内核编程之SSDTHook（3）Hook NtCreateSection监控所有可执行模块加载

在上两篇博文中，我介绍了SSDTHook的原理，并给出了一个实例--通过Hook NtOpenProcess来实现进程保护

这次我们玩个更好玩的，拦截所有可执行模块的载人！杀软都有这种功能，当一个程序运行时，他能得到具体路径，检查是否安全后，还可以通知用户询问是否允许运行。

这么有趣的功能，要如何实现呢，其实出了hook也有办法，但是我们现在研究的是hook，就hook ssdt吧，那么问题来了，要hook那个系统服务函数呢？在用户模式创建进程，大家一下就会想到CreateProcess，然后想到CreateProcessAsUser等，正好SSDT里有一个NtCreateProcess，很多人想当然就想到要hook这个（其实我当时也是），其实我们有一个捷径，我们可以hook这个函数：NtCreateSection（NT 5.x，2000-XP）或NtCreateUserProcess（NT 6.x，NT 10.x，Vista-W10），当一个可执行模块载人时，系统会先调用NtCreateFile来打开文件，创建文件对象，然后调用NtCreateSection，再调用NtCreateProcess，然后再完成一些其他工作，比如创建线程，通知Win32子系统，因此我们可以Hook这个系统服务函数来拦截可执行模块的载人，但在Vista以后，系统不会再调用NtCreateSection，而是整个过程统统交给了NtCreateUserProcess来处理，但是这不以为着在Vista+对NtCreateSection做hook一点价值都没有，其实，DLL的载人内存也需要经过这一个过程，因此我们可以通过对这个函数做hook实现对DLL载人的监控和拦截，再退一步说，如果我们想在XP上监控和拦截进程的创建，就要hook NtCreateSection。

我们首先来看看NtCreateSection的原型：

[cpp] view plain copy

print?

1. NTSTATUS ZwCreateSection(  

2.   _Out_    PHANDLE            SectionHandle,  

3.   _In_     ACCESS_MASK        DesiredAccess,  

4.   _In_opt_ POBJECT_ATTRIBUTES ObjectAttributes,  

5.   _In_opt_ PLARGE_INTEGER     MaximumSize,  

6.   _In_     ULONG              SectionPageProtection,  

7.   _In_     ULONG              AllocationAttributes,  

8.   _In_opt_ HANDLE             FileHandle  

9. );  

Windows加载所有的可执行模块在参数 SectionPageProtection 和 AllocationAttributes 与普通的映射文件有所区别，具有以下特点：

[cpp] view plain copy

print?

1. (AllocationAttributes == SEC_IMAGE) && (SectionPageProtection & PAGE_EXECUTE)  

SSDTHook和原理和实现细节都在上两篇博文（http://blog.csdn.net/zuishikonghuan/article/details/50717936 和http://blog.csdn.net/zuishikonghuan/article/details/50765464）中详细说，我们就详细说说怎么得到要创建的进程的路径吧。

首先我们需要得到文件对象的指针，由于我们在NtCreateSection里可以得到文件句柄，所以可以用ObReferenceObjectByHandle得到文件对象的指针，然后要得到文件路径有两种方法，第一种方法比较复杂：FILE_OBJECT中有一个成员FileName，是不包含卷名称的文件路径，然后，通过FILE_OBJECT里有一个成员DeviceObject，然后通过ObQueryNameString、RtlUnicodeStringToAnsiString、RtlVolumeDeviceToDosName得到卷名称，第二种方法就很简单了，直接调用IoQueryFileDosDeviceName就行了。本例中我们用第二种方法，因此不解释了，各位直接看代码吧。

另外还需要说明的一点是，我们在内核中得到的路径是以“\??\”开头的，这是为何呢？还记得之前驱动开发的博文中创建设备和符号连接吗，磁盘设备上有卷设备，而X盘中的X:就是卷设备的符号连接，符号连接在内核下是以“\??\”开头的，用户模式下是以“\\.\”开头的。

