用symbol来获得ShadowSSDT的原始地址和函数名

最新推荐文章于 2022-10-20 08:52:25 发布
最新推荐文章于 2022-10-20 08:52:25 发布
阅读量3.4k 收藏 2
点赞数
在网上看了下,获得ShadowSSDT的函数名和原始地址的方法和文章不是很多。比较简单的应该算是设计张函数名表和用symbol的方法。

个人觉得用symbol来获得ShadowSSDT还是比较方便的,而且自己也不用去创建一张表,何乐而不为。^_^

这办法简单的原因是我只需要一个win32.sys,win32.pdb,以及调用不到10个的API就能完成工作。

好,来看看怎么调用这些函数。

1.调用SymInitialize初始化Dbghelp这系列的函数。
2.调用ImageLoad读取文件win32.sys。
3.调用SymLoadModule来读取pdb文件。
4.调用SymEnumSymbols枚举符号,其中一个参数是回调函数SymEnumSymbolsProc,that's the key。
SymEnumSymbolsProc中有一个系统会帮忙填充一个为PSYMBOL_INFO结构的参数。在这个结构中我主要用到的是Name和Address。
5.调用ImageUnload和SymCleanup做一些清理工作。

OK,看一下我的思路。

首先是获得W32pServiceTable的地址。熟悉ShadowSSDT都知道,W32pServiceTable是在内核初始化用来填充ShadowSSDT的表。
然后,知道了W32pServiceTable的地址,后面的事情也很容易。用SymEnumSymbolsProc把ShadowSSDT每个函数的地址和函数名保存下来。

说起来有点复杂,但代码很简单的。

#include <windows.h>
#include <stdio.h>
#include <Dbghelp.h>

#pragma comment(lib, "Dbghelp.lib")
#pragma comment(lib, "Imagehlp.lib")

extern "C" {

  PLOADED_IMAGE
    IMAGEAPI
    ImageLoad(
    PCSTR DllName,
    PCSTR DllPath
    );

  BOOL 
    IMAGEAPI 
    ImageUnload(
    PLOADED_IMAGE LoadedImage  
    );

}

//
//用于存放得到的ShadowSSDT的函数和函数名
//
typedef struct _SHADOWFUNC
{
  CHAR FuncName[100];
  DWORD FuncAddr;

}SHADOWFUNC, *PSHADOWFUNC;

DWORD    g_W32pServiceTable = 0;
SHADOWFUNC  g_ShadowFunc[667] = {0};

//
//回调函数,用于获得ShadowSSDT的函数和函数名
//
BOOL CALLBACK SymEnumSymbolsProc(
                 PSYMBOL_INFO  pSymInfo,
                 ULONG  SymbolSize,
                 PVOID  UserContext
                 )
{
  PDWORD  pW32pServiceTable = NULL;
  INT    i = 0;
  if (!UserContext)
  {
    if (strstr(pSymInfo->Name, "W32pServiceTable"))
    {
      printf("%s, %#x\n", pSymInfo->Name, pSymInfo->Address);
      g_W32pServiceTable = (DWORD)pSymInfo->Address;
    }
  }
  else
  {
    pW32pServiceTable = (PDWORD)UserContext;
    for (i = 0; i < 667; i++)
    {
      if (*(pW32pServiceTable + i) == (DWORD)pSymInfo->Address)
      {
        g_ShadowFunc[i].FuncAddr = (DWORD)pSymInfo->Address;
        lstrcpyn(g_ShadowFunc[i].FuncName, pSymInfo->Name, 100);        
      }
    }
  }

  return TRUE;
}




void main()
{
  INT        i = 0;
  PDWORD      pW32pServiceTable = 0;
  HANDLE      hHandle = 0;
  PLOADED_IMAGE  ploadImage = {0};
  DWORD      dwload = 0;

  hHandle = GetCurrentProcess();
  SymInitialize(hHandle, NULL, TRUE);

  ploadImage = ImageLoad("win32k.sys", NULL);

  dwload = SymLoadModule (hHandle, ploadImage->hFile, 
    "win32k.sys", "win32k.pdb", 
    0, ploadImage->SizeOfImage);


  SymEnumSymbols(hHandle, dwload, NULL, SymEnumSymbolsProc, NULL);
  if (g_W32pServiceTable)
  {
    pW32pServiceTable = (PDWORD)(g_W32pServiceTable - dwload 
      + (DWORD)ploadImage->MappedAddress);
    SymEnumSymbols(hHandle, dwload, NULL, SymEnumSymbolsProc, pW32pServiceTable);
  }

  for (i = 0; i < 667; i++)
  {
    printf("%03d, 0x%08X, %s\n", i, g_ShadowFunc[i].FuncAddr, g_ShadowFunc[i].FuncName);
  }

