使用Windbg查看系统SSDT表与ShadowSSDT表

最新推荐文章于 2020-09-05 19:03:12 发布
最新推荐文章于 2020-09-05 19:03:12 发布
阅读量6.8k 收藏 5
点赞数
分类专栏: 软件调试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/baggiowangyu/article/details/41802229
版权
x86操作系统

1. 查看当前系统是否已经载入win2k.sys的相关符号信息:

kd> lm
start    end        module name
80586000 8058f000   kdcom      (deferred)             
80e03000 81391000   nt         (pdb symbols)          d:\symbols\websymbo\ntkrpamp.pdb\E2342527EA214C109CD28A19ED4FBCCE2\ntkrpamp.pdb
81391000 813e6000   hal        (deferred)             
81c3b000 81c78000   spaceport   (deferred)             
81c78000 81c8b000   volmgr     (deferred)             
81c8b000 81cd9000   volmgrx    (deferred)             
81cd9000 81ce0000   intelide   (deferred)             
81ce0000 81cee000   PCIIDEX    (deferred)             
81cee000 81d04800   vmci       (deferred)             
81d05000 81d1a000   mountmgr   (deferred)             
81d1a000 81d33000   lsi_sas    (deferred)             
81d33000 81d80000   storport   (deferred)             
81d80000 81d89000   atapi      (deferred)             
81d89000 81db4000   ataport    (deferred)             
81db4000 81dc8000   EhStorClass   (deferred)             
81dc8000 81de6000   luafv      (deferred)             
81e00000 81e26000   cdrom      (deferred)             
81e35000 81e81000   fltmgr     (deferred)             
81e81000 81e92000   fileinfo   (deferred)             
81e92000 81ec5000   WdFilter   (deferred)             
81ec5000 81f97000   ndis       (deferred)             
81f97000 81ff0000   NETIO      (deferred)             
82000000 82014000   rspndr     (deferred)             
8201a000 821e9000   tcpip      (deferred)             
821e9000 821f4000   BasicRender   (deferred)             
82200000 82208000   Null       (deferred)             
82208000 8220f000   Beep       (deferred)             
82210000 82254000   fwpkclnt   (deferred)             
82254000 82261000   wfplwfs    (deferred)             
82261000 822ca000   fvevol     (deferred)             
822ca000 822da000   agp440     (deferred)             
822da000 82320000   volsnap    (deferred)             
82320000 8234f000   rdyboost   (deferred)             
8234f000 82360000   mup        (deferred)             
82360000 82367980   vmrawdsk   (deferred)             
8236b000 82383000   disk       (deferred)             
82383000 823ce000   CLASSPNP   (deferred)             
823ce000 823de000   crashdmp   (deferred)             
823de000 823e9000   monitor    (deferred)             
823e9000 823f9000   lltdio     (deferred)             
87a13000 87aa5000   mcupdate_GenuineIntel   (deferred)             
87aa5000 87ae8000   CLFS       (deferred)             
87ae8000 87b04000   tm         (deferred)             
87b04000 87b17000   PSHED      (deferred)             
87b17000 87b20000   BOOTVID    (deferred)             
87b20000 87b94000   CI         (deferred)             
87b94000 87bcc000   msrpc      (deferred)             
87bcc000 87bde000   pdc        (deferred)             
87bde000 87bf3000   partmgr    (deferred)             
87e00000 87e20000   tpm        (deferred)             
87e29000 87eaa000   Wdf01000   (deferred)             
87eaa000 87eb8000   WDFLDR     (deferred)             
87eb8000 87ec8000   acpiex     (deferred)             
87ec8000 87ed2000   WppRecorder   (deferred)             
