通过KTHREAD获得SSSDT表

最新推荐文章于 2022-07-27 05:42:55 发布
最新推荐文章于 2022-07-27 05:42:55 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: 笔记 文章标签: mfc windows 图形
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Sunny_wwc/article/details/5938410
版权

首先看下KTHREAD的结构

 

在Windows 2003 sp1的系统下 ServiceTable的偏移0x118

 

如果当前获得的KTHREAD是图形应用程序中的线程,那么ServiceTable就会指向KeServiceDecriptorTableShadow这个结构

 

再看下KeServiceDecriptorTableShadow 这个结果在当前内存中的地址

 

 

编写一个mfc小程序,与驱动程序通信,在驱动程序中调用PsGetCurrentThread获得ETHREAD,或者调用KeGetCurrentThread直接获得KTHREAD都行,因为两个的地址一样。

 

然后通过KTHREAD中的偏移就可以找到ServiceTable,然后就可以获得KeServiceDescriptorTableShadow这个结构的基地址了,从而就找到了SSSDT表

 

Sunny_wwc
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
kthread usage
11-02
kthread usage 用kthread_create创建线程。
X64驱动:读取SSDT基址
CSDN
10-09 6432
前面的驱动编程相关内容都是在32位环境下进行的,驱动程序与应用程序不同,32位的驱动只能运行在32位系统中,64位驱动只能在64位系统中运行,在WIN32环境下,我们可以各种Hook挂钩各种系统函数,而恶意程序也可以通过加载驱动进行内核层面的破坏(Rootkit),大家都可以乱搞,把好端端的Windows系统搞得乱七八糟,严重影响了系统安全性与可靠性。1.这里我们可以通过MSR(特别模块寄存器),读取C0000082寄存器,从而得到KiSystemCall64的地址,在内核调试模式下直接输入。
SSDT获取原始服务地址的方法与原理(灯灯灯灯,我肥来了..)
GaA.Ra的自留地 in Csdn
11-18 7329
好吧,我胡汉三肥来了..(确实肥了- -),几个月没发什么文章.其实.我也只是一个新丁~欢迎大家交流,高手勿喷,谢谢合作^_^     对于SSDT,不知道的同学请自己百度,判断出SSDT被HOOK之后,如何恢复成原始服务地址?主要方法有两个,简单来说,一个Ring0,一个Ring3的方法(可能分类不够准确),我今天除了介绍方法之外,主要还是讲讲里面的原理吧,原理神马的才是最吸引人的对吧.
找KiServiceTable
weixin_33739541的博客
12-16 165
为什么80%的码农都做不了架构师?>>> ...
系统服务调度SSDT及SSSDT Shadow
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
09-13 1384
系统服务:由操作系统提供的一组函数(内核函数),API可以间接或者直接的调用系统服务。操作系统以动态链接库(DLL)的形式提供API。 SSDT:系统服务调度(System  Service  Dispatch Table),该可以基于系统服务编号进行索引,来定位函数内存地址。 SSPT:系统服务参数(System  Service  Parameter  Table),指定系统服务函数
(EPROCESS/KPROCESS/ETHREAD/KTHREAD)进程与线程内核层中的结构
weixin_45678798的博客
07-27 1262
现代操作系统通过中央处理器进行任务执行的操作,通过把时间细分,在适当的时间粒度上轮流执行任务,每个任务都有机会进行执行。通过这种方式用户会认为系统的任务是在同时进行的,这种并行方式被称为伪并行,当然如果存在多个处理器,也可变成真并行。...........................
KThread和TCB的构造顺序分析
08-18
资源中是KThread和TCB的构造顺序分析PPT文件
Embedfire-imx6#embed_linux_tutorial_ppt#彻底掌握kthread_worker队列化机制1
07-25
彻底掌握kthread_worker队列化机制kthread_init_worker()宏初始化kthread_worker__kthread_init_wor
系统内核结构
02-08
大部分常用系统结果 已经还原成C语言格式的 typedef struct _EPROCESS_XP_SP3 // 107 elements, 0x260 bytes (sizeof) { /*0x000*/ struct _KPROCESS_XP_SP3 Pcb; // 29 elements, 0x6C bytes (sizeof) ...
基于内核线程的创建、使用和退出以及延时宏的补充说明介绍
12-25