  ImageUnload(ploadImage);
  SymCleanup(hHandle);
}
效果如下:


whatday
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Win64 驱动内核编程-22.SHADOW SSDT HOOK(宋孖健)
天使也掉毛
03-26 4785
SHADOWSSDTHOOK HOOK和UNHOOKSHADOWSSDT跟之前的HOOK/UNHOOKSSDT类似,区别是查找SSSDT的特征码,以及根据索引计算函数地址的公式,还有一个就是吧跳转函数写在什么位置,SSDT的时候是写在蓝屏函数里了。 一、获得wKeServiceDescriptorTableShadow地址 这个跟获得KeServi...
(转)shadow ssdt 服务表函数索引
weixin_30700099的博客
12-21 155
http://www.cnblogs.com/gaozili/archive/2011/11/02/2233450.html kd> dd nt!KeServiceDescriptorTableShadow L88055a6c0 804e36a8 00000000 0000011c 80513eb88055a6d0 bf997600 00000000 0000029b bf9...
遍历 shadowssdt表 函数地址
05-23 1922
#include &lt;ntifs.h&gt; #include &lt;ntimage.h&gt; //#include "ntddk.h" //SSDT结构体 typedef struct _SERVICE_DESCRIPTOR_TABLE { PULONG ServiceTable; PULONG CounterTable; ULONG TableSize; ...
关于Win7 x64 Shadow SSDT 的探索和 Inline HOOK
fyfy
05-15 3894
http://bbs.pediy.com/thread-210481.htm 来看雪一年了,在这里面学到了很多知识,非常感谢各位前辈对知识的分享和不懈的研究,也非常感谢各位大神对我们这些小白的照顾,特别要感谢MaMy、hksoobe、luolinlove等大神的指导。我也一直非常希望能为看雪贡献一点什么,但是小白的理解估计大神也看不上,这次也是注册看雪一周年,冲着这个也来发表一点自己的理
JavaScript数据操作_浅谈原始值和引用值的操作本质
10-21
2. 传递值:当原始值作为参数传递给函数时,函数内部的局部变量会获得原始值的副本。在函数内部对参数的任何修改都不会影响到原始变量。 3. 比较值:当比较两个原始值时,JavaScript会直接比较它们的字节内容是否...
ES6 Promise、Symbol、async函数
01-08
总的来说,Promise、Symbol 和 async/await 函数是 ES6 为现代 JavaScript 开发者提供的强大工具,它们让异步编程变得更加优雅和易于理解。了解并熟练掌握这些特性,对于任何前端开发者来说都至关重要。
Symbol条码枪使用手册
04-26
Symbol 条码枪 LS4208 使用手册 ...Symbol LS4208 使用手册提供了orough 使用指南和故障排除指南,帮助用户快速上手使用该设备。同时, Symbol LS4208 软件许可协议和知识产权声明也规定了用户的权利和义务。
Carrier & Symbol Timing Recovery.zip_carrier中文是什么
01-06
在通信系统中,"Carrier" 和 "Symbol Timing Recovery" 是两个至关重要的概念,尤其是在数字通信领域。让我们逐一探讨这两个主题。 首先,"Carrier" 在中文中通常被称为载波。载波是一个固定频率的电信号,它被用来...
设计利器 Sketch 中 Symbol 的使用
03-29
Sketch 对于设计师来说应该不陌生,至少对 UI 设计师来说是这样。容易上手、良好的体验、加上强大的插件库,使得 Sketch 成为不少设计师的心头好。下面介绍其中一个功能 Symbol 的使用方法。 在软件设计中,有很多...
读取内核文件,获取原始SSDT
01-31
自己读入windows内核文件,获取原始,可以restore SSDT
R0层获取ShadowSSDT函数原始地址实例
11-20
本实例由VS2008开发,在提供了一套驱动开发框架的同时,又演示了如何获取Shadow SSDT表函数原始地址的办法。 主要函数:ULONG GetShadowSSDT_Function_OriAddr(ULONG index); 原理说明: 根据特征码搜索导出函数KeAddSystemServiceTable来获取Shadow SSDT基址,以及通过ZwQuerySystemInformation()函数获取win32k.sys基址,然后解析PE定位到Shadow SSDT在win32k.sys的偏移地址,并通过进一步计算来得到Shadow SSDT表函数原始地址。 这里只测试了三个函数:(460)NtUserMessageCall、(475)NtUserPostMessage和(502)NtUserSendInput,具体使用时可以举一反三,网上完整的源代码实例并不太多,希望可以帮到真正有需要的朋友。 系统环境: 在WinXP SP3系统 + 瑞星杀毒软件 打印输出: [ LemonInfo : Loading Shadow SSDT Original Address Driver... ] [ LemonInfo : 创建“设备”值为:0 ] [ LemonInfo : 创建“设备”成功... ] [ LemonInfo : 创建“符号链接”状态值为:0 ] [ LemonInfo : 创建“符号链接”成功... ] [ LemonInfo : 驱动加载成功... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP 开始... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP Enter IRP_MJ_DEVICE_CONTROL... ] [ LemonInfo : 获取ShadowSSDT表 (460)NtUserMessageCall 函数的“当前地址”为:0xB83ECFC4,“起源地址”为:0xBF80EE6B ] [ LemonInfo : 获取ShadowSSDT表 (475)NtUserPostMessage 函数的“当前地址”为:0xB83ECFA3,“起源地址”为:0xBF8089B4 ] [ LemonInfo : 获取ShadowSSDT表 (502)NtUserSendInput 函数的“当前地址”为:0xBF8C31E7,“起源地址”为:0xBF8C31E7 ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP_MJ_DEVICE_CONTROL 成功执行... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP 结束... ] [ LemonInfo : UnLoading Shadow SSDT Original Address Driver... ] [ LemonInfo : 删除“符号链接”成功... ] [ LemonInfo : 删除“设备”成功... ] [ LemonInfo : 驱动卸载成功... ]
驱动开发:内核枚举ShadowSSDT基址
CSDN
10-20 9111
注这一步必须要在GUI线程中执行,否则会异常,建议将枚举过程写成DLL文件,注入到。特征即可,如果你找不到上一篇具体分析流程了,那么多半你是看到了转载文章。文章中的分析可知,SSSDT就在SSDT的下面,只需要枚举。在此基础之上增加枚举计算过程即可,完整源代码如下所示。,SSSDT其主要的作用是管理系统中的图形化界面,其。驱动,属于GUI线程的一部分,其自身没有导出表,枚举。则是下一个元素与上一个元素的偏移。表基地址,以及该表中函数个数。表的枚举功能,本章继续实现对。函数个数,完整代码如下所示。
两种方法获取shadow ssdt
08-11 301
[cpp] view plain copy print? ULONG GetShadowSsdtCurrentAddresses( PSSDT_ADDRESSAddressInfo, PULONGLength ) { PSYSTEM_SERVICE_TABLE...
普及X64 ssdtshadow inline HOOK
落笔飞花笑百生的博客
09-22 3062
序: 我只想说~~再不发帖老大就 不搭理我了~~~ 原因:玩保护玩到了 XINGCODE3 就他的各种检测就让我不得不重视这个问题了:o: 各种窗口 各种X 我的工具 让我忍无可忍,就决定先HOOK了在说其他 最开始我用TA 的代码里面的 HOOK 方法 在 挂钩 NT 内核中的函数算是无往不利 在SHADOWSSDT中就蛋疼菊花紧了~~ 于是 开始自己搞:mad::mad:
[Win32]一个调试器的实现(十)显示变量
weixin_30484247的博客
04-22 126
上回介绍了微软的符号模型,有了这个基础知识,这回我们向MiniDebugger中添加两个新功能,分别是显示变量列表和以指定类型显示内存内容。显示变量列表用于列出当前函数内的局部变量或者全局变量;以指定类型显示内存内容用于读取指定地址处的内存内容,然后将这些二进制数据按照类型的格式解析成可读的内容并显示出来。如下面的截图所示: 使用lv命令显示局部变量时,每一列从左到右分别是:...
Shadow SSDT详解、WinDbg查看Shadow SSDT
08-11 400
一、获取ShadowSSDT 好吧,我们已经在R3获取SSDT的原始地址及SDT、SST、KiServiceTbale的关系里面提到:所有的SST都保存在系统服务描述表(SDT)中。系统中一共有两个SDT,一个是ServiceDescriptorTable,另一个是ServiceDescriptorTableShadowServiceDescriptor中只有指向KiServic...
OD插件相关
lei35151的专栏
10-31 533
插件实现原理: http://www.joenchen.com/archives/929 OD插件 http://www.pediy.com/kssd/pediy11/107389/763761/39130.pdf http://www.pediy.com/kssd/
ssdt与shadowssdt区别
xuemao1230的专栏
02-28 733
(ring3)            (NtOpenProcess)      ssdt层                  实现OpenProcess-&gt;ntdll!ZwOpenProcess-&gt;ntos!ZwOpenProcess-&gt;ntos!NtOpenProcess(内核中有2套函数 ,zw,nt,nt才是真正的执行函数,zw只是一个过渡函数,可用ida察看ntoskrn...
Exported symbol为空时怎么获取函数
最新发布
06-09
首先需要使用`dlopen`函数打开可执行文件,然后通过`dlsym`函数获取可执行文件中函数地址。接着使用`nm`命令或`libbfd`库解析可执行文件的符号表,找到函数称。 以下是一个示例代码,可以获取可执行文件中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值