另外，可能还会有人问怎么在得到路径后通知应用程序，以便应用程序检查是否安全以及通知用户呢？可以在应用程序中用一个线程一直读我们创建的设备，驱动派遣函数中阻塞I/O请求（可以用Event，KeWaitForSingleObject等，在后续的驱动开发博文中讲），然后在hook里面激活事件，然后应用程序读取得到路径，线程通信，再次读取，驱动程序再次阻塞I/O请求……和轮询相比，消耗的系统资源很少，而且非常简单。

好了，该说的都已经说了，不该说的也说了，最后上代码，注释也比较丰富，还不明白就看代码吧：

[cpp] view plain copy

print?

1. #include <Ntifs.h>  

2. #include <ntddk.h>  

3. extern "C" VOID DriverUnload(PDRIVER_OBJECT pDriverObject);  

4. extern "C" NTSTATUS DefDispatchRoutine(PDEVICE_OBJECT pDevObj, PIRP pIrp);  

5. extern "C" NTSTATUS IoctlDispatchRoutine(PDEVICE_OBJECT pDevObj, PIRP pIrp);  

7. #define IOCTL1 CTL_CODE(FILE_DEVICE_UNKNOWN,0x800,METHOD_BUFFERED,FILE_ANY_ACCESS)  

8. #define SEC_IMAGE 0x1000000  

10. typedef struct _DEVICE_EXTENSION {  

11.     UNICODE_STRING SymLinkName; //我们定义的设备扩展里只有一个符号链接名成员  

12. } DEVICE_EXTENSION, *PDEVICE_EXTENSION;  

14. //我们将 NtCreateSection hook 到自己的函数  

15. NTSTATUS NTAPI MyNtCreateSection(PHANDLE SectionHandle, ACCESS_MASK DesiredAccess, POBJECT_ATTRIBUTES ObjectAttributes,  

16.     PLARGE_INTEGER MaximumSize, ULONG SectionPageProtection, ULONG AllocationAttributes, HANDLE FileHandle);  

18. //KeServiceDescriptorTable 中我们感兴趣的结构  

19. typedef struct _KESERVICE_DESCRIPTOR_TABLE  

20. {  

21.     PULONG ServiceTableBase;  

22.     PULONG ServiceCounterTableBase;  

23.     ULONG NumberOfServices;  

24.     PUCHAR ParamTableBase;  

25. }KESERVICE_DESCRIPTOR_TABLE, *PKESERVICE_DESCRIPTOR_TABLE;  

27. //ntoskrnl.exe (ntoskrnl.lib) 导出的 KeServiceDescriptorTable  

28. extern "C" extern PKESERVICE_DESCRIPTOR_TABLE KeServiceDescriptorTable;  

30. //关闭页面保护  

31. void PageProtectClose()  

32. {  

33.     __asm{  

34.         cli;  

35.         mov eax, cr0;  

36.         and eax, not 10000h;  

37.         mov cr0, eax;  

38.     }  

39. }  

41. //启用页面保护  

42. void PageProtectOpen()  

43. {  

44.     __asm{  

45.         mov eax, cr0;  

46.         or eax, 10000h;  

47.         mov cr0, eax;  

48.         sti;  

49.     }  

50. }  

52. //根据 ZwXXXX的地址 获取服务函数在 SSDT 中所对应的服务的索引号  

53. #define SYSTEMCALL_INDEX(ServiceFunction) (*(PULONG)((PUCHAR)ServiceFunction + 1))  

55. ULONG oldNtCreateSection;//之前的NtCreateSection  

56. ULONG ProtectProcessID = 0;  

58. #pragma code_seg("INIT")  

59. extern "C" NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject, PUNICODE_STRING pRegistryPath)  

60. {  

61.     DbgPrint("DriverEntry\r\n");  

63.     pDriverObject->DriverUnload = DriverUnload;//注册驱动卸载函数  

65.     //注册派遣函数  

66.     pDriverObject->MajorFunction[IRP_MJ_CREATE] = DefDispatchRoutine;  