kthread_create():创建内核线程 代码如下:struct task_struct *kthread_create(int (*threadfn)(void *data), void *data, const char namefmt[], …); kernel thread可以用kernel_thread创建,但是在执行函数里面...
WinDbg x86下查看SSDT SSSDT
zhuhuibeishadiao
03-31 1431
前提:设置好操作系统的符号 SSDT的查看: kd> x nt!kes*des*table* 80553fe0 nt!KeServiceDescriptorTableShadow =  80554020 nt!KeServiceDescriptorTable =  kd> dd 80554020 80554020 80502b9c 00000000 0000011c 8050301
[科普]SSDT/SSSDT那些事
zhuhuibeishadiao
05-09 3727
哇,看到很多人找SSDT/SSSDT名称很蛋疼,读ntdll啊什么的,最后index还很乱,github上也有相关的工具,关键字是syscall,也是用ntdll的方式.. 这里科普下吧 以win10为例 x86下 找到ssdt很简单,ida打开找到后交叉下 会找到KiInitSystem INIT:00998E8E A3 48 93 64 00
MmProbeAndLockPages
Sunny_wwc的专栏
03-14 5650
MmProbeAndLockPages 到底锁定什么?<br />驱动程序有时候需要锁定内存页以使得它们在特定的操作期间驻留在内存中,例如在 DPC 例程中将数据从设备复制到数据缓冲区或者对缓冲区进行 DMA。MmProbeAndLockPages 例程使得一个指定的内存范围驻留(如果尚未驻留),确认内存页允许以指定的访问模式执行指定的操作,并锁定内存中的页以使得它们不能被页交换出去。<br />MmProbeAndLockPages 通过在页帧号 (page frame number) 数据库(描述物理内
inline hook KiFastCallEntry
Sunny_wwc的专栏
10-14 4491
#include "ntddk.h"#include "sysenterhook.h"#if DBG#define dprintf DbgPrint#else#define dprintf(x)#endif#define BYTE unsigned char #define MEM_TAG 'CQ'#define NT_DEVICE_NAME L"//Device//sysenterhook"#define DOS_DEVICE_NAME L"//DosDevices//sysenterhook"NTSTA
KiFastCallEntry
Sunny_wwc的专栏
10-14 3066
<br /> PUBLIC _KiFastCallEntry<br />_KiFastCallEntry        proc<br /> <br />;此时:<br />;eax指向服务编号<br />;edx指向当前用户栈,edx+8为参数列<br />;<br />; Sanitize the segment registers<br />;<br />        mov     ecx, KGDT_R3_DATA OR RPL_MASK    <br />        push    KG
apc
Sunny_wwc的专栏
03-15 1243
NTKERNELAPIVOIDKeInitializeApc (    IN PRKAPC Apc,    IN PKTHREAD Thread,    IN KAPC_ENVIRONMENT Environment,    IN PKKERNEL_ROUTINE KernelRoutine,    IN PKRUNDOWN_ROUTINE RundownRoutine OPTIONAL,    IN PKNORMAL_ROUTINE NormalRoutine OPTIONAL,    IN KPROCE
学习进程的句柄
Sunny_wwc的专栏
11-02 1175
<br />首先打开任务管理器随便选一个进程<br /><br />以explorer.exe为例<br />pid为1388<br />十六进制为56C<br /> <br />用windbg找到对应的EPROCESS<br />kd>!process 1388<br />得到EPROCESS为81e69688  <br /> <br /><br /> <br />再查看进程的EPROCESS<br /><br /> <br />再查看进程的句柄HANDLE_TABLE<br /><br /> <br
int2e解释
Sunny_wwc的专栏
10-12 867
图片说明了一切
pthread kthread
最新发布
09-03
而kthread则指代内核线程。pthread和kthread在处理上有一些区别,包括相关的数据结构和上下文切换时对fpu的load/store处理的不同。详细信息可以参考Linux 5.10.8版本的文档。 注意:由于引用内容中没有具体提到...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值