XP取SSDT表中指定索引号的函数地址

最新推荐文章于 2021-02-22 03:01:18 发布
最新推荐文章于 2021-02-22 03:01:18 发布
阅读量1.3k 收藏
点赞数
分类专栏: Win驱动 文章标签: SSDT 驱动 XP 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/friendan/article/details/46684433
版权

SSDT.h头文件

#ifndef _SSDT_H_
#define _SSDT_H_

// NT操作系统有多张服务表,SSDT就是其中一张
// NT操作系统使用如下结构描述一张服务表
typedef struct _KSERVICE_TABLE_DESCRIPTOR { 
	PULONG_PTR Base; 	// 服务表地址
	PULONG Count; 		// 服务表中服务被调用次数的计数器
	ULONG Limit; 		// 服务个数,即有多少个函数了
	PUCHAR Number; 		// 服务参数表
} KSERVICE_TABLE_DESCRIPTOR, *PKSERVICE_TABLE_DESCRIPTOR; 

// 流传NT使用下面的代码在模块ntoskrnl.exe中导出KeServiceDescriptorTable
//#define NUMBER_SERVICE_TABLES 4 
//extern KSERVICE_TABLE_DESCRIPTOR KeServiceDescriptorTable[NUMBER_SERVICE_TABLES]; 
//extern KSERVICE_TABLE_DESCRIPTOR KeServiceDescriptorTableShadow[NUMBER_SERVICE_TABLES];

// 根据流传,我们直接声明KeServiceDescriptorTable,就可使用它了
__declspec(dllimport) extern "C" PKSERVICE_TABLE_DESCRIPTOR	KeServiceDescriptorTable;

class CSSDT
{
public:
	CSSDT(void);
	~CSSDT(void);

	void Show_SSDT(void);	// 查看SSDT表
	ULONG_PTR GetFunctionAddr(int iFunIndex);		// 取SSDT表中指定索引号的函数地址
};

#endif	// _SSDT_H_

-----------------------------------------

SSDT.cpp文件内容:

#include "stdafx.h"
#include "SSDT.h"


CSSDT::CSSDT(void)
{

}


CSSDT::~CSSDT(void)
{

}


/**
@Name:    Show_SSDT
@Brief	  查看SSDT表   
@Param:   void
@Return:  void
*/
void CSSDT::Show_SSDT(void)
{
	KSERVICE_TABLE_DESCRIPTOR ssdt = KeServiceDescriptorTable[0];

	KdPrint(("[Show_SSDT] KeServiceDescriptorTable=0x%X \n", KeServiceDescriptorTable));

	ssdt.Limit = ssdt.Limit > 0x11C ? 0x11C : ssdt.Limit;
	for (int i = 0; i < ssdt.Limit; i++)
	{
		KdPrint(("[Show_SSDT %d] 0x%X \n", i, ssdt.Base[i]));
	}
}


/**
@Name:    GetFunctionAddr
@Brief	  取SSDT表中指定索引号的函数地址   
@Param:   int iFunIndex
@Return:  成功返回指定索引号的函数地址,失败返回NULL
*/
ULONG_PTR CSSDT::GetFunctionAddr(int iFunIndex)
{
	KSERVICE_TABLE_DESCRIPTOR ssdt = KeServiceDescriptorTable[0];
	if (iFunIndex > ssdt.Limit)
	{
		KdPrint(("[GetFunctionAddr] failed: 索引超出范围  iFunIndex=%d > %d \n", iFunIndex, ssdt.Limit));
		return NULL;
	}
	return ssdt.Base[iFunIndex];
}

--------------------------------------------------------------- 

// 驱动入口
	#pragma INITCODE
	NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING  RegistryPath)
	{
		DriverObject->DriverUnload = DriverUnload;
		KdPrint(("hello DriverEntry \r\n"));

		CSSDT objSSDT;
		//objSSDT.Show_SSDT();

		KdPrint(("ssdt 0号函数地址:0x%X", objSSDT.GetFunctionAddr(0)));
		KdPrint(("ssdt 122号函数地址:0x%X", objSSDT.GetFunctionAddr(122)));
		KdPrint(("ssdt 123号函数地址:0x%X", objSSDT.GetFunctionAddr(123)));

		return STATUS_SUCCESS;
	}

-------------------------------------

效果截图:













