x64 Vista SSDT Address

x64 Vista SSDT Address
Xuefeng Chang(welfear@gmail.com)
2009
 
Windows Vista x64版本相比于以前版本使用了不同的数据结构和不同的地址。
 
根据在ReactOS中找到的KTHREAD信息中，包含了SSDT表的信息。
 
SSDT in KTHREAD

typedef struct _KTHREAD {

    DISPATCHER_HEADER Header;

    LIST_ENTRY MutantListHead;

    PVOID InitialStack;

    PVOID StackLimit;
#if defined(_IA64_)

    PVOID InitialBStore;

    PVOID BStoreLimit;
#endif

    PVOID Teb;

    PVOID TlsArray;

    PVOID KernelStack;
#if defined(_IA64_)

    PVOID KernelBStore;
#endif

    BOOLEAN DebugActive;

    UCHAR State;

    BOOLEAN Alerted[MaximumMode];

    UCHAR Iopl;

    UCHAR NpxState;

    CHAR Saturation;

    SCHAR Priority;

    KAPC_STATE ApcState;

    ULONG ContextSwitches;

    LONG_PTR WaitStatus;

    KIRQL WaitIrql;

    KPROCESSOR_MODE WaitMode;

    BOOLEAN WaitNext;

    UCHAR WaitReason;

    PRKWAIT_BLOCK WaitBlockList;

    LIST_ENTRY WaitListEntry;

    ULONG WaitTime;

    SCHAR BasePriority;

    UCHAR DecrementCount;

    SCHAR PriorityDecrement;

    SCHAR Quantum;

    KWAIT_BLOCK WaitBlock[THREAD_WAIT_OBJECTS + 1];

    PVOID LegoData;

    ULONG KernelApcDisable;

    KAFFINITY UserAffinity;

    BOOLEAN SystemAffinityActive;

    UCHAR PowerState;

    UCHAR NpxIrql;

    UCHAR Pad[1];

    PVOID ServiceTable;

    ......
} KTHREAD, *PKTHREAD;
 
使用KeGetCurrentThread()就可以得到这个结构。
但在Vista x64中ServiceTable字段已经被去掉了，并且KeSystemSeriveTable也没有导出。
要使用SSDT表就要找到新的获得地址方法。
 
以下实验数据在build number 6001的Vista SP1中得到。
在使用becedit /debug on来开启本地调试模式，并载入正确的符号表。
 
windows仍然使用ntdll.dll来切换CPL3到CPL0，Vista使用SYSCALL指令完成切换。
根据Intel instructions hoodbook中的解释：
SYSCALL:Fast System Call
SYSRET: Return From Fast System Call
 
SYSCALL保存RIP的值到RCX中，并载入新的RIP值：IA32_LSTAR。
 
lkd> u ntdll!NtCreateFile
ntdll!NtCreateFile:
00000000`772b5fc0 4c8bd1          mov     r10,rcx ；NtXXXXX
00000000`772b5fc3 b852000000      mov     eax,52h ; FunctionIndex
00000000`772b5fc8 0f05            syscall
00000000`772b5fca c3              ret
 
在KiInitializeBootStructures中：
 
lea rax, KiSystemCall32
mov ecx, 0C0000083 ;CSTAR
mov rdx, rax
shr rdx, 20
wrmsr
 
lea rax, KiSystemCall64
mov ecx, 0C0000082 ;LSTAR
mov rdx, rax
shr rdx, 20
wrmsr
 
所以在Windbg中使用rdmsr命令直接看C0000082寄存器的值：
lkd> rdmsr C0000082
msr[c0000082] = fffff800`018b8c00
lkd> ln fffff800`018b8c00
(fffff800`018b8c00)   nt!KiSystemCall64   |  (fffff800`018b8cbe)   nt!KiSystemServiceStart
Exact matches:

    nt!KiSystemCall64 = <no type information
 
返回的值正是KiSystemCall64。
反汇编此函数发现它确实和Vista之前的版本不一样，以前是使用当前线程的KTHREAD中查找SSDT值，而现在是直接使用。
 
