最近想学驱动开发,参考别人的代码,但是遇到了一些问题,昨晚调了一个晚上都找不到原因,快12点半的时候才找
到原因,是指针没写好,其实根本原因是自己基础不扎实。SSDT的结构如下:
typedef struct _ServiceDescriptorTable {
PVOID ServiceTableBase; //System Service Dispatch Table 的基地址
PVOID ServiceCounterTable;//包含着 SSDT 中每个服务被调用次数的计数器
unsigned int NumberOfServices;//由 ServiceTableBase 描述的服务的数目
PVOID ParamTableBase; //包含每个系统服务参数字节数表的基地址-系统服务参数表
}*PServiceDescriptorTable;
想要实现的功能是根据导出函数索引获取函数的地址,如NtOpenProcess,具体的做法就是先找到描述符表结构体
KeServiceDescriptorTable的位置,然后由KeServiceDescriptorTable-> ServiceTableBase找到基址的位置,在基址位
置的基础上加上函数的偏移,去该地址的内容就是目标函数地址。别人的代码如下:
LONG *SSDT_Adr,SSDT_NtOpenProcess_Cur_Addr,t_addr;
//读取SSDT表中索引值为0x7A的函数
t_addr=(LONG)KeServiceDescriptorTable->ServiceTableBase; //基址
KdPrint(("当前ServiceTableBase地址为%x \n",t_addr));
SSDT_Adr=(PLONG)(t_addr+0x7A*4); //基址+偏移,乘4是因为每个项占4个字节
KdPrint(("当前t_addr+0x7A*4=%x \n",SSDT_Adr));
SSDT_NtOpenProcess_Cur_Addr=*SSDT_Adr;//取SSDT_Adr 指向的内容
KdPrint(("当前SSDT_NtOpenProcess_Cur_Addr地址为%x \n",SSDT_NtOpenProcess_Cur_Addr));
我的代码:
PLONG ptAddr;
ULONG SSDTNtOpenProcess;
ptAddr=(PLONG)KeServiceDescriptorTable->ServiceTableBase;
KdPrint(("Current ServicesTableBase Addr Is %x\n",ptAddr));
ptAddr=ptAddr+0x7A*4; //错在这里,改为ptAddr=ptAddr+0x7A才正确
KdPrint(("当前t_addr+0x7A*4=%x \n",ptAddr));
SSDTNtOpenProcess=*ptAddr;
KdPrint(("当前SSDT_NtOpenProcess_Cur_Addr地址为%x \n",SSDTNtOpenProcess));
一开始我照猫画虎的写了一遍,包括乘4的做法,后来调试的过程中发现老是得不出正确的地址,百思不得其解,后来细
心发现,得出的基址是正确的,得出的基址+偏移确实错误的,原来我用的是指针,原作者用的是LONG型的整数运算,
ptAddr+1,其内容是第一个目标函数所在的内存地址,等价于
(PLONG)((LONG)KeServiceDescriptorTable->ServiceTableBase+1*4);
一个是指针的运算,一个是把指针的值(不是所指的指,是指针的值)先取出来,相当于取到基址,然后加上偏移,才得
出正确结果,加0x7A同理。