另一种简便的Ring0恢复SSDTShadow主要源码

于 2013-10-26 14:10:21 发布
阅读量694 收藏
点赞数
分类专栏: 驱动学习
//Ring0恢复SSDTShadow主要源码 By VirusWizard
//主要思路和恢复SSDT是一样的。不多说了
NTSTATUS GetOrigShadowTable(
                             )
{
    NTSTATUS status = STATUS_UNSUCCESSFUL;
    HANDLE hFile = 0;
     OBJECT_ATTRIBUTES ObjAttr = {0};
    UNICODE_STRING ustrWin32k = {0};
     IO_STATUS_BLOCK ioStatus = {0};
     FILE_POSITION_INFORMATION fpi = {0};
    ULONG ulOffsetOfShadow = 0;
     PIMAGE_NT_HEADERS pNtHdr = NULL;
     LARGE_INTEGER Offset = {0};

    if (!KeServiceDescriptorTableShadow)
     {
        return STATUS_UNSUCCESSFUL;
     }

     dprintf("CountOfSSDTShadow : %d\n", KeServiceDescriptorTableShadow[1].Limit + 1);
     g_pOrigSSDTShadow = ExAllocatePool(
                 PagedPool,
                 (KeServiceDescriptorTableShadow[1].Limit + 1) * sizeof(ULONG));
    if ( !g_pOrigSSDTShadow )
     {
         dprintf("[GetOrigShadowTable] AllocateMemory Error.\n");
        return STATUS_UNSUCCESSFUL;
     }

     RtlInitUnicodeString(&ustrWin32k, L"\\SystemRoot\\System32\\win32k.sys");
     dprintf("ustrWin32k : %S.\n", ustrWin32k.Buffer);

     InitializeObjectAttributes(
         &ObjAttr,
         &ustrWin32k,
         OBJ_KERNEL_HANDLE | OBJ_CASE_INSENSITIVE,
         NULL,
         NULL
     );

     status = ZwCreateFile(
                 &hFile,
                 GENERIC_READ,
                 &ObjAttr,
                 &ioStatus,
                 NULL,
                 FILE_ATTRIBUTE_NORMAL,
                 FILE_SHARE_READ,
                 FILE_OPEN,
                 FILE_NON_DIRECTORY_FILE | FILE_RANDOM_ACCESS | FILE_SYNCHRONOUS_IO_NONALERT,
                 NULL,
                 0
             );

    if ( !NT_SUCCESS(status) )
     {
         dprintf("ZwCreateFile Error.status = 0x%08X.\n", status);
        goto __exit;
     }

     pNtHdr = RtlImageNtHeader(g_pWin32kBase);
     ulOffsetOfShadow = RvaToOffset(pNtHdr, (ULONG)KeServiceDescriptorTableShadow[1].Base - (ULONG)g_pWin32kBase);
     dprintf("ulOffsetOfSSDT : 0x%08X.\n", ulOffsetOfShadow);

    if (ulOffsetOfShadow)
     {
         Offset.LowPart = ulOffsetOfShadow;
         Offset.HighPart = 0;

         status = ZwReadFile (
                     hFile,
                     NULL,
                     NULL,
                     NULL,
                     &ioStatus,
                     g_pOrigSSDTShadow,
                     KeServiceDescriptorTableShadow[1].Limit * sizeof(ULONG),
                     &Offset,
                     NULL
                 );
        if ( NT_SUCCESS(status) )
         {
            ULONG i;
             dprintf("ReadOrigShadowSuccess.\n");
            for (i = 0;i < KeServiceDescriptorTableShadow[1].Limit;i++)
             {
                 dprintf("Index : 0x%03X,ShadowRoutineAddr : 0x%08X\n", i,((ULONG *)g_pOrigSSDTShadow) );
             }
         }
     }

