XP获取SSDT表

最新推荐文章于 2021-08-05 07:59:14 发布
最新推荐文章于 2021-08-05 07:59:14 发布
阅读量1.5k 收藏
点赞数
分类专栏: Win驱动 文章标签: SSDT XP 驱动 系统服务描述表
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/friendan/article/details/46683983
版权

SSDT表已经是老生常谈了,为了方便操作,我封装了一个类CSSDT。

SSDT.h头文件代码如下:

#ifndef _SSDT_H_
#define _SSDT_H_

// NT操作系统有多张服务表,SSDT就是其中一张
// NT操作系统使用如下结构描述一张服务表
typedef struct _KSERVICE_TABLE_DESCRIPTOR { 
	PULONG_PTR Base; 	// 服务表地址
	PULONG Count; 		// 服务表中服务被调用次数的计数器
	ULONG Limit; 		// 服务个数,即有多少个函数了
	PUCHAR Number; 		// 服务参数表
} KSERVICE_TABLE_DESCRIPTOR, *PKSERVICE_TABLE_DESCRIPTOR; 

// 流传NT使用下面的代码在模块ntoskrnel.exe中导出KeServiceDescriptorTable
//#define NUMBER_SERVICE_TABLES 4 
//extern KSERVICE_TABLE_DESCRIPTOR KeServiceDescriptorTable[NUMBER_SERVICE_TABLES]; 
//extern KSERVICE_TABLE_DESCRIPTOR KeServiceDescriptorTableShadow[NUMBER_SERVICE_TABLES];

// 根据流传,我们直接声明KeServiceDescriptorTable,就可使用它了
__declspec(dllimport) extern "C" PKSERVICE_TABLE_DESCRIPTOR	KeServiceDescriptorTable;

class CSSDT
{
public:
	CSSDT(void);
	~CSSDT(void);

	void Show_SSDT(void);	// 查看SSDT表
};

#endif	// _SSDT_H_

-------------------------------------------------------

SSDT.cpp内容如下:

#include "stdafx.h"
#include "SSDT.h"


CSSDT::CSSDT(void)
{

}


CSSDT::~CSSDT(void)
{

}


/**
@Name:    Show_SSDT
@Brief	  查看SSDT表   
@Param:   void
@Return:  void
*/
void CSSDT::Show_SSDT(void)
{
	KSERVICE_TABLE_DESCRIPTOR ssdt = KeServiceDescriptorTable[0];

	KdPrint(("[Show_SSDT] KeServiceDescriptorTable=0x%X \n", KeServiceDescriptorTable));

	ssdt.Limit = ssdt.Limit > 0x11C ? 0x11C : ssdt.Limit;
	for (int i = 0; i < ssdt.Limit; i++)
	{
		KdPrint(("[Show_SSDT %d] 0x%X \n", i, ssdt.Base[i]));
	}
}

------------------------------------------------------

效果截图:










friendan
关注
专栏目录
SSDT Hook
zhuhuibeishadiao
04-10 3262
看看大概的调用情况 左边是2000有的,右边是xp后走的 Ntdll.dll 中的 API 是一个简单的包装函数。 当 Kernel32.dll 中的 API 通过 Ntdll.dll 时,会完成参数的检查再调用一个中断(int 2Eh 或者 SysEnter 指令),从而实现从 Ring3 进入 Ring0 层 并且将所要调用的服务号(也就是在 S
SSDT获取原始服务地址的方法与原理(灯灯灯灯,我肥来了..)
GaA.Ra的自留地 in Csdn
11-18 7381
好吧,我胡汉三肥来了..(确实肥了- -),几个月没发什么文章.其实.我也只是一个新丁~欢迎大家交流,高手勿喷,谢谢合作^_^     对于SSDT,不知道的同学请自己百度,判断出SSDT被HOOK之后,如何恢复成原始服务地址?主要方法有两个,简单来说,一个Ring0,一个Ring3的方法(可能分类不够准确),我今天除了介绍方法之外,主要还是讲讲里面的原理吧,原理神马的才是最吸引人的对吧.
SSDT查看和恢复工具
07-01
SSDT查看和恢复,SSDT查看和恢复,SSDT查看和恢复,SSDT查看和恢复
ssdt函数索引号_XPSSDT中指定索引号的函数地址
weixin_42361623的博客
02-11 127
SSDT.h头文件#ifndef _SSDT_H_#define _SSDT_H_// NT操作系统有多张服务SSDT就是其中一张// NT操作系统使用如下结构描述一张服务typedef struct _KSERVICE_TABLE_DESCRIPTOR {PULONG_PTR Base; // 服务地址PULONG Count; // 服务服务被调用次数的计数器ULONG Limit...
windows - SSDT查看 (x64)
qq726232111的博客
12-09 495
0: kd> x nt!kes*des*table*fffff806`5eb87880 nt!KeServiceDescriptorTable = <no type information> fffff806`5eb6fa80 nt!KeServiceDescriptorTableShadow = <no type information> fffff806`5eb6fac0 nt!KeServiceDescriptorTableFilter = <no type inf
XPSSDT中指定索引号的函数地址
friendan的专栏
06-29 1394
SSDT.h头文件 #ifndef _SSDT_H_ #define _SSDT_H_ // NT操作系统有多张服务SSDT就是其中一张 // NT操作系统使用如下结构描述一张服务 typedef struct _KSERVICE_TABLE_DESCRIPTOR { PULONG_PTR Base; // 服务地址 PULONG Count; // 服务服务被调用次数
内核模式下获取SSDT服务索引代码
baggiowangyu的专栏
12-08 1203
ULONG GetDllFunctionIndex( IN CONST char* lpFunctionName ) { HANDLE hSection
挂钩SSDT系统服务描述
06-27
1. 获取SSDT的地址:这通常需要使用内核编程技术,如读取特定的全局描述(GDT)项。 2. 备份原始服务地址:在修改SSDT之前,需要保存原有的服务函数地址,以便在必要时恢复。 3. 替换服务地址:将SSDT中的服务...
SSDT Hook底层原理介绍以及如何实现进程保护
linuxguitu的博客
12-03 952
目录 SSDT Hook效果图 SSDT简介 SSDT结构 SSDT HOOK原理 Hook前准备 如何获得SSDT中函数的地址呢 SSDT Hook流程 SSDT Hook实现进程保护 SSDT Hook效果图 加载驱动并成功Hook NtTerminateProcess函数: 当对 指定的进程进行保护后,尝试使用“任务管理器”结束进程的时候,会弹出“拒绝访问”的窗口,说明,我们的目的已经达到: SSDT简介 SSDT 的全称是 System Services Descr.
读取内核文件,获取原始SSDT
01-31
自己读入windows内核文件,获取原始,可以restore SSDT
ssdt驱动文件
02-14
ssdt驱动\
ssdt函数索引号_技术分享 - 32位系统获取SSDT地址以及从中获取指定SSDT函数的地址...
weixin_39525812的博客
01-30 335
背景SSDT 全称为 System Services Descriptor Table,即系统服务描述SSDT 的作用就是把 ring3 的 WIN32 API 函数和 ring0 的内核 API 函数联系起来。对于ring3下的一些API,最终会对应于 ntdll.dll 里一个 Ntxxx 函数,例如 CreateFile,最终调用到 ntdll.dll 里的 NtCreateFile...
ssdt函数索引号_BUG:SSDT函数名获取SSDT函数号
weixin_30200131的博客
12-28 146
ULONG GetFunctionId(char* FunctionName)/*++Routine Description:[已删除,请勿再提任何无理要求。]Arguments:FunctionName - 导出的函数名.Return Value:函数的服务号的地址.--*/{NTSTATUS ntstatus;HANDLE hFile = NULL;HANDLE hSection = NULL...
如何获取ssdt函数索引
weixin_41766049的博客
08-05 253
cuckoo源码分析 MapNtdllIntoMemory()主要作用在内存中加载一份ntdll.dll,然后获取导出目录地址。 PVOID MapNtdllIntoMemory() { NTSTATUS status; HANDLE hSection; OBJECT_ATTRIBUTES objAttr; UNICODE_STRING pathFile; USHORT NumberOfSections; SECTION_IMAGE_INFORMATION sii = {0}; PVOID
SSDT HOOK技术(2)——获取SSDT地址以及从中获取指定SSDT函数的地址
苞米地里捉小鸡的博客
08-19 1287
32 位系统和 64 位上,获取 SSDT 的方式并不相同,获取 SSDT 中的函数地址也不相同。 由于32位系统SSDT是可以通过Ntoskrnl.exe导出的,所以可以直接获取SSDT地址。然而在64位系统上,SSDT不能导出,需要通过特征码寻找到KeServiceDescriptorTable的地址 1.32位获取SSDT的地址 在 32 位系统中,SSDT 是内核 Ntoskrnl.exe 导出的一张,导出符号为 KeServiceDescriptorTable,该含有一个指针指向
简单易懂的SSDT学习心得
fsjaky的专栏
04-14 3055
在这篇心得开始,说点其他的。之前参加百度校园招聘的时候,面试官问我什么是SSDT,已经HOOK SSDT的实现过程。自己明明知道,可是我一下答上来,所以我找出来以前学习的心得,贴出来,好备份吧!我这篇心得呢!是代码与文字一起加载在一起的,学习就想读书的时候一样,书看到哪里笔记就做到哪里。这样方便理解。如果代价复制黏贴来学,不会影响的,一边看代码一边看笔记哟!其实我平时写代码不是这样的……都是规范化
windows xp 获取进程号
黑土的Blog
08-19 1746
c:/>wmicwmic:root/cli>process 以上命令将列出系统所有进程信息,包括进程号ProcessId
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

friendan

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值