67.     pDriverObject->MajorFunction[IRP_MJ_CLOSE] = DefDispatchRoutine;  

68.     pDriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = IoctlDispatchRoutine;  

70.     NTSTATUS status;  

71.     PDEVICE_OBJECT pDevObj;  

72.     PDEVICE_EXTENSION pDevExt;  

74.     //创建设备名称的字符串  

75.     UNICODE_STRING devName;  

76.     RtlInitUnicodeString(&devName, L"\\Device\\MySSDTHookDevice");  

78.     //创建设备  

79.     status = IoCreateDevice(pDriverObject, sizeof(DEVICE_EXTENSION), &devName, FILE_DEVICE_UNKNOWN, 0, TRUE, &pDevObj);  

80.     if (!NT_SUCCESS(status))  

81.         return status;  

83.     pDevObj->Flags |= DO_BUFFERED_IO;//将设备设置为缓冲设备  

84.     pDevExt = (PDEVICE_EXTENSION)pDevObj->DeviceExtension;//得到设备扩展  

86.     //创建符号链接  

87.     UNICODE_STRING symLinkName;  

88.     RtlInitUnicodeString(&symLinkName, L"\\??\\MySSDTHookDevice_link");  

89.     pDevExt->SymLinkName = symLinkName;  

90.     status = IoCreateSymbolicLink(&symLinkName, &devName);  

91.     if (!NT_SUCCESS(status))  

92.     {  

93.         IoDeleteDevice(pDevObj);  

94.         return status;  

95.     }  

97.     //Hook SSDT  

98.     PageProtectClose();  

99.     //得到原来的地址，记录在 oldNtCreateSection  

100.     oldNtCreateSection = KeServiceDescriptorTable->ServiceTableBase[SYSTEMCALL_INDEX(ZwCreateSection)];  

101.     //修改SSDT中 NtCreateSection 的地址，使其指向 MyNtCreateSection  

102.     KeServiceDescriptorTable->ServiceTableBase[SYSTEMCALL_INDEX(ZwCreateSection)] = (ULONG)&MyNtCreateSection;  

103.     DbgPrint("Old Addr：0x%X\r\n", oldNtCreateSection);  

104.     PageProtectOpen();  

106.     return STATUS_SUCCESS;  

107. }  

109. DRIVER_UNLOAD DriverUnload;  

110. extern "C" VOID DriverUnload(PDRIVER_OBJECT pDriverObject)  

111. {  

112.     PageProtectClose();  

113.     //修改SSDT中 NtCreateSection 的地址，使其指向 oldNtCreateSection  

114.     //也就是在驱动卸载时恢复原来的地址  

115.     KeServiceDescriptorTable->ServiceTableBase[SYSTEMCALL_INDEX(ZwCreateSection)] = oldNtCreateSection;  

116.     PageProtectOpen();  

118.     PDEVICE_OBJECT pDevObj;  

119.     pDevObj = pDriverObject->DeviceObject;  

121.     PDEVICE_EXTENSION pDevExt = (PDEVICE_EXTENSION)pDevObj->DeviceExtension;//得到设备扩展  

123.     //删除符号链接  

124.     UNICODE_STRING pLinkName = pDevExt->SymLinkName;  

125.     IoDeleteSymbolicLink(&pLinkName);  

127.     //删除设备  

128.     IoDeleteDevice(pDevObj);  

129. }  

131. extern "C" NTSTATUS DefDispatchRoutine(PDEVICE_OBJECT pDevObj, PIRP pIrp)  

132. {  

133.     pIrp->IoStatus.Status = STATUS_SUCCESS;  

134.     pIrp->IoStatus.Information = 0;  

135.     IoCompleteRequest(pIrp, IO_NO_INCREMENT);  

136.     return STATUS_SUCCESS;  

137. }  

139. extern "C" NTSTATUS IoctlDispatchRoutine(PDEVICE_OBJECT pDevObj, PIRP pIrp)  