lkd> uf fffff800`018b8c00
Flow analysis was incomplete, some code may be missing
nt!KiSystemCall64:
fffff800`018b8c00 0f01f8                swapgs
fffff800`018b8c03 654889242510000000    mov   qword ptr gs:[10h],rsp
fffff800`018b8c0c 65488b2425a8010000    mov   rsp,qword ptr gs:[1A8h]
fffff800`018b8c15 6a2b                  push    2Bh
fffff800`018b8c17 65ff342510000000      push    qword ptr gs:[10h]
fffff800`018b8c1f 4153                  push    r11
fffff800`018b8c21 6a33                  push    33h
fffff800`018b8c23 51                    push    rcx
fffff800`018b8c24 498bca                mov     rcx,r10
fffff800`018b8c27 4883ec08              sub     rsp,8
fffff800`018b8c2b 55                    push    rbp
fffff800`018b8c2c 4881ec58010000        sub     rsp,158h
fffff800`018b8c33 488dac2480000000      lea     rbp,[rsp+80h]
fffff800`018b8c3b 48899dc0000000        mov     qword ptr [rbp+0C0h],rbx
fffff800`018b8c42 4889bdc8000000        mov     qword ptr [rbp+0C8h],rdi
fffff800`018b8c49 4889b5d0000000        mov     qword ptr [rbp+0D0h],rsi
fffff800`018b8c50 c645ab02              mov     byte ptr [rbp-55h],2
fffff800`018b8c54 65488b1c2588010000    mov   rbx,qword ptr gs:[188h]
fffff800`018b8c5d 0f0d8bc8010000        prefetchw [rbx+1C8h]
fffff800`018b8c64 0fae5dac              stmxcsr dword ptr [rbp-54h]
fffff800`018b8c68 650fae142580010000    ldmxcsr dword ptr gs:[180h]
fffff800`018b8c71 807b0300              cmp     byte ptr [rbx+3],0
fffff800`018b8c75 66c785800000000000    mov   word ptr [rbp+80h],0
fffff800`018b8c7e 7430                  je      nt!KiSystemCall64+0xb0 (fffff800`018b8cb0)
fffff800`018b8c80 488945b0              mov     qword ptr [rbp-50h],rax
fffff800`018b8c84 48894db8              mov     qword ptr [rbp-48h],rcx
fffff800`018b8c88 488955c0              mov     qword ptr [rbp-40h],rdx
fffff800`018b8c8c 4c8945c8              mov     qword ptr [rbp-38h],r8
fffff800`018b8c90 4c894dd0              mov     qword ptr [rbp-30h],r9
fffff800`018b8c94 e8770b0000            call    nt!KiSaveDebugRegisterState (fffff800`018b9810)
fffff800`018b8c99 488b45b0              mov     rax,qword ptr [rbp-50h]
fffff800`018b8c9d 488b4db8              mov     rcx,qword ptr [rbp-48h]
fffff800`018b8ca1 488b55c0              mov     rdx,qword ptr [rbp-40h]
fffff800`018b8ca5 4c8b45c8              mov     r8,qword ptr [rbp-38h]
fffff800`018b8ca9 4c8b4dd0              mov     r9,qword ptr [rbp-30h]
fffff800`018b8cad 666690                xchg    ax,ax
fffff800`018b8cb0 fb                    sti
fffff800`018b8cb1 48898bd0010000        mov     qword ptr [rbx+1D0h],rcx
fffff800`018b8cb8 8983e8010000          mov     dword ptr [rbx+1E8h],eax
fffff800`018b8cbe 4889a3c8010000        mov     qword ptr [rbx+1C8h],rsp
fffff800`018b8cc5 8bf8                  mov     edi,eax
fffff800`018b8cc7 c1ef07                shr     edi,7
fffff800`018b8cca 83e720                and     edi,20h
fffff800`018b8ccd 25ff0f0000            and     eax,0FFFh
fffff800`018b8cd2 4c8d15a74c1d00        lea     r10,[nt!KeServiceDescriptorTable (fffff800`01a8d980)]
fffff800`018b8cd9 4c8d1de04c1d00        lea     r11,[nt!KeServiceDescriptorTableShadow (fffff800`01a8d9c0)]
fffff800`018b8ce0 f783f400000000010000  test dword ptr [rbx+0F4h],100h
fffff800`018b8cea 4d0f45d3              cmovne  r10,r11
fffff800`018b8cee 423b441710            cmp     eax,dword ptr [rdi+r10+10h]
fffff800`018b8cf3 0f83ad020000          jae     nt!KiSystemServiceExit+0x16b (fffff800`018b8fa6)
 
