTerminateProcess: %llx",GetSSDTFunction
Address64(0x29));

图2

本文到此结束,至于如何在Win64上开启调试模式和测试签名模式、如何给驱动加上测试签名,如何让DBGVIEW有输出,如何获取X64ASM的Shellcode,我就不赘述了,请参看我以前的文章。文章不算太长,但是我的研究时间很长,几乎长达10天。在此期间遇到了各种莫名其妙的问题,在文中都略过不表了。希望本文能给各位读者带来一些帮助。至于通过Native API名获得Native API Index,这关系到PE+结构的问题,又是一个全新的话题了,不是一两句话能讲完的,这只能留待日后再讲了。

(编辑提醒:本文涉及的代码可以到黑防官方网站下载