140. {  

141.     NTSTATUS status = STATUS_SUCCESS;  

143.     //得到I/O堆栈的当前这一层，也就是IO_STACK_LOCATION结构的指针  

144.     PIO_STACK_LOCATION stack = IoGetCurrentIrpStackLocation(pIrp);  

146.     ULONG in_size = stack->Parameters.DeviceIoControl.InputBufferLength;//得到输入缓冲区的大小  

147.     ULONG code = stack->Parameters.DeviceIoControl.IoControlCode;//得到控制码  

149.     PVOID buffer = pIrp->AssociatedIrp.SystemBuffer;//得到缓冲区指针  

151.     switch (code)  

152.     {  

153.     case IOCTL1:  

154.         DbgPrint("Get ioctl code 1\r\n");  

155.         break;  

156.     default:  

157.         status = STATUS_INVALID_VARIANT;  

158.         //如果是没有处理的IRP，则返回STATUS_INVALID_VARIANT，这意味着用户模式的I/O函数失败，但并不会设置GetLastError  

159.     }  

161.     // 完成IRP  

162.     pIrp->IoStatus.Status = status;//设置IRP完成状态，会设置用户模式下的GetLastError  

163.     pIrp->IoStatus.Information = 0;//设置操作的字节  

164.     IoCompleteRequest(pIrp, IO_NO_INCREMENT);//完成IRP，不增加优先级  

165.     return status;  

166. }  

168. NTSTATUS NTAPI MyNtCreateSection(PHANDLE SectionHandle, ACCESS_MASK DesiredAccess, POBJECT_ATTRIBUTES ObjectAttributes,  

169.     PLARGE_INTEGER MaximumSize, ULONG SectionPageProtection, ULONG AllocationAttributes, HANDLE FileHandle){  

170.     if ((AllocationAttributes == SEC_IMAGE) && (SectionPageProtection & PAGE_EXECUTE)){  

171.         if (FileHandle){  

172.             PFILE_OBJECT FileObject;  

173.             NTSTATUS status;  

174.             if ((status = ObReferenceObjectByHandle(FileHandle, 0, NULL, KernelMode, (PVOID*)&FileObject, NULL)) == STATUS_SUCCESS){  

175.                 POBJECT_NAME_INFORMATION FilePath;  

176.                 if ((status = IoQueryFileDosDeviceName(FileObject, &FilePath)) == STATUS_SUCCESS){  

177.                     DbgPrint("FilePath: %ws\r\n", FilePath->Name.Buffer);  

178.                     ExFreePool(FilePath);// IoQueryFileDosDeviceName 获取的 OBJECT_NAME_INFORMATION 需要手动释放  

179.                 }  

180.                 else DbgPrint("E: IoQueryFileDosDeviceName failed with code 0x%X\r\n", status);  

181.                 ObDereferenceObject(FileObject);//使获取到的 FileObject 引用计数减1  

182.             }  

183.             else DbgPrint("E: ObReferenceObjectByHandle failed with code 0x%X\r\n", status);  

184.         }  

185.         else DbgPrint("E: FileHandle is NULL.\r\n");  

186.     }  

188.     //定义一个函数指针 _NtCreateSection, 根据 oldNtCreateSection 记录的真实函数的地址进行 Call  

189.     //也就是说其他进程直接交还给系统的 NtCreateSection 处理  

190.     typedef NTSTATUS(NTAPI * _NtCreateSection)(PHANDLE SectionHandle, ACCESS_MASK DesiredAccess, POBJECT_ATTRIBUTES ObjectAttributes,  

191.         PLARGE_INTEGER MaximumSize, ULONG SectionPageProtection, ULONG AllocationAttributes, HANDLE FileHandle);  

192.     _NtCreateSection _oldNtCreateSection = (_NtCreateSection)oldNtCreateSection;  

194.     return _oldNtCreateSection(SectionHandle, DesiredAccess, ObjectAttributes, MaximumSize, SectionPageProtection, AllocationAttributes, FileHandle);  

195. }