drv experiment : 从内核API代码定位函数地址或结构指针地址

最新推荐文章于 2021-10-14 11:26:07 发布
最新推荐文章于 2021-10-14 11:26:07 发布
阅读量2k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LostSpeed/article/details/9133675
版权

用WinDbg看已经导出的内核API代码, 如果看到需要的未导出函数调用或想直接从汇编代码中定位那个API地址,

可以定位 CALL指令中未导出函数地址.


未导出函数地址 = 已经导出的内核API首地址 + 计算出的 硬编码偏移.


得到已经导出的内核API地址

PVOID GetKernelApiAddress(wchar_t * pcApiName)
{
    UNICODE_STRING str;

    if (NULL == pcApiName)
        return NULL;

    RtlInitUnicodeString(&str, pcApiName);

    /// MmGetSystemRoutineAddress
    /// If the function name can be resolved, 
    /// the routine returns a pointer to the function. 
    /// Otherwise, the routine returns NULL.

    return MmGetSystemRoutineAddress(&str);
}

用WinDbg反汇编已导出内核API, 手工计算出未导出API地址的相对偏移.

例如: 从 KeCapturePersistentThreadState 中得到 KdGetDataBlockAPI地址.

kd> uf 0x804f286a
nt!KeCapturePersistentThreadState:
804f286a 8bff            mov     edi,edi
804f286c 55              push    ebp
804f286d 8bec            mov     ebp,esp
804f286f 51              push    ecx
804f2870 53              push    ebx
804f2871 8b5d24          mov     ebx,dword ptr [ebp+24h]
804f2874 56              push    esi
804f2875 e814510000      call    nt!KdGetDataBlock (804f798e)
804f287a 33f6            xor     esi,esi



uf nt!KdGetDataBlock

nt!KdGetDataBlock:
804f798e b8e06a5480      mov     eax,offset nt!KdDebuggerDataBlock (80546ae0)
804f7993 c3              ret

手工计算需要的未导出API的过程


addr_KeCapturePersistentThreadState = 0x804f286a

offset_call_KdGetDataBlock = 0x804f2875 - addr_KeCapturePersistentThreadState;

addr_call_KdGetDataBlock = addr_KeCapturePersistentThreadState + offset_call_KdGetDataBlock;

offset_KdGetDataBlock = (ULONG)(*(ULONG *)(addr_call_KdGetDataBlock + 1)); ///< Call命令为0xe8, 一个字节

len_call_KdGetDataBlock = 5; ///<  e814510000 一共5个字节

addr_KdGetDataBlock = addr_call_KdGetDataBlock  + len_call_KdGetDataBlock  + offset_KdGetDataBlock ;///< get it ~


如果在内核API反汇编代码中要得到数据结构指针地址, 同理.

只要有内核API用到了这个数据结构指针, 就能找到.

例如: nt!KdGetDataBlock API中的 数据结构指针 nt!KdDebuggerDataBlock


nt!KdDebuggerDataBlock 是未文档的数据结构 KD_DEBUGGER_DATA_BLOCK

如果该数据结构定义未知, 那就得在网上搜索前辈们逆向出来的数据结构资料了.

