說驅動開發這麼長時間了，也玩玩核心鉤子，鉤子（Hook）技術是一種截獲對某一物件訪問的技術，不僅在Windows平臺，Linux平臺上也有Hook技術。Hook技術種類繁多，實現細節也不同，還可以靈活使用。

我之前寫過兩篇Ring3下的API Inline Hook的博文，這兩篇博文通過Inline Hook OpenProcess 實現對指定程序的保護，從而保護程序不能被其他程序開啟、結束、寫記憶體等等。可以先去看看：

我們先來看看都有那些常見的Hook技術：

首先是Ring3層下的Hook技術，Ring3層下的Hook包括訊息鉤子和API Hook，訊息鉤子又分為全域性訊息鉤子和程序內訊息鉤子，API Hook又分為IAT Hook和API Inline Hook，這兩種鉤子的區別和原理，看我上面的那兩篇博文。

核心下Hook就比較多了，比如Object Hook，SSDT Hook，SSDT Shadow Hook，Inline Hook，IDT Hook，SysEnter Hook等等。

我就來說說SSDT Hook，當年SSDT Hook火的時候，我可能當時連程式設計都不知道，這是一種非常古老的技術，據說這是RootKit病毒第一次採用的技術，當然也是殺軟和各種防護軟體青睞的技術。

首先大家要知道Windows系統的核心和執行體層是ntoskrnl.exe，這是整個系統的核心，而ntdll.dll是使用者模式到核心模式的介面，ntoskrnl中有兩張表，分別是：KeServiceDescriptorTable 和 KeServiceDescriptorTableShadow

Ring3層 Kernel32.dll 中的API經過ntdll.dll後一般由KeServiceDescriptorTable中的函式處理。而KeServiceDescriptorTableShadow則主要處理來自 User32.dll 和 GDI32.dll 中的API。

KeServiceDescriptorTable在ntoskrnl.exe中是匯出的。

如何知道他是匯出的呢？可以使用Dumpbin工具來檢視ntoskrnl的匯出表：

我這裡是32位系統，因此可以得到ntoskrnl匯出的KeServiceDescriptorTable，64位系統上微軟沒有匯出，就只能從32位其他電腦或虛擬機器中複製一份ntoskrnl.exe。

我們來看看KeServiceDescriptorTable究竟是個什麼東西。其實，他是這樣的一個數據結構，至少前面是這樣的：

typedef struct _KESERVICE_DESCRIPTOR_TABLE
{
	PULONG ServiceTableBase;
	PULONG ServiceCounterTableBase;
	ULONG NumberOfServices;
	PUCHAR ParamTableBase;
}KESERVICE_DESCRIPTOR_TABLE, *PKESERVICE_DESCRIPTOR_TABLE;

我最早學習SSDTHook的時候就有一個非常傻的疑問，我當初就想KeServiceDescriptorTable他匯出有什麼用啊，怎麼找到他在記憶體中的地址呢？需要先找到核心在記憶體中的基地址，然後根據KeServiceDescriptorTable在ntoskrnl中PE結構中的位置計算KeServiceDescriptorTable在記憶體中的地址，哈哈，要是這樣做第一步就需要硬編碼，而且還需要分析PE檔案結構。其實很簡單，KeServiceDescriptorTable是匯出的，只要我們匯入（宣告一下，並在程式碼中引用）不就行了，KeServiceDescriptorTable在ntoskrnl.dll中是匯出的，我們只需要和WDK中的ntoskrnl.lib連線即可，當驅動安裝時，系統核心的PE載入器會自動對我們匯入的KeServiceDescriptorTable進行重定向，我們就直接匯入即可，非常簡單。（關於重定向的細節，那就是PE檔案結構的知識了）

簡單說，就是我們宣告KeServiceDescriptorTable，並在程式碼中引用它，那麼編譯器就會把這個宣告編譯成弱符號，連線時連線ntoskrnl.lib裡的強符號即可。

就像這樣：

//ntoskrnl.exe (ntoskrnl.lib) 匯出的 KeServiceDescriptorTable
extern "C" extern PKESERVICE_DESCRIPTOR_TABLE KeServiceDescriptorTable;