friendan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
驱动级的隐藏进程代码,在驱动层通过替换ssdt地址表中函数来隐藏进程...
06-26
驱动级的隐藏进程代码,在驱动层通过替换ssdt地址表中函数来隐藏进程-Driver-class
【转】SSDT&Shadow Hook的实现,完整代码。可编译
weixin_33805557的博客
11-29 139
原文连接:http://bbs.pediy.com/showthread.php?t=138747&amp;highlight=inline+hook 转自看雪,写复制到自己博客上慢慢啃,呵呵   #include &lt;ntddk.h&gt; //辛苦了几周的成果 typedef struct ServiceDescriptorEntry { PVOID *Serv...
简单实现了下SSDT SHADOW HOOK
huobengle
11-03 665
介绍: SSDT SHADOW HOOK可用于安全软件窗口保护、安全输入、截屏保护等。例如:挂钩NtUserFindWindowEx、NtUserGetForegroundWindow、NtUserBuildHwndList、NtUserQueryWindow、NtUserWindowFromPoint、NtUserSetParent、NtUserPostMessage、NtUserMes...
Win7 64位的SSDTHOOK(2)---64位SSDT hook的实现
whatday的专栏
09-14 3952
Hook之前要干掉PG:http://www.m5home.com/bbs/thread-5893-1-1.html 上篇文章知道了寻找SSDT表的方法,这篇记录一下如何实现SSDT表的Hook。 下面以Hook NtOpenProcess为例,之前我查SSDT表发现NtOpenProcess函数的标为35,用XT等工具也能查看。 废话不多说,上代码。 [
64位内核开发第四讲,查看SSDT表与showSSDT表
weixin_30527423的博客
06-08 262
目录 SSDt表与ShadowSSDT表的查看. 一丶SSDT表 1.什么是SSDT表 2.查看步骤 二丶ShadowSSDT表 1.什么是ShadowSSDT表 2.如何查看. 三丶工具介绍 ...
R0层获ShadowSSDT函数原始地址实例
11-20
本实例由VS2008开发,在提供了一套驱动开发框架的同时,又演示了如何获Shadow SSDT表函数原始地址的办法。 主要函数:ULONG GetShadowSSDT_Function_OriAddr(ULONG index); 原理说明: 根据特征码搜索导出函数...
驱动SSDT未导出函数NtReadVirtualMemory.rtf
08-05
windows10获SSDT未导出函数NtReadVirtualMemory详细步骤和代码,其他未导出函数同理
Shadow_SSDT函数调用(XP_SP2)
12-25
Hook KeServiceDescriptorShadow 用到,很有用的,xp sp2 函数调用
精选_64位系统上获SSDT表地址以及从中获指定SSDT函数地址_源码打包
03-10
64位系统上获SSDT表地址以及从中获指定SSDT函数地址
内核重载-让所有的SSDT函数全部走自己的路!过任何驱动保护
07-31
内核重载-让所有的SSDT函数全部走自己的路!过任何驱动保护 一份 非常不错的源码。。 内核重载了,让所有的SSDT函数全部走自己的路 。爆发式的驱动源码公开。代表了我国民间驱动技术已逐渐成熟,韩国棒子的NP技术终将被完结! 内核重载:内核重载后指定某个程序使用你重载的内核,可以绕过原有内核上面的所有hook
ssdt函数索引_获得SSDT函数名和索引的代码
weixin_42298068的博客
02-22 215
代码:/*++ModuleName:Entry.cAbstract:AsamplewithListSSDT.c.--*/#include"ListSSDT.h"////functiondeclaration//DRIVER_UNLOADUnloadMe;DRIVER_INITIALIZEDriverEntry;#ifdefALLOC_PRAGMA#pragmaalloc_...
获得SSDT表函数
cqyczj的专栏
04-18 1725
代码:  ULONG GetSSDTName() {  KdBreakPoint();  if (KeGetCurrentIrql() > PASSIVE_LEVEL)  {   return STATUS_UNSUCCESSFUL;  }  //设置NTDLL路径  UNICODE_STRING uniFileName;  RtlInitUnicodeString(&uniFileName, 
发个获得SSDT函数名和索引的代码
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-09 1863
通过枚举ntdll.dll的导出表,先是判断是不是Nt开头的,是的话再判断第一要语句是不是mov eax,是的话再索引。 具体见源码,没有什么技术含量。 只是觉得前面有很多人写过了,但是后面可能还有很多人写,所以丢出来,供大家娱乐一下。 引用: // 使用说明例子 #include "GetSSDTInformation.h" #include  i
SSDT当前函数地址
record
05-14 758
#include "ntddk.h" VOID DriverUnload(PDRIVER_OBJECT driver) { DbgPrint("卸载成功\n\r"); } typedef struct _ServiceDescriptorTable { PVOID ServiceTableBase; PVOID ServiceCounterTable; unsigned int Nu
内核层获SSDT中函数原始地址
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-09 1445
标 题: 【下载】内核层获SSDT中函数原始地址 作 者: QEver 时 间: 2011-08-30,20:32:28 链 接: http://bbs.pediy.com/showthread.php?t=139524 昨天在看雪看到《【下载】发个获得SSDT函数名和索引的代码》,一时兴起整理了一份内核层根据ntdll.dll和nt模块文件来获SSDT函数原始的地址的代码,可以
XPSSDT表
friendan的专栏
06-29 1563
SSDT表已经是老生常谈了,为了方便操作,我封装了一个类CSSDT。 SSDT.h头文件代码如下: #ifndef _SSDT_H_ #define _SSDT_H_ // NT操作系统有多张服务表,SSDT就是其中一张 // NT操作系统使用如下结构描述一张服务表 typedef struct _KSERVICE_TABLE_DESCRIPTOR { PULONG_PTR Base;
SSDT表的遍历(源码)
liujiayu2的专栏
06-08 1375
//VS2005创建的工程,系统xp sp2      //++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++      //stdafx.h文件   #ifndef _WIN32_WINNT        // Allow use of features speci
delphi ssdt
最新发布
12-14
1. Hook函数:可以通过修改SSDT表项来替换系统服务的函数指针,从而替换系统函数的行为。这样可以实现一些功能,比如对特定系统调用进行监控、过滤或重定向。 2. 隐藏进程:通过修改SSDT表项,可以修改系统的进程...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

friendan

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值