http://gr8lkd.googlecode.com/svn/trunk/sys/dumptypes.h

typedef struct _KD_DEBUGGER_DATA_BLOCK {
	ULONG  Unknown1[4];
	ULONG  ValidBlock; // 'GBDK'
	ULONG  Size; // 0x290
	PFUNC<PVOID>  _imp__VidInitialize;
	PFUNC<PVOID>  RtlpBreakWithStatusInstruction;
	ULONG  Unknown2[4];
	PFUNC<PVOID>  KiCallUserMode;
	ULONG  Unknown3[2];
	PFUNC<PVOID>  PsLoadedModuleList;
	PFUNC<PVOID>  PsActiveProcessHead;
	PFUNC<PVOID>  PspCidTable;
	PFUNC<PVOID>  ExpSystemResourcesList;
	PFUNC<PVOID>  ExpPagedPoolDescriptor;
	PFUNC<PVOID>  ExpNumberOfPagedPools;
	PFUNC<PVOID>  KeTimeIncrement;
	PFUNC<PVOID>  KeBugCheckCallbackListHead;
	PFUNC<PVOID>  KiBugCheckData;
	PFUNC<PVOID>  IopErrorLogListHead;
	PFUNC<PVOID>  ObpRootDirectoryObject;
	PFUNC<PVOID>  ObpTypeObjectType;
	PFUNC<PVOID>  MmSystemCacheStart;
	PFUNC<PVOID>  MmSystemCacheEnd;
	PFUNC<PVOID>  MmSystemCacheWs;
	PFUNC<PVOID>  MmPfnDatabase;
	PFUNC<PVOID>  MmSystemPtesStart;
	PFUNC<PVOID>  MmSystemPtesEnd;
	PFUNC<PVOID>  MmSubsectionBase;
	PFUNC<PVOID>  MmNumberOfPagingFiles;
	PFUNC<PVOID>  MmLowestPhysicalPage;
	PFUNC<PVOID>  MmHighestPhysicalPage;
	PFUNC<PVOID>  MmNumberOfPhysicalPages;
	PFUNC<PVOID>  MmMaximumNonPagedPoolInBytes;
	PFUNC<PVOID>  MmNonPagedSystemStart;
	PFUNC<PVOID>  MmNonPagedPoolStart;
	PFUNC<PVOID>  MmNonPagedPoolEnd;
	PFUNC<PVOID>  MmPagedPoolStart;
	PFUNC<PVOID>  MmPagedPoolEnd;
	PFUNC<PVOID>  MmPagedPoolInfo;
	PFUNC<PVOID>  Unknown4;
	PFUNC<PVOID>  MmSizeOfPagedPoolInBytes;
	PFUNC<PVOID>  MmTotalCommitLimit;
	PFUNC<PVOID>  MmTotalCommittedPages;
	PFUNC<PVOID>  MmSharedCommit;
	PFUNC<PVOID>  MmDriverCommit;
	PFUNC<PVOID>  MmProcessCommit;
	PFUNC<PVOID>  MmPagedPoolCommit;
	PFUNC<PVOID>  Unknown5;
	PFUNC<PVOID>  MmZeroedPageListHead;
	PFUNC<PVOID>  MmFreePageListHead;
	PFUNC<PVOID>  MmStandbyPageListHead;
	PFUNC<PVOID>  MmModifiedPageListHead;
	PFUNC<PVOID>  MmModifiedNoWritePageListHead;
	PFUNC<PVOID>  MmAvailablePages;
	PFUNC<PVOID>  MmResidentAvailablePages;
	PFUNC<PVOID>  PoolTrackTable;
	PFUNC<PVOID>  NonPagedPoolDescriptor;
	PFUNC<PVOID>  MmHighestUserAddress;
	PFUNC<PVOID>  MmSystemRangeStart;
	PFUNC<PVOID>  MmUserProbeAddress;
	PFUNC<PVOID>  KdPrintCircularBuffer;
	PFUNC<PVOID>  KdPrintWritePointer;
	PFUNC<PVOID>  KdPrintWritePointer2;
	PFUNC<PVOID>  KdPrintRolloverCount;
	PFUNC<PVOID>  MmLoadedUserImageList;
	PFUNC<PVOID>  NtBuildLab;
	PFUNC<PVOID>  Unknown6;
	PFUNC<PVOID>  KiProcessorBlock;
	PFUNC<PVOID>  MmUnloadedDrivers;
	PFUNC<PVOID>  MmLastUnloadedDriver;
	PFUNC<PVOID>  MmTriageActionTaken;
	PFUNC<PVOID>  MmSpecialPoolTag;
	PFUNC<PVOID>  KernelVerifier;
	PFUNC<PVOID>  MmVerifierData;
	PFUNC<PVOID>  MmAllocateNonPagedPool;
	PFUNC<PVOID>  MmPeakCommitment;
	PFUNC<PVOID>  MmTotalCommitLimitMaximum;
	PFUNC<PVOID>  CmNtCSDVersion;
	PFUNC<PVOID>  MmPhysicalMemoryBlock;
	PFUNC<PVOID>  MmSessionBase;
	PFUNC<PVOID>  MmSessionSize;
	PFUNC<PVOID>  Unknown7;
} KD_DEBUGGER_DATA_BLOCK, *PKD_DEBUGGER_DATA_BLOCK;










