MmGetSystemRoutineAddress 函数源码

最新推荐文章于 2022-10-14 13:05:49 发布
最新推荐文章于 2022-10-14 13:05:49 发布
阅读量2.7k 收藏 3
点赞数 1
分类专栏: 逆向工程 文章标签: exe dll c string 平台
 
MmGetSystemRoutineAddress 函数源码
作者:阿国哥   发布于2007-3-29 20:34(星期四)

以下代码反编译自XP+SP2内核文件ntoskrnl.exe(5.1.2600.3051)的MmGetSystemRoutineAddress函数

  • 函数功能:用来获取内核导出函数的地址,与用户态的GetProcessAddress函数雷同
  • 功能引申:反编译这个函数,主要的作用是可借助它来定位PsLoadedModuleResource以及PsLoadedModuleList这个重量级内核变量

原代码如下(IDA反编译结果,已自动作了标识):

; PVOID __stdcall MmGetSystemRoutineAddress(PUNICODE_STRING SystemRoutineName)

public _MmGetSystemRoutineAddress@4

_MmGetSystemRoutineAddress@4 proc near



                   SystemRoutineName= dword ptr   8


8B FF                   mov edi, edi
55                      push ebp
8B EC                   mov ebp, esp
83 EC 20                sub esp, 20h
53                      push ebx
56                      push esi
57                      push edi
68 D8 9F 4E 00          push offset aNtoskrnl_exe         ; "ntoskrnl.exe"
8D 45 E8                lea eax, [ebp-18h]
33 F6                   xor esi, esi
50                      push eax
89 75 FC                mov [ebp-4], esi
89 75 F8                mov [ebp-8], esi
E8 53 83 F1 FF          call _RtlInitUnicodeString@8      ; RtlInitUnicodeString(x,x)
68 F4 9F 4E 00          push offset aHal_dll_0            ; "hal.dll"
8D 45 E0                lea eax, [ebp-20h]
50                      push eax
E8 45 83 F1 FF          call _RtlInitUnicodeString@8      ; RtlInitUnicodeString(x,x)



                   loc_4E9F62:                             ; CODE XREF: PAGE:005194DA j

6A 01                   push 1
FF 75 08                push dword ptr [ebp+8]
8D 45 F0                lea eax, [ebp-10h]
50                      push eax
E8 F7 D9 FB FF          call _RtlUnicodeStringToAnsiString@12 ; RtlUnicodeStringToAnsiString(x,x,x)
85 C0                   test eax, eax
0F 8C 56 F5 02 00       jl loc_5194CE
64 A1 24 01 00 00       mov eax, large fs:124h
6A 01                   push 1
8B F8                   mov edi, eax
FF 8F D4 00 00 00       dec dword ptr [edi+0D4h]
68 40 36 48 00          push offset _PsLoadedModuleResource
E8 14 84 F1 FF          call _ExAcquireResourceSharedLite@8 ; ExAcquireResourceSharedLite(x,x)
8B 35 20 36 48 00       mov esi, _PsLoadedModuleList
BB 20 36 48 00          mov ebx, offset _PsLoadedModuleList

;以上两行注意,可以8B35作特征码从MmGetSystemRoutineAddress起始地址搜索,并检测之后的双字与之后移6字节的双字
是否相同作特征检测. 此特征码目前适合的平台有待进一步考核.

                   loc_4E9F9D:                             ; CODE XREF: MmGetSystemRoutineAddress(x)+A3 j

3B F3                   cmp esi, ebx
74 69                   jz short loc_4EA00A
6A 01                   push 1
8D 46 2C                lea eax, [esi+2Ch]
50                      push eax
8D 45 E8                lea eax, [ebp-18h]
50                      push eax
E8 ED 1E FA FF          call _RtlEqualUnicodeString@12    ; RtlEqualUnicodeString(x,x,x)
84 C0                   test al, al
0F 84 5A FF FF FF       jz loc_4E9F12


                   loc_4E9FB8:                             ; CODE XREF: PAGE:004E9F23 j

FF 45 FC                inc dword ptr [ebp-4]
8D 45 F0                lea eax, [ebp-10h]
50                      push eax
FF 76 18                push dword ptr [esi+18h]
E8 F3 DA FF FF          call _MiFindExportedRoutineByName@8 ; MiFindExportedRoutineByName(x,x)
85 C0                   test eax, eax
89 45 F8                mov [ebp-8], eax
75 3C                   jnz short loc_4EA00A
83 7D FC 02             cmp dword ptr [ebp-4], 2
74 36                   jz short loc_4EA00A


                   loc_4E9FD4:                             ; CODE XREF: PAGE:004E9F29 j
8B 36                   mov esi, [esi]
EB C5                   jmp short loc_4E9F9D
                  ; **************************************************************************?

