Windows下如何获得KeServiceDescriptorTableShadow地址

最新推荐文章于 2021-11-23 03:54:40 发布
最新推荐文章于 2021-11-23 03:54:40 发布
阅读量3k 收藏 2
点赞数
文章标签: windows xp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/misterliwei/article/details/4370449
版权

Windows下如何获得KeServiceDescriptorTableShadow地址

 

总结网上文章的观点,主要有下面几种:

1.根据操作系统分类。在WIN2K下KeServiceDescriptorTableShadow接跟着keServiceDescriptorTable;而在XP下,顺序正好相反,KeServiceDescriptorTable紧跟着KeServiceDescriptorTableShadow。于是根据操作系统类型就可以判断。参考文章:http://www.codeproject.com/KB/tips/SDTShadow.aspx

 

2.从KTHREAD结构中取。在XP下+e0是ServiceTable,当应用程序时console时,则此地址为KeServiceDescriptorTable;若为GUI应用程序时,则为KeServiceDescriptorTableShadow.所以我们可以顺着线程的链表,比较+E0字段,若不为KeServiceDescriptorTable则是KeServiceDescriptorTableShadow.

 

3.从使用函数中取出。系统中有许多函数都会引用KeServiceDescriptorTableShadow地址,我们可以从某个引出的函数着手搜出KeServiceDescriptorTableShadow地址。 此方法比较多的函数是KeAddSystemServiceTable.

参考文章:http://www.volynkin.com/sdts.htm  OR  http://blog.ednchina.com/bluehacker/110733/message.aspx

 

 

 

misterliwei
关注
Windows内核情景分析 第二章 从用户空间发起系统调用的过程(仅供自赏)
For Geek
05-15 877
系统调用/系统服务存在的需求 从应用程序的角度看,内核的作用在于提供了一组可供应用程序调用的接口。这组调用我们称为“系统调用”。也可以认为系统调用是内核提供的一种服务。所以系统调用也称为系统服务。 从程序运行的角度来看:进程是主动的,有活性的,是发出调用求的一方。而内核是被动的,只是应程序的需求来提供相应的服务。 从整个系统的角度看:内核也有活性的一面,只不过从应用程序本身是看不到的,隐形的。诸...
r0下进程保护
hongduilanjun的博客
03-07 1400
前言 SSDT 的全称是 System Services Descriptor Table,系统服务描述符。这个就是一个把 Ring3 的 Win32 API 和 Ring0 的内核 API 联系起来。SSDT 并不仅仅只包含一个庞大的地址索引,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。通过修改此的函数地址可以对常用 Windows 函数及 API 进行 Hook,从而实现对一些关心的系统动作进行过滤、监控的目的。一些 HIPS、防毒软件、系统监控、注册监控软件往往会采用
SSDT hook技术中KeServiceDescriptorTable 结构及获取
namelcx的专栏
07-05 2092
KeServiceDescriptorTable 结构  KeServiceDescriptorTable:是由内核(Ntoskrnl.exe)导出的一个,这个是访问SSDT的关键,具体结构是    typedef struct ServiceDescriptorTable {    PVOID ServiceTableBase;    PVOID ServiceCounterTabl
Win10 x64 KeServiceDescriptorTable SSDT 偏移计算理解
Doub1's Blog
11-23 1722
Win10 x64 KeServiceDescriptorTable SSDT 偏移计算理解引言站在巨人的肩膀上实现代通用的偏移计算方法 引言 很久没写博客了,水个博客,KeServiceDescriptorTableKeServiceDescriptorTableShadow的原理我就不写了,百度很多,主要这篇写如何定位x64下未导出的KeServiceDescriptorTable。 站在巨人的肩膀上 前辈们在之前已经找到了一个计算公式,通过读取msr寄存器的0xC0000082读取到
关于windbg不能正确显示KeServiceDescriptorTableShadow的问题
u011019337的专栏
07-31 963
参考了一下网上的文档,其实就是符号的问题 可以在symbol path里加入 srv*E:\WinDDK*http://msdl.microsoft.com/download/symbols E:\\WinDDK 是你的符号要保存的硬盘路径 在windbg命令行下输入: kd>  !sym noisy          //命令希望WinDBG在获得符号的时候取得更多的信息 kd> 
【原创】shadow ssdt学习笔记(一)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
08-14 1057
标 题: 【原创】shadow ssdt学习笔记(一) 作 者: zhuwg 时 间: 2007-12-22,22:01:29 链 接: http://bbs.pediy.com/showthread.php?t=56955 1。取得shadow ssdt真实地址 系统只提供了KeServiceDescriptorTable导出 KeServiceDescriptorTableSh
Shadow SSDT
crkres9527
09-28 461
 A、Shadow SSDT基址定位    B、Shadow SSDT结构    C、Shadow SSDT HOOK KeServiceDescriptorTable //系统描述符 extern KeServiceDescriptorTableShadow //影子