LostSpeed
关注
inline hook未导出函数PspTerminateProcess
04-14 1600
之前inline Hook SSDT中的一些函数学,感觉比较容易,可是想hook一些未导出的函数时,却发现还有点难,开始是蓝了N次屏,最后HOOK成功了,用一些anti-rootkit的工具却查不出来,以为没成功.郁闷了好久,最后用windbg看,原来是成功,于是写下这篇文章,很多东西应该讲的不太好,还请矫正今天就是要inline hook PspTerminateProcess,这是一个没有被导
获得内核函数地址的四种方法
热门推荐
OSKernelLAB(gatieme)
10-22 1万+
CSDN GitHub 获得内核函数地址的四种方法 LinuxDeviceDrivers/study/debug/filesystem/procfs/func_addr 本作品采用知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议进行许可, 转载请注明出处, 谢谢合作因本人技术水平和知识面有限, 内容如有纰漏或者需要修正的地方, 欢迎大家指正, 也欢迎大家提供一些其他好的调试工
Liunx驱动学习【1】---hello_drv
qq_41505080的博客
06-22 286
作者:黄兢成 链接:https://www.zhihu.com/question/27656256/answer/943130123 来源:知乎 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。 句柄的英文是 handle。在英文中,有操作、处理、控制之类的意义。作为一个名词时,是指某个中间媒介,通过这个中间媒介可控制、操作某样东西。这样说有点抽象,举个例子。door handle 是指门把手,通过门把手可以去控制门,但 door handle 并非 door 本身,只是一个中间媒介。
Windows内存管理—内存映射、PAE、MmPfnDatabase
qq_42814021的博客
10-14 2765
Windows内存管理 内存有两种,一种是由内存条构成的所谓的物理内存,这种内存读取速度快; 还有一种是虚拟内存,由硬盘构成,也就是把硬盘的一部分容量拿来当作内存用,但是速度没有内存条那么快。 两者的关系: 每个进程都有4GB的虚拟内存,但不是所有的虚拟内存都有对应的物理内存,它其实是在物理内存和磁盘之间进行倒换的。 虚拟内存在用的时候,会从磁盘倒入物理内存,不用的时候就还是存在磁盘上。因此,同一个物理内存在不同的时间可以被用于不同进程的不同虚拟内存。 基于页面映射的虚拟内存机制: 在硬件上:由CPU芯片内
WIN7 64位之动态定位ObpRootDirectoryObjct
qq_37213846的博客
09-28 898
一 . 关于内核目录对象的基础知识请了解其他作者写的博客, 此文只讲述如何动态定位目录对象的起始位置. 二 . ObpRootDirectoryObject是内核中的一个地址,这个地址里面存放的第一个64位的数据就为目录对象的起始地址。 打红圈的是目录对象的起始地址,前面FFFFF80005675590就是ObpRootDirectoryObject的地址,那么如何在内核动态定位ObpRootD...
vspi_drv:虚拟SPI linux内核驱动程序,能够模拟故障
02-13
虚拟SPI Linux内核驱动程序能够模拟故障/不可靠功能。 (c)Matthias Behr,2011年-2020年 目标/动机 开发该模块的目的是测试例如两个通过SPI从一个ECU / SOC到另一个的通信模块。 该模块应有助于注入那些故障,...
pyAdafruit_DRV2605:Adafruit_DRV2605 Arduino 库的python 端口
06-14
关于 这是 Adafruit DRV2605L Haptic Driver 的 Python 模块,基于 Adafruit 提供的 exhalent 库。 原始库已移植到 python,因此它可以... 它已经在 Ubuntu 内核 3.8 及更高版本以及更新版本的 python 2.7 上进行了测试
winspool.drv 易语言劫持exe软件源码(apihook)
最新发布
04-09
在易语言中,我们可以利用“API函数”和“API函数地址”等组件来实现对winspool.drvAPI Hook。通过创建一个动态链接库(DLL),并在这个库中定义我们自己的钩子函数,然后将DLL注入到目标进程中,替换目标API的...
DEV-SAMPLES-DRV-From_Hello:从Hello World到Real World-文章源代码示例-Source code world
03-25
标题中的"DEV-SAMPLES-DRV-From_Hello:从Hello World到Real World"表明这是一个关于驱动程序开发的学习路径,从最基础的“Hello World”程序开始,逐步过渡到更复杂的实际项目。这个主题通常涉及操作系统内核编程,...
ds1339_drv.zip_DS1339_Hi3516 代码_ds1339_drv
07-15
本篇文章将详细解读标题为"ds1339_drv.zip_DS1339_Hi3516 代码_ds1339_drv"的压缩包内容,它包含了DS1339时钟芯片在海思HI3516平台上的Linux驱动程序代码。 DS1339是一款低功耗、高精度的实时时钟(RTC)芯片,广泛...