__exit:
    if (hFile)
     {
         ZwClose(hFile);
     }
    return status;
}
ccx_john
关注
专栏目录
易语言源码易语言恢复SSDT驱动源码.rar
03-31
总的来说,“易语言恢复SSDT驱动源码.rar”是一个学习易语言编程和Windows系统内核操作的好资源,对于想要提升系统级编程技能的开发者具有很高的学习价值。不过,使用这类源码时必须谨慎,因为直接修改SSDT可能会对...
易语言恢复SSDT驱动
07-21
易语言恢复SSDT驱动源码,恢复SSDT驱动,DriverEntry,驱动通信,DispatchCreateClose,驱动卸载,创建符号链接及设备,Get_KeServiceDescriptorTable_Address,ReadIntByAddr,读内存,写内存,取变量地址,DbgPrint,...
易语言恢复SSDT驱动源码
06-02
恢复SSDT驱动源码是用于修复这一问题的重要工具。 易语言恢复SSDT驱动源码的编写涉及到以下几个关键知识点: 1. 易语言基础:理解易语言的基本语法结构、变量类型、控制结构(如循环、条件判断)、函数和模块等,...
ring3下查找ssdt并恢复 源码+exe
05-18
ring3下查找ssdt地址并显示哪些被Hook了 可恢复恢复ssdt 使用ZwSystemDebugControl by topmint 网上搜到的地址很多不能下了 就在这放一份 注意:xp后期版本封了这个函数的写内核功能 只能显示哪些ssdt被hook 无法...
恢复SSDT的软件源码
04-09
在这个主题中,“恢复SSDT的软件源码”可能是指一种方法或工具,用于修复或重新构建受损的SSDT。下面我们将深入探讨SSDT的工作原理、可能出现的问题以及如何进行恢复。 1. SSDT工作原理: - SSDT是一个表格,包含...
WxParse-微信小程序富文本解析自定义组件,支持HTML和markdown解析.zip
10-04
WxParse-微信小程序富文本解析自定义组件,支持HTML和markdown解析
江苏科技大学在辽宁2020-2024各专业最低录取分数及位次表.pdf
10-04
那些年,与你同分同位次的同学都去了哪里?全国各大学在辽宁2020-2024年各专业最低录取分数及录取位次数据,高考志愿必备参考数据
Chartjs微信小程序改编_Chartjs-wecat-mini-app.zip
10-04
Chartjs微信小程序改编_Chartjs-wecat-mini-app
kindeditor-4.1.12.zip
最新发布
10-04
网上好不容易找到的,特此分享。
基于Java语言的编程设计源码与小作品展示
10-04
该项目汇集了55个文件,涵盖Java编程语言的源码和小型作品,具体包括15个XML配置文件、13个Java源文件、12个Git忽略文件、6个IML项目文件、5个文档文件、2个Markdown文件、1个文档和1个PNG图像文件。这些文件构成了一个完整的Java开发资源包。
中国石油大学(北京)克拉玛依校区在辽宁2020-2024各专业最低录取分数及位次表.pdf
10-04
那些年,与你同分同位次的同学都去了哪里?全国各大学在辽宁2020-2024年各专业最低录取分数及录取位次数据,高考志愿必备参考数据
基于Java与前端技术集成的应急互助信息管理系统设计源码
10-04
该项目为2022年暑期实习期间由190822班贺忍小组开发的应急互助信息管理系统源码,采用Java作为后端开发语言,并结合Vue、JavaScript、HTML、SVG等前端技术实现。该系统源码包含684个文件,其中Java文件282个,Vue文件101个,SVG文件87个,JavaScript文件84个,XML文件34个,PNG文件26个,JPG文件13个,VM文件13个,SCSS文件9个,BAT文件7个。该系统旨在提供高效、便捷的应急互助信息管理服务。
全国大学生电子设计大赛项目合集全国电赛优秀作品电赛B题风力摆控制系统设计(原理图+源代码+设计报告等)
10-04
全国大学生电子设计大赛项目合集全国电赛优秀作品电赛B题风力摆控制系统设计(原理图+源代码+设计报告等)
基于SpringBoot框架的Java课程资料设计源码
10-04
该项目为基于SpringBoot框架的Java课程资料,包含35个文件,其中26个为Java源文件,3个为SQL脚本,1个为Git忽略文件,1个为Maven构建配置文件,1个为XML配置文件,1个为Markdown文档,以及1个属性文件。这些资料旨在辅助教学活动,适用于相关Java课程的教学和实践。
滇西应用技术大学在辽宁2020-2024各专业最低录取分数及位次表.pdf
10-04
那些年,与你同分同位次的同学都去了哪里?全国各大学在辽宁2020-2024年各专业最低录取分数及录取位次数据,高考志愿必备参考数据
职业心理测试综合素养测试32个文件职业心理测试综合素养测试32个文件
10-04
职业心理测试综合素养测试32个文件职业心理测试综合素养测试32个文件
STM32硬件资料硬件工程师手册全STM32硬件资料硬件工程师手册全
10-04
STM32硬件资料硬件工程师手册全STM32硬件资料硬件工程师手册全
微信小程序关注WXReading阅读.zip
10-04
微信小程序关注WXReading阅读
延安大学在辽宁2020-2024各专业最低录取分数及位次表.pdf
10-04
那些年,与你同分同位次的同学都去了哪里?全国各大学在辽宁2020-2024年各专业最低录取分数及录取位次数据,高考志愿必备参考数据
206套成品网站源码打包下载
1. ASP (Active Server Pages):ASP是微软推出的一种服务器端脚本环境,主要用于创建动态交互式网页。它允许开发者使用HTML、VBScript或JScript编写网页,并在服务器端执行代码,生成HTML返回给客户端浏览器。 2. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值