87ed2000 87f2a000   ACPI       (deferred)             
87f2a000 87f33000   WMILIB     (deferred)             
87f33000 87f3b000   msisadrv   (deferred)             
87f3b000 87f6d000   pci        (deferred)             
87f6d000 87fe7000   cng        (deferred)             
87ff1000 87ffc000   vdrvroot   (deferred)             
88000000 8802a000   ksecpkg    (deferred)             
8803c000 881cf000   Ntfs       (deferred)             
881cf000 881e5000   ksecdd     (deferred)             
881e5000 881f3000   pcw        (deferred)             
881f3000 881fc000   Fs_Rec     (deferred)             
8be0a000 8bf3a000   dxgkrnl    (deferred)             
8bf3a000 8bf48000   watchdog   (deferred)             
8bf48000 8bf8b000   dxgmms1    (deferred)             
8bf8b000 8bf9a000   BasicDisplay   (deferred)             
8bf9a000 8bfa8000   Npfs       (deferred)             
8bfa8000 8bfb2000   Msfs       (deferred)             
8bfb2000 8bfcf000   tdx        (deferred)             
8bfcf000 8bfdc000   TDI        (deferred)             
8bfdc000 8bfe5000   ws2ifsl    (deferred)             
8bfe5000 8bff9000   dump_dumpfve   (deferred)             
8c800000 8c81a000   usbccgp    (deferred)             
8c81a000 8c824000   hidusb     (deferred)             
8c82a000 8c889000   USBPORT    (deferred)             
8c889000 8c8a6200   E1G60I32   (deferred)             
8c8a7000 8c8b9000   usbehci    (deferred)             
8c8b9000 8c8be000   CmBatt     (deferred)             
8c8be000 8c8c9000   BATTC      (deferred)             
8c8c9000 8c8e0000   intelppm   (deferred)             
8c8e0000 8c8f9000   raspptp    (deferred)             
8c8f9000 8c914000   rasl2tp    (deferred)             
8c914000 8c929000   raspppoe   (deferred)             
8c929000 8c92a300   swenum     (deferred)             
8c92b000 8c96a000   ks         (deferred)             
8c96a000 8c973000   rdpbus     (deferred)             
8c973000 8c984000   NDProxy    (deferred)             
8c984000 8c98e000   flpydisk   (deferred)             
8c98e000 8c9e2000   u
最低0.47元/天 解锁文章
baggiowangyu
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ShadowSSdt HOOK
zhuhuibeishadiao
04-10 2886
SHADOW地址的获取。 CSRSS进程。system进程并没有载入win32k.sys,所以,要访问shadowssdt,必须KeStackAttackProces到一个有GUI线程的进程中,而csrss.exe就是这样的一个合适的进程(管理Windows图形相关任务) Index?硬编码 挂钩NtGdiBitBlt、NtGdiStretchBlt用于截屏保护  挂钩NtUserSe
Shadow SSDT服务函数原始地址
12-01
7. **工具辅助**:有许多内核调试工具,如WinDbg,可以帮助我们更方便地查看和操作SSDT和Shadow SSDT。通过这些工具,我们可以更直观地查看服务函数的指针,并进行分析。 总的来说,获取Shadow SSDT服务函数的原始...
windbg查看SSDT
bcbobo21cn的专栏
09-05 1154
SSDT,System Services Descriptor Table,系统服务描述符。 见此 https://blog.csdn.net/bcbobo21cn/article/details/52083557 这个就是一个把ring3的Win32 API和ring0的内核函数联系起来。SSDT包含一个庞大的地址索引,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。 SSDT定义为下面结构体; typedef struct _SYSTEM_SERVICE_T...
WINDOWS内核学习笔记1—Shadow SSDT
rosykee的专栏
10-09 850
近期学习内核的
Shadow SSDT详解、WinDbg查看Shadow SSDT
08-11 389
一、获取ShadowSSDT 好吧,我们已经在R3获取SSDT的原始地址及SDT、SST、KiServiceTbale的关系里面提到:所有的SST都保存在系统服务描述(SDT)中。系统中一共有两个SDT,一个是ServiceDescriptorTable,另一个是ServiceDescriptorTableShadow。ServiceDescriptor中只有指向KiServic...
ssdt与shadowssdt区别
xuemao1230的专栏
02-28 720
(ring3)            (NtOpenProcess)      ssdt层                  实现OpenProcess->ntdll!ZwOpenProcess->ntos!ZwOpenProcess->ntos!NtOpenProcess(内核中有2套函数 ,zw,nt,nt才是真正的执行函数,zw只是一个过渡函数,可用ida察看ntoskrn...