Retrieving MmPhysicalMemoryBlock regardless of the NT version.
10-15 1464
 Here is a method I’m using in the next version of Win32DD (1.2), to retrieve MmPhysicalMemoryBlock regardless of the NT Version. The main problem with KDDEBUGGER_DATA64 structure is the version dep
获取未导出的内核函数地址
09-10 2098
使用未导出的内核函数 (2010-01-12 17:40)    函数如果没有导出,我们基本上来说是没办法使用的,   但是,我们可以通过搜索系统模块内存的方式找出那些没导出的函数地址,   当然,我们首先要知道函数的特征值,这是必须的。   如果有了函数地址,我们再声明一下,就可以用了。   首先我们要使用ZwQuerySystemInformation这个Nativ API。  
Windows XP内核变量
misterliwei的专栏
06-21 4221
本文是根据网上的两篇文章《Finding some non-exported kernel variables in windows xp》和《Getting Kernel Variables from KdVersionBLOCK, Part 2》得出的结果,作的总结。_KPCR   +0x000 NtTib            : _NT_TIB   +0x01c SelfP
linux驱动之LED实验(基于系统自带leds-gpio.c驱动)
fengweibo112的博客
10-25 1万+
概述 上一章中编写的设备树LED驱动,都是配置LED灯的GPIO寄存器,驱动方式和裸机没有区别。Linux是一个庞大而完善的系统,尤其是驱动框架,像GPIO这种最基本的驱动不可能采用“原始”的裸机驱动方式,否则就相当你买了一辆车,结果每天推着车去上班。 基础知识 (一)pinctrl子系统 Linux内核提供了pinctrl和gpio子系统用于GPIO驱动,可以在leds-gpio.c中可以看到相...
I2C——i2c_driver的注册及probe探测函数调用过程
lxllinux的博客
07-03 6088
在 linux I2C 驱动之----i2c_client 的注册中介绍了i2c_client的注册,现在再来说说i2c_driver的注册过程。       每一个驱动程序都有 module_init(xxxx_init) 这个语句,它代表系统启动的时候会自动执行 xxxx 这个函数,也就是说驱动的人口函数是由module_init来定义的。当然还有module_exit(XXXX),它代表系统...
windows Internals - 内存管理
tuan8888888的博客
04-01 843
概念 物理内存 即windows可用的物理内存 已缓存 内存对象中的一些性能计数器总合,包括CacheBytes,ModifiedPageListBytes, StandbyCacheCoreBytes,StandbyCacheNormalPriorityBytes,以及Standby CacheReserveBytes 可用 可以由操作系统,进程,驱动程序立即使用的物理内存数量,它等于备用(standby) ,空闲(free),以及零页列...
读书笔记_windows下的验证机制
wodamazi
10-19 142
常见的测试手段有以下几种: 黑盒测试 白盒测试 内建自检(BIST,Built-InSelf-Test),是指在软件代码内部构建一些测试功能,这些功能可以在某些情况下执行,或者被自动测试工具所调用以发现问题。 压力测试(Stresstesting),用于测试目标程序在高负载和低资源情况下的工作情况。 Windows下的验证机制能够模拟极端和苛刻的运行环境,以便让错误更容易暴露出来...
API函数导航(十)(全部API完)
Augusdi的专栏
09-07 2273
<br />         十、打印管理库函数Winspool.drv(全部API完)<br /><br />   函数名称                         说明<br />AbortPrinter                  删除打印机的假脱机文件<br />AddForm                       向可被选择用于给定打印机的格式表中添加一<br />                              格式<br />AddJob             
DRV8837/DRV8838:低电压H桥电机驱动器技术手册
DRV8837数据手册是关于一款电机驱动芯片的技术手册,适用于低电压应用,如摄像机、消费电子产品、玩具等。该芯片具备集成的H桥电机驱动功能,能够驱动直流电机或类似螺线管的负载,最大驱动电流可达1.8A。DRV8837...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值