背景

SSDT 全称为 System Services Descriptor Table，即系统服务描述符表。SSDT 表的作用就是把 ring3 的 WIN32 API 函数和 ring0 的内核 API 函数联系起来。对于ring3下的一些API，最终会对应于 ntdll.dll 里一个 Ntxxx 函数，例如 CreateFile，最终调用到 ntdll.dll 里的 NtCreateFile 这个函数。NtCreateFile最终将系统服务号放入EAX，然后 CALL 系统的服务分发函数 KiSystemService，进入到内核当中。从 ring3 到 ring0，最终在 ring0 当中通过传入的 EAX 得到对应的同名系统服务的内核地址，这样就完成了一次系统服务的调用。SSDT 并不仅仅只包含一个庞大的地址索引表，它还包含着一些其它有用的信息，诸如地址索引的基地址、服务函数个数等。

SSDT 通过修改此表的函数地址可以对常用 Windows 函数进行 HOOK，从而实现对一些核心的系统动作进行过滤、监控的目的。一些HIPS、防毒软件、系统监控、注册表监控软件往往会采用此接口来实现自己的监控模块。

本质上，其实 SSDT 就是一个用来保存 Windows 系统服务地址的数组而已 。

32 位系统和 64 位上，获取 SSDT 表的方式并不相同，获取 SSDT 表中的函数地址也不相同。现在，我就分别对其进行极讲解介绍，并形成文档。本文主要讲解的是 32 位系统下，编程实现获取 SSDT 表的地址，以及获取 SSDT 表函数对应的内核地址。

实现原理

获取 SSDT 表的地址

在 32 位系统中，SSDT 表是内核 Ntoskrnl.exe 导出的一张表，导出符号为 KeServiceDescriptorTable，该表含有一个指针指向SSDT中包含 Ntoskrnl.exe 实现的核心服务。所以，我们要想在 32 位系统上获取 SSDT 表地址，直接获取 Ntoskrnl.exe 导出符号 KeServiceDescriptorTable 即可。

SSDT 表结构为：

#pragmapack(1)

typedefstruct_SERVICE_DESCIPTOR_TABLE

{

PULONGServiceTableBase;// SSDT基址

PULONGServiceCounterTableBase;// SSDT中服务被调用次数计数器

ULONGNumberOfService;// SSDT服务个数

PUCHARParamTableBase;// 系统服务参数表基址

}SSDTEntry,*PSSDTEntry;

#pragmapack()

所以，从 Ntoskrnl.exe 获取导出符号 KeServiceDescriptorTable 的代码如下：

externSSDTEntry__declspec(dllimport)KeServiceDescriptorTable;

获取 SSDT 表函数地址

在 32 位系统中，SSDT 包含了所有内核导出函数的地址。每个地址长度为 4 字节。所以要获得 SSDT 中某个函数的地址，如下代码所示：

KeServiceDescriptorTable.ServiceTableBase+SSDT函数索引号*4

// 或者

KeServiceDescriptorTable.ServiceTableBase[SSDT函数索引号]

SSDT 函数索引号可以从 ntdll.dll 文件中获取，当 ring3 级 API 函数最终进入 ring0 级的时候，它会先将 SSDT函数索引号 mov 给 eax 寄存器。所以，我们获取 ntdll.dll 导出函数的地址，从中获取 SSDT 函数索引号。具体的实现过程分析过程，可以参考我写的《内核内存映射文件之获取SSDT函数索引号》这篇文章。

编码实现

获取SSDT函数索引号// 从 ntdll.dll 中获取 SSDT 函数索引号

ULONGGetSSDTFunctionIndex(UNICODE_STRING ustrDllFileName,PCHAR pszFunctionName)

{

ULONG ulFunctionIndex=0;

NTSTATUS status=STATUS_SUCCESS;

HANDLE hFile=NULL;

HANDLE hSection=NULL;

PVOID pBaseAddress=NULL;

// 内存映射文件

status=DllFileMap(ustrDllFileName,&hFile,&hSection,&pBaseAddress);

if(!NT_SUCCESS(status))

{

KdPrint(("DllFileMap Error!\n"));

returnulFunctionIndex;

}

// 根据导出表获取导出函数地址, 从而获取 SSDT 函数索引号

ulFunctionIndex=GetIndexFromExportTable(pBaseAddress,pszFunctionName);

// 释放

ZwUnmapViewOfSection(NtCurrentProcess(),pBaseAddress);

ZwClose(hSection);

ZwClose(hFile);

returnulFunctionIndex;

}

// 内存映射文件

NTSTATUSDllFileMap(UNICODE_STRING ustrDllFileName,HANDLE*phFile,HANDLE*phSection,PVOID*ppBaseAddress)

{

NTSTATUS status=STATUS_SUCCESS;

HANDLE hFile=NULL;

HANDLE hSection=NULL;

OBJECT_ATTRIBUTES objectAttributes={0};

IO_STATUS_BLOCK iosb={0};

PVOID pBaseAddress=NULL;

SIZE_T viewSize=0;

// 打开 DLL 文件, 并获取文件句柄

InitializeObjectAttributes(&objectAttributes,&ustrDllFileName,OBJ_CASE_INSENSITIVE|OBJ_KERNEL_HANDLE,NULL,NULL);

status=ZwOpenFile(&hFile,GENERIC_READ,&objectAttributes,&iosb,

FILE_SHARE_READ,FILE_SYNCHRONOUS_IO_NONALERT);

if(!NT_SUCCESS(status))