Windbg内核调试之三: 调试驱动
mergerly的专栏
09-26 2735
这次我们通过一个实际调试驱动的例子,来逐步体会Windbg在内核调试中的作用.由于条件所限,大多数情况下,很多人都是用VMware+Windbg调试内核(VMware的确是个好东西).但这样的调试需要占用大量的系统资源,对于和我一样急性子的朋友来说这是不可接受的:).利用双机调试就可以让你一边喝咖啡一边轻松的看结果,而不至于郁闷的等待每次长达数分钟的系统响应.有关双机调试的基本设置,请参考:htt
Windbg使用手册.zip
10-13
Windbg是一款强大的Windows调试工具,尤其在逆向工程和系统级问题排查方面有着广泛的应用。它是微软提供的一个免费工具,适用于Win32平台,对于软件开发者、系统管理员以及逆向工程师来说,是不可或缺的工具之一。这...
SSDT.rar_SSDT win7_ssdt_windows kernel
09-24
5. **调试技巧**:通过调试工具,如WinDbg,可以查看和分析SSDT,这对于系统调试和故障排查非常有用。 6. **系统服务分析**:理解SSDT可以帮助我们识别哪些服务是关键的,哪些可能是性能瓶颈,从而优化系统性能或...
windbg dump文件查看
最新发布
04-06
本文将详细介绍如何使用Windbg查看和分析dump文件,以及如何从中获取可能导致死机或蓝屏的原因。 首先,我们需要了解dump文件。当Windows遇到无法恢复的错误时,它会创建一个内存转储文件,保存当时系统的内存...
R0层获取ShadowSSDT函数原始地址实例
11-20
本实例由VS2008开发,在提供了一套驱动开发框架的同时,又演示了如何获取Shadow SSDT函数原始地址的办法。 主要函数:ULONG GetShadowSSDT_Function_OriAddr(ULONG index); 原理说明: 根据特征码搜索导出函数KeAddSystemServiceTable来获取Shadow SSDT基址,以及通过ZwQuerySystemInformation()函数获取win32k.sys基址,然后解析PE定位到Shadow SSDT在win32k.sys的偏移地址,并通过进一步计算来得到Shadow SSDT函数的原始地址。 这里只测试了三个函数:(460)NtUserMessageCall、(475)NtUserPostMessage和(502)NtUserSendInput,具体使用时可以举一反三,网上完整的源代码实例并不太多,希望可以帮到真正有需要的朋友。 系统环境: 在WinXP SP3系统 + 瑞星杀毒软件 打印输出: [ LemonInfo : Loading Shadow SSDT Original Address Driver... ] [ LemonInfo : 创建“设备”值为:0 ] [ LemonInfo : 创建“设备”成功... ] [ LemonInfo : 创建“符号链接”状态值为:0 ] [ LemonInfo : 创建“符号链接”成功... ] [ LemonInfo : 驱动加载成功... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP 开始... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP Enter IRP_MJ_DEVICE_CONTROL... ] [ LemonInfo : 获取ShadowSSDT (460)NtUserMessageCall 函数的“当前地址”为:0xB83ECFC4,“起源地址”为:0xBF80EE6B ] [ LemonInfo : 获取ShadowSSDT (475)NtUserPostMessage 函数的“当前地址”为:0xB83ECFA3,“起源地址”为:0xBF8089B4 ] [ LemonInfo : 获取ShadowSSDT (502)NtUserSendInput 函数的“当前地址”为:0xBF8C31E7,“起源地址”为:0xBF8C31E7 ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP_MJ_DEVICE_CONTROL 成功执行... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP 结束... ] [ LemonInfo : UnLoading Shadow SSDT Original Address Driver... ] [ LemonInfo : 删除“符号链接”成功... ] [ LemonInfo : 删除“设备”成功... ] [ LemonInfo : 驱动卸载成功... ]
windbg-info:与使用和改进windbg相关的链接的集合
05-12
该项目旨在成为与windbg相关的链接的存储库,我发现这些链接有用,有趣或已使用,并希望保留在易于访问的列中。 WinDbg预览 我没有使用过新版本,但是看起来很不错。 WinDbg 一般连结 使用Windbg分析.net SOS...