                   aNtoskrnl_exe:                          ; DATA XREF: MmGetSystemRoutineAddress(x)+B o

6E 00 74 00 6F 00+       unicode 0, <ntoskrnl.exe>,0
00                      db     0
00                      db     0
                   aHal_dll_0:                             ; DATA XREF: MmGetSystemRoutineAddress(x)+21 o

68 00 61 00 6C 00+       unicode 0, <hal.dll>,0
CC                      db 0CCh ; ?
CC                      db 0CCh ; ?
CC                      db 0CCh ; ?
CC                      db 0CCh ; ?
CC                      db 0CCh ; ?
CC                      db 0CCh ; ?

                  ; **************************************************************************?



                   loc_4EA00A:                             ; CODE XREF: MmGetSystemRoutineAddress(x)+6C j

                                                          ; MmGetSystemRoutineAddress(x)+99 j ...
B9 40 36 48 00          mov ecx, offset _PsLoadedModuleResource
E8 3C A6 F1 FF          call @ExReleaseResourceLite@4     ; ExReleaseResourceLite(x)
FF 87 D4 00 00 00       inc dword ptr [edi+0D4h]
75 0B                   jnz short loc_4EA027
8D 47 34                lea eax, [edi+34h]
39 00                   cmp [eax], eax
0F 85 B8 F4 02 00       jnz loc_5194DF


                   loc_4EA027:                             ; CODE XREF: MmGetSystemRoutineAddress(x)+E7 j

                                                          ; PAGE:005194EB j
8D 45 F0                lea eax, [ebp-10h]
50                      push eax
E8 4A FB FA FF          call _RtlFreeAnsiString@4         ; RtlFreeAnsiString(x)
8B 45 F8                mov eax, [ebp-8]
5F                      pop edi
5E                      pop esi
5B                      pop ebx
C9                      leave
C2 04 00                retn 4