{

KdPrint(("ZwOpenFile Error! [error code: 0x%X]",status));

returnstatus;

}

// 创建一个节对象, 以 PE 结构中的 SectionALignment 大小对齐映射文件

status=ZwCreateSection(&hSection,SECTION_MAP_READ|SECTION_MAP_WRITE,NULL,0,PAGE_READWRITE,0x1000000,hFile);

if(!NT_SUCCESS(status))

{

ZwClose(hFile);

KdPrint(("ZwCreateSection Error! [error code: 0x%X]",status));

returnstatus;

}

// 映射到内存

status=ZwMapViewOfSection(hSection,NtCurrentProcess(),&pBaseAddress,0,1024,0,&viewSize,ViewShare,MEM_TOP_DOWN,PAGE_READWRITE);

if(!NT_SUCCESS(status))

{

ZwClose(hSection);

ZwClose(hFile);

KdPrint(("ZwMapViewOfSection Error! [error code: 0x%X]",status));

returnstatus;

}

// 返回数据

*phFile=hFile;

*phSection=hSection;

*ppBaseAddress=pBaseAddress;

returnstatus;

}

// 根据导出表获取导出函数地址, 从而获取 SSDT 函数索引号

ULONGGetIndexFromExportTable(PVOID pBaseAddress,PCHAR pszFunctionName)

{

ULONG ulFunctionIndex=0;

// Dos Header

PIMAGE_DOS_HEADER pDosHeader=(PIMAGE_DOS_HEADER)pBaseAddress;

// NT Header

PIMAGE_NT_HEADERS pNtHeaders=(PIMAGE_NT_HEADERS)((PUCHAR)pDosHeader+pDosHeader->e_lfanew);

// Export Table

PIMAGE_EXPORT_DIRECTORY pExportTable=(PIMAGE_EXPORT_DIRECTORY)((PUCHAR)pDosHeader+pNtHeaders->OptionalHeader.DataDirectory[0].VirtualAddress);

// 有名称的导出函数个数

ULONG ulNumberOfNames=pExportTable->NumberOfNames;

// 导出函数名称地址表

PULONG lpNameArray=(PULONG)((PUCHAR)pDosHeader+pExportTable->AddressOfNames);

PCHAR lpName=NULL;

// 开始遍历导出表

for(ULONG i=0;i

{

lpName=(PCHAR)((PUCHAR)pDosHeader+lpNameArray[i]);

// 判断是否查找的函数

if(0==_strnicmp(pszFunctionName,lpName,strlen(pszFunctionName)))

{

// 获取导出函数地址

USHORT uHint=*(USHORT*)((PUCHAR)pDosHeader+pExportTable->AddressOfNameOrdinals+2*i);

ULONG ulFuncAddr=*(PULONG)((PUCHAR)pDosHeader+pExportTable->AddressOfFunctions+4*uHint);

PVOID lpFuncAddr=(PVOID)((PUCHAR)pDosHeader+ulFuncAddr);

// 获取 SSDT 函数 Index

#ifdef_WIN64

ulFunctionIndex=*(ULONG*)((PUCHAR)lpFuncAddr+4);

#else

ulFunctionIndex=*(ULONG*)((PUCHAR)lpFuncAddr+1);

#endif

break;

}

}

returnulFunctionIndex;

}

获取SSDT表地址#pragmapack(1)

typedefstruct_SERVICE_DESCIPTOR_TABLE

{

PULONGServiceTableBase;// SSDT基址

PULONGServiceCounterTableBase;// SSDT中服务被调用次数计数器

ULONGNumberOfService;// SSDT服务个数

PUCHARParamTableBase;// 系统服务参数表基址

}SSDTEntry,*PSSDTEntry;

#pragmapack()

// 直接获取 SSDT

externSSDTEntry__declspec(dllimport)KeServiceDescriptorTable;

获取SSDT函数地址// 获取 SSDT 函数地址

PVOIDGetSSDTFunction(PCHAR pszFunctionName)

{

UNICODE_STRING ustrDllFileName;

ULONG ulSSDTFunctionIndex=0;

PVOID pFunctionAddress=NULL;

RtlInitUnicodeString(&ustrDllFileName,L"\\??\\C:\\Windows\\System32\\ntdll.dll");

// 从 ntdll.dll 中获取 SSDT 函数索引号

ulSSDTFunctionIndex=GetSSDTFunctionIndex(ustrDllFileName,pszFunctionName);

// 根据索引号, 从SSDT表中获取对应函数地址

pFunctionAddress=(PVOID)KeServiceDescriptorTable.ServiceTableBase[ulSSDTFunctionIndex];

// 显示

DbgPrint("[%s][Index:%d][Address:0x%p]\n",pszFunctionName,ulSSDTFunctionIndex,pFunctionAddress);

returnpFunctionAddress;

}

程序测试

在 Win7 32 位系统下，驱动程序正常执行：

在 Win10 32 位系统下，驱动程序正常执行：

总结

32 位下的 SSDT 表已经由 Ntoskrnl.exe 导出，我们直接获取导出符号 KeServiceDescriptorTable 就能获取 SSDT 表。其中，要注意 SSDT 结构体是按 1 字节大小对齐的。

对于 SSDT 函数索引号的获取，可以从 ntdll.dll 的导出函数中获取，因为 ntdll.dll 导出函数的开头，总是将 SSDT 函数索引号 mov 到 eax 寄存器，所以，我们可以直接根据 ntdll.dll 的导出函数地址，获取 SSDT 函数索引号。

参考