（注意：用C++寫程式碼必須用extern "C"修飾，C語言則不需要。這是符號修飾約定的問題，想必大家都明白，這裡不再展開，當初學SSDTHook時不加extern "C"總是出問題，當初把我急的，算是懷念下吧）

KeServiceDescriptorTable中有我們非常感興趣的內容，比如ServiceTableBase是SSDT的基地址，NumberOfServices是SSDT中函式的個數。

SSDT就是一張函式索引表，或者說就是一個數組。我們知道，核心函式中有兩類非常特殊的函式，ZwXXX函式和NtXXX函式，其中XXX是一樣的，在Ring3下他們是一樣的，由ntdll.dll匯出，而且只是名字不同，地址都是完全一樣的，所以在R3下呼叫ZwXXX函式和NtXXX函式是完全一樣的，

等等，不信？還是用dumpbin神器來看看ntdll.dll的匯出表把，隨便找兩個ZwXXX和NtXXX函式，看看他們的地址一樣嗎。

我們繼續，但是在核心，他們是由核心ntoskrnl.exe匯出的，而且ZwXXX函式和NtXXX函式是不一樣的，其中ZwXXX函式會呼叫同名的NtXXX函式。而這一個過程是需要查SSDT的，而如果你反彙編ZwXXX函式即可發現，ZwXXX函式只是簡單地把索引號存入暫存器，那麼我們可以很輕鬆地通過ZwXXX函式得到我們要Hook函式的索引號，WDK的標頭檔案中包含了大部分核心函式的宣告，我們可以直接得到ZwXXX函式的地址，也就是說我們可以很輕鬆地找到我們需要Hook函式的索引號，為了簡化這一個過程，我們可以定義這樣的一個巨集來通過ZwXXX函式的地址得到在SSDT中的索引號。

//根據 ZwXXXX的地址 獲取服務函式在 SSDT 中所對應的服務的索引號
#define SYSTEMCALL_INDEX(ServiceFunction) (*(PULONG)((PUCHAR)ServiceFunction + 1))

OK，我們只需要得到KeServiceDescriptorTable中的SSDT的基地址，加上4*索引號，就是我們需要修改的地址，把這個地址修改成我們函式的地址，就可以攔截所有對這個核心函式的呼叫。

另外我們需要注意，SSDTHook 在32位系統上可以很好的工作，而在64位系統上，有兩個困難：
1。我們編寫的驅動無法直接載入，除錯說我們可以引導系統時開啟系統的“測試模式”，但釋出時必須用受信CA頒發的證書數字簽名，而且不僅是受信CA，必須是微軟指定的幾個CA才行，自己頒發一張根證書就算匯入了系統的證書ROOT儲存區也不行。或者破解系統的簽名機制，需要關閉UEFI安全引導，破解bootmgr，winload，ntoskrnl等。

2。就算驅動載入了也不能隨便改SSDT，必須過PG才行。

所以要在64位系統上實現hook，如果要求不是很高，在R3下做hoom也是一種很好的選擇，具體看我的這篇博文：[Win32] API Hook（2）在64位系統上的實現

好了，這就是SSDTHook的原理了，下一篇博文我會給出一個SSDTHook的實現，最後我希望大家能想一下一個小問題，從而加深對SSDTHook的理解。

我們hook的到底是ZwXXX函式呢？還是hook的NtXXX函式呢？

我更傾向於hook的是NtXXX函式，如果你從Google、百度搜索SSDTHook，那麼肯定有人說是hook的ZwXXX，也肯定有人說是NtXXX，那麼請思考這幾個問題：

1。我們hook後，在驅動程式中呼叫ZwXXX會被攔截嗎？呼叫NtXXX呢？

2。我們hook的是ZwXXX嗎，我們改動了ZwXXX了嗎？

嘿嘿，或者說我們hook的就是SSDT，不是ZwXXX，也不是NtXXX。

下一篇將給出一個SSDTHook NtOpenProcess保護程序的例項。