WinDbg使用之详细说明
04-12
WinDbg是一款强大的微软Windows操作系统调试工具,由Microsoft开发并提供。它被广泛应用于系统级调试、内核调试以及应用程序的故障分析。本详细说明将深入探讨WinDbg使用方法,帮助用户掌握其核心功能。 一、...
windbg使用.docx
04-07
下面是对 Windbg使用指南,涵盖了从加载 pdb 文件到查看堆栈信息的各个方面。 加载 PDB 文件 在 Windbg 中,加载 PDB 文件是必不可少的一步,PDB 文件包含了程序的符号信息,用于帮助调试器定位问题的根源。使用...
WinDbg使用详解
02-21
总结,WinDbg是Windows系统调试不可或缺的工具,它提供了丰富的调试功能和命令,对于软件开发者和系统管理员来说,理解和掌握WinDbg使用能够极大地提升问题定位和解决的效率。通过实践和不断学习,可以更好地利用...
SSDT表与ShadowSSDT
bcbobo21cn的专栏
09-05 396
实际上内核中存在两个系统服务描述符,一个是KeServiceDescriptorTable(由ntoskrnl.exe导出);,一个是KeServieDescriptorTableShadow(没有导出)。 KeServieDescriptorTableShadow不但包含了ntoskrnel项,而且还包含了win32k项,而KeServiceDescriptorTable仅仅包含一个ntoskrnel项。 内核中有2套函数 ,zw,nt,nt才是真正的执行函数,zw只是一个过渡函数,(可用ida察看
windows程序员进阶系列:《软件调试》之五windows操作系统概要
923723914
03-13 341
windows程序员进阶系列:《软件调试》之五:Windows操作系统概要 操作系统是计算机系统中的基本软件。它负责管理系统中的软硬件资源。通常都包括文件管理、内存管理、进程管理、打印管理、网络管理等基本功能。除此之外,支持调试也是操作系统设计的一项根本任务。 从被调试对象的角度来看,可以把操作系统的调试支持分为以下三个方面: 一:对应用程序的调试。即如何简单高效的调试运行在系统中的应...
用symbol来获得ShadowSSDT的原始地址和函数名
weixin_34005042的博客
08-14 325
在网上看了下,获得ShadowSSDT的函数名和原始地址的方法和文章不是很多。比较简单的应该算是设计张函数名和用symbol的方法。 个人觉得用symbol来获得ShadowSSDT还是比较方便的,而且自己也不用去创建一张,何乐而不为。^_^ 这办法简单的原因是我只需要一个win32.sys,win32.pdb,以及调用不到10个的API就能完成工作。 ...
驱动开发入门 - 之二:Win7-x64 + VMWare (Win7-x64) + WinDbg 双机调试环境搭建
热门推荐
ζёСяêτ - 小優YoU
10-13 1万+
驱动开发入门 - 之二Win7-x64 + VMWare (Win7-x64) + WinDbg双机调试环境搭建—— By EXP 2017-10-08 完整原文下载(转载请注明出处,仅供分享学习,严禁用于商业用途) 1. 概述 1.1. 前言  适读人群:具备良好的C/C++开发经验,一定的逆向工程基础。   前置阅读:《驱动开发入门 - 之一 :Win7 SP1 x64 驱动开发环
怎样使用windbg分析卡慢系统dump
03-31
Windbg会输出CPU使用率高的线程信息,帮助我们找到CPU使用率高的原因。 10. 分析网络问题:在Windbg中输入“!netstat”命令,分析网络问题。Windbg会输出网络连接信息,帮助我们找到网络问题的原因。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值