这个函数直接使用汇编写成，所以改动的可能性不大。
从018b8c00到018b8cFF搜索就可以找到KeServiceDescriptorTable的值。
f783f400000000010000和4c8d15a74c1d00、4c8d1de04c1d00都可以作为搜索特征定位。
 
下面就要从汇编指令中提取地址信息。
lkd> dd fffff800018b8cd2
fffff800`018b8cd2  a7158d4c 4c001d4c 4ce01d8d 83f7001d
fffff800`018b8ce2  000000f4 00000100 d3450f4d 17443b42
fffff800`018b8cf2  ad830f10 4e000002 4d17148b 49821c63
fffff800`018b8d02  c149c38b 034d04fb 20ff83d3 8b4c5075
fffff800`018b8d12  0000b09b bb834100 00001740 483f7400
fffff800`018b8d22  48b04589 48b84d89 49c05589 8b49d88b
fffff800`018b8d32  f28b49f9 4b3415ff 8b48001d 8b48b045
fffff800`018b8d42  8b48b84d 8b4cc055 cf8b4cc3 66d68b4c
 
01a8d980 - 018b8cd2 = 1D4CAE a74c1d00
01a8d9c0 - 018b8cd9 = 1D4CE7 e04c1d00
 
通过观察汇编指令4c8d15a74c1d00中数据与目标地址的关系可以得到下面的算法：
 

PDWORD  pdwFindCodeAddress = (PBYTE)018b8cd2;

PVOID   pTable = NULL;

pTable = (ULONG_PTR)pdwFindCodeAddress + (ULONG_PTR)((((*(pdwFindCodeAddress + 1)) & 0xFFFF) << 8) + ((*pdwFindCodeAddress) >> 24 + 7));
 
pTable就是我们要找的SSDT表地址。SSDT表项也有原来的32位变成64位。
 
#include <ntddk.h>
#include <windef.h>
 
EXTERN_C

__int64 __readmsr(int);
 
#pragma intrinsic(__readmsr)
 
#define SEARCH_RANGE 0xFF
 
ULONG_PTR
GetSSDTAddressAtVista64(

    VOID

    )
{

    PUCHAR      pucStartSearchAddress   = (PUCHAR)__readmsr(0xC0000082);

    PUCHAR      pucEndSearchAddress     = pucStartSearchAddress + SEARCH_RANGE;

    PDWORD      pdwFindCodeAddress      = NULL;

    ULONG_PTR   SSDT = 0;
 

    for (; pucStartSearchAddress < pucEndSearchAddress; pucStartSearchAddress++) 

    {

        if ((*(PDWORD)pucStartSearchAddress & 0xFFFFFF00) == 0x83f70000) 

        {

            pdwFindCodeAddress = (PDWORD)(pdwStartSearchAddress - 12);

            SSDT = (ULONG_PTR)pdwFindCodeAddress +

                    (((*(PDWORD)pdwFindCodeAddress) >> 24) + 7) + //ae

                    (ULONG_PTR)(((*(PDWORD)(pdwFindCodeAddress + 1)) & 0xFFFF) << 8); //id4c

            break;

        }

    }

    return SSDT;
}