一段获取ssdt表及其中函数的简单代码

最新推荐文章于 2021-12-18 15:10:01 发布
最新推荐文章于 2021-12-18 15:10:01 发布
阅读量728 收藏
点赞数
分类专栏: HOOK技术 文章标签: service table system struct null

一段获取ssdt表及其中函数的简单代码

typedef struct _SYSTEM_SERVICE_TABLE
{
    PNTPROC    ServiceTable ;    // array of entry points
    PULONG    CounterTable ;    // array of usage counters . be NULL
    ULONG    ServiceLimit ;    // number of table entries
    UCHAR*    ArgumentTable ;    // array of bytes counts
} SYSTEM_SERVICE_TABLE , *PSYSTEM_SERVICE_TABLE , **PPSYSTEM_SERVICE_TABLE ;

ULONG GetSSDTFunction(ULONG nIndex, ULONG *pFunAddr )
{
      PETHREAD kthread;
      PSYSTEM_SERVICE_TABLE   pssdt;

      kthread = (ULONG)PsGetCurrentThread();
      pssdt = kthread ->ServiceTable;
     
       if( nIndex < pssdt->ServiceLimit )
       {
              *pFunAddr = pssdt->ServiceTable [nIndex];
              return   *pFunAddr;
       }

       return   0;