                   _MmGetSystemRoutineAddress@4 endp ; sp =   3Ch

MmGetSystemRoutineAddress函数获取内存地址
坦然
08-24 2274
#include "ntddk.h" ULONG GetCidAddr() { PUCHAR addr; PUCHAR p; UNICODE_STRING pslookup; ULONG cid; RtlInitUnicodeString (&pslookup, L"PsLookupProcessByProcessId"); //RtlInitU
恶意样本分析手册——API函数
zzkk_的博客
09-04 1394
文件类、网络类、注册表与服务类、进程线程类、注入类、驱动类、加密与解密、消息传递等各种类别恶意样本分析。 文件类 kernel32!CreateFile 功能:这是一个多功能的函数,可打开或创建以下对象,并返回可访问的句柄:控制台,通信资源,目录(只读打开),磁盘驱动器,文件,邮槽,管道 函数原型: HANDLE WINAPI CreateFile( _In_ LP
MmGetSystemRoutineAddress
DOTM的专栏
10-30 1810
MmGetSystemRoutineAddress这个函数也是比较有用的,是得到系统导出函数的地址,不过网上都是写了一堆汇编代码在哪里,根本没有可读性,还不如用IDA看呢。 下面的函数是摘自ReactOS项目的代码: [cpp] view plaincopy PVOID   NTAPI   MmGetSystemRoutineAddre
MmGetSystemRoutineAddress函数
record
05-14 1629
PVOID    MmGetSystemRoutineAddress(     IN PUNICODE_STRING  SystemRoutineName      );  获取内核导出函数的地址 SystemRoutineName 为一个UNICODE字符串 如: RtlInitUnicodeString(&Old_NtOpenProcess,L"NtOpenProce
MmGetSystemRoutineAddress和MiFindExportedRoutineByName函数的实现代码
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
12-24 1391
MmGetSystemRoutineAddress这个函数也是比较有用的,是得到系统导出函数的地址,不过网上都是写了一堆汇编代码在哪里,根本没有可读性,还不如用IDA看呢。 下面的函数是摘自ReactOS项目的代码: [cpp] view plaincopy     PVOID         NTAPI         MmGetSystem
MmGetSystemRoutineAddress routine
死胖子的博客
02-05 1344
MmGetSystemRoutineAddress routine MmGetSystemRoutineAddress 返回一个参数SystemRoutineName指定的函数指针。returns a pointer to a function specified by SystemRoutineName. Syntax   PVOID MmGetSystemRoutineAddress(
函数名获取函数地址 MmGetSystemRoutineAddress
08-04 4028
#include&lt;ntifs.h&gt; VOID DriverUnLoad(PDRIVER_OBJECT pDriverObject) { DbgPrint("驱动已卸载..."); } NTSTATUS DriverEntry(IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRING pRegPath) { NTSTATUS ...
Win 32API速查
Snake_74的博客
06-30 2126
文章目录Win32API用户篇内核篇参数表WinExecVirtualAllocExCreateProcessAdjustTokenPrivilegesNtQueryInformationProcessRtlCompressBufferRtlDecompressBufferCryptAcquireContextCryptGetHashParamCreateServiceCryptDeriveKey...
Windows驱动学习(八)-- 通过InlineHook实现变速齿轮
安全杂货铺
01-04 3857
教程参考自:https://www.bilibili.com/video/av26193169/?p=9 代码地址:https://github.com/G4rb3n/Windows-Driver/tree/master/MT_InlineHook 1. 概述 之前的章节我们介绍了FSD Hook技术,这章我们来讲解一下更底层一点的Inline Hook技术。 2. 原理介绍 Inline Hoo...
恶意代码分析实战 Lab10
baidu_41108490的博客
05-22 2117
lab10-011简单的静态分析少不了,注意到恶意程序把自身伪装成GUI程序,可以用resource hacker看看资源,然后用depends看看函数导入两个库kernel32.dll和ADVAPI32.dll这是服务相关库,发现还有一个start的导出函数,然后还有一个需要关注字符串再看看.sys文件,这是很明显会操作注册表的相关操作,不管从函数还是字符串都能看出这一点,而且函数防火墙相关的注...
突破Linux内核模块校验机制
03-24
突破Linux内核模块校验机制 突破Linux内核模块校验机制
HOOK SSDT NtOpenProcess 保护进程
收集学习过程中对自己有帮助的牛人文章
12-03 3184
感谢众大神分享的技术,因为几乎没参考别人的源码,所以就标题原创 但是因为这个技术肯定是前辈分搞出来的,所以就特意说明下,此乃转载耶 模板用的张帆大牛的 记录一下,以后备用
关于未导出函数与导出但是未文档化的函数
huobengle
11-10 312
未公开的函数(导出未文档化)是已经导出了,但是不能直接使用。 使用方法: 1。在驱动层使用MmGetSystemRoutineAddress函数名去获取函数的地址 2。在应用层使用Loadlibrary和GetProcessAddress(事先当然要先定义好原型) 未导出函数的使用比较麻烦,一般要先获取那个函数所在模块的基地址,然后再通过特征码去得到函数地址。或者在某个函数内部进行特征码...
驱动开发:如何枚举所有SSDT表地址
CSDN
10-14 8840
中已经教大家如何寻找SSDT表基地址了,找到后我们可根据序号获取到该SSDT的地址,如果需要输出所有SSDT表信息,则可以定义字符串列表,以此循环调用。函数依次获取,SSDT列表我已经提取出来了,该办法虽然笨但也是可以正常使用的。
《Windows内核安全与驱动编程》-第十一章文件系统的过滤与监控-day3
WocW的博客
05-08 407
文件系统的过滤与监控 11.3 设备的绑定前期工作 11.3.1 动态地选择绑定函数 ​ sfilter 有一个有趣的地方是,使用了动态加载的方法来使用内核函数。只有高版本的Windows系统上才有IoAttachDeviceToDeviceStackSafe 这个函数。如果我们直接使用这个函数,那么在低版本的Windows系统上就会直接加载失败。因此,使用动态加载此类函数的好处就是,即使在低版本的Windows上也能成功加载。 ​ 在动态加载该函数时,如果失败则会使指针为NULL,而此时即使为NULL,我
64位内核开发第二讲.内核编程注意事项,以及UNICODE_STRING
weixin_30384031的博客
06-08 451
目录 一丶驱动是如何运行的 1.服务注册驱动 二丶Ring3跟Ring0通讯的几种方式 1.IOCTRL_CODE 控制代码的几种IO 2.非控制 缓冲区的三种方式. 三丶Ring3跟Ring0开发区别 1.什么是...
如何通过Windows未导出函数加载驱动
最新发布
02-27
4. 在内核模式下,通过使用MmGetSystemRoutineAddress函数获取驱动程序中未导出函数的地址,并将地址保存到指针变量中。 5. 使用指针变量来调用未导出函数。 需要注意的是,加载未导出函数的驱动是一项非常危险的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值