}
cosmoslife
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ssdt函数索引号_技术分享 - 32位系统上获取SSDT地址以及从获取指定SSDT函数的地址...
weixin_39758953的博客
12-19 255
背景SSDT 全称为 System Services Descriptor Table,即系统服务描述符SSDT 的作用就是把 ring3 的 WIN32 API 函数和 ring0 的内核 API 函数联系起来。对于ring3下的一些API,最终会对应于 ntdll.dll 里一个 Ntxxx 函数,例如 CreateFile,最终调用到 ntdll.dll 里的 NtCreateFile...
高版本Windows下SSDT函数获取例子完整工程
10-23
在Windows10 高版本 ,因为页隔离补丁(?),__readmsr(0xC0000082) 返回KiSystemCall64Shadow,这玩意无法直接搜索到 KeServiceDescriptorTable,以前获取SystemServiceDescriptorTable的方法失效。
SSDT
10-20 3366
2、系统服务调度SSDT及SSSDT Shadow 系统服务:由操作系统提供的一组函数(内核函数),API可以间接或者直接的调用系统服务。操作系统以动态链接库(DLL)的形式提供API。 SSDT:系统服务调度(System  Service  Dispatch Table),该可以基于系统服务编号进行索引,来定位函数内存地址。 SSPT:系统服务参数(System  Service
SSDT索引号的获取
yjz1409276的专栏
11-30 2106
SSDT索引号的获取 系统服务描述符,System Service Dispatch TableSSDT KeServiceDescriptorTable是由内核导出的。该拥有一个指针(其实仅有ntoskrnel一项,没有包含win32k),指向SSDT包含由Ntoskrnl.exe实现的核心系统服务的相应部分,它是内核的主要组成部分。 typedef struct _Syst
内核层获取SSDT函数原始地址
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-09 1456
标 题: 【下载】内核层获取SSDT函数原始地址 作 者: QEver 时 间: 2011-08-30,20:32:28 链 接: http://bbs.pediy.com/showthread.php?t=139524 昨天在看雪看到《【下载】发个获得SSDT函数名和索引号的代码》,一时兴起整理了一份内核层根据ntdll.dll和nt模块文件来获取SSDT函数原始的地址的代码,可以
x64下获取SSDT(暴力搜索方式)
IT男也疯狂
07-17 2478
typedef struct _SYSTEM_SERVICE_TABLE{     PVOID          ServiceTableBase;     PVOID          ServiceCounterTableBase;     ULONGLONG      NumberOfServices;     PVOID          ParamTableBase; } SY
驱动SSDT未导出函数NtReadVirtualMemory.rtf
08-05
windows10获取SSDT未导出函数NtReadVirtualMemory详细步骤和代码,其他未导出函数同理
驱动级的隐藏进程代码,在驱动层通过替换ssdt地址函数来隐藏进程...
06-26
System Service Dispatch Table (SSDT)是Windows操作系统的一个重要数据结构,它存储了系统服务函数的入口点。系统服务是操作系统为用户模式应用程序提供的一种接口,用于执行内核级操作。当用户模式的程序调用一...
R0层获取ShadowSSDT函数原始地址实例
11-20
本实例由VS2008开发,在提供了一套驱动开发框架的同时,又演示了如何获取Shadow SSDT函数原始地址的办法。 主要函数:ULONG GetShadowSSDT_Function_OriAddr(ULONG index); 原理说明: 根据特征码搜索导出函数...
精选_64位系统上获取SSDT地址以及从获取指定SSDT函数的地址_源码打包
03-10
本压缩包文件“精选_64位系统上获取SSDT地址以及从获取指定SSDT函数的地址_源码打包”主要关注如何在64位Windows系统上查找SSDT的地址,并从SSDT获取特定函数的地址。 在64位系统,由于处理器架构的不同...
SSDT检测器。SSDT是系统服务描述的意思(system service description table)
02-18
安全工具集。 请对系统比较了解的朋友下载使用。如果您对系统不是很了解的话,不要轻易尝试。不然,很可能导致系统蓝屏。而且此类工具一般都采用了特殊的驱动方式加载,为了提升权限,采用了各种病毒可能使用的方法,因此,很可能导致杀毒软件有反应。请不要见怪。蓝屏是最常见了
从ntoskrnl文件直接查找ssdt各个参数
10-14 1133
 bool LoadNtosFile(PWCHAR szNtosFullPath, PVOID *FileBase, ULONG *FileSize){    NTSTATUS st;    /************************************************************************/    /* 读取文件镜像                 
HOOK SSDT,获取 SSDT 函数地址
LYSM
06-24 534
背景 我们要开始向大家演示 SSDT HOOK 的使用方式,帮助我们的程序实现隐藏或是监控等工作。我们之前也一直提到过,在 32 位系统上,要想实现隐藏或是监控的操作,大多数操作就是对 SSDT 函数各种 HOOK,可以是 SSDT HOOK,也可以是 Inline HOOK。但,这些通过对 SSDT 内存修改而实现的操作,在 64 位系统上不再适用,因为 64 位系统的 Patch Guard 保护机制,把 SSDT 的内存作为重点保护对象,只要对 SSDT 的内存进行修改,都会触发 Patch Gua
SSDT hook技术KeServiceDescriptorTable 结构及获取
namelcx的专栏
07-05 2050
KeServiceDescriptorTable 结构  KeServiceDescriptorTable:是由内核(Ntoskrnl.exe)导出的一个,这个是访问SSDT的关键,具体结构是    typedef struct ServiceDescriptorTable {    PVOID ServiceTableBase;    PVOID ServiceCounterTabl
驱动开发笔记3—SSDT详解
qq_42814021的博客
10-09 3216
SSDT SSDT的全称是"System Services Descriptor Table",即系统服务描述,在内核的实际名称是KeServiceDescriptorTable,这个由ntoskrnl.exe导出(在x64里不导出)。 SSDT用于处理应用层通过Kernel32.dll下发的各个API操作请求。ntdll.dll的API是一个简单的包装函数,当Kernel32.dll的API通过Ntdll.dll时,会先完成对参数的检查,再调用一个断(int 2Eh 或者 SysEnter指
win10驱动开发20——SSDT
qq_41610493的博客
12-18 795
什么是SSDT        SSDT全称为System Services Descriptor Table文为系统服务描述符SSDT就是把ring3的Win32 API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。        SSDT通过修改此函数地址可以对常用windo
获取SSDT函数索引号
qq_41071646的博客
01-15 1003
这里还是看windows黑客编程技术详解 学的  其实 里面很多东西 自己以前都会  主要 的是不知道索引号 放在了哪里  看了这本书 才发现  索引号      如果大家对PE不理解  可以去补一下 PE  现在回头来看看 还是比较简单的 至于索引号  这里可以 说一下  以下代码均是 windows黑客编程技术详解 一书自带的代码 #ifdef _WIN64 ulFuncti...
获得SSDT函数
cqyczj的专栏
04-18 1743
代码:  ULONG GetSSDTName() {  KdBreakPoint();  if (KeGetCurrentIrql() > PASSIVE_LEVEL)  {   return STATUS_UNSUCCESSFUL;  }  //设置NTDLL路径  UNICODE_STRING uniFileName;  RtlInitUnicodeString(&uniFileName, 
SSDT HOOK技术(2)——获取SSDT地址以及从获取指定SSDT函数的地址
苞米地里捉小鸡的博客
08-19 1215
32 位系统和 64 位上,获取 SSDT 的方式并不相同,获取 SSDT 函数地址也不相同。 由于32位系统SSDT是可以通过Ntoskrnl.exe导出的,所以可以直接获取SSDT地址。然而在64位系统上,SSDT不能导出,需要通过特征码寻找到KeServiceDescriptorTable的地址 1.32位获取SSDT的地址 在 32 位系统SSDT 是内核 Ntoskrnl.exe 导出的一张,导出符号为 KeServiceDescriptorTable,该含有一个指针指向
delphi ssdt
最新发布
12-14
SSDT可以对这些系统服务进行原地修改,比如替换其函数指针,从而达到修改系统行为的目的。 通过修改SSDT项,我们可以实现一些有趣的功能,比如: 1. Hook函数:可以通过修改SSDT项来替换系统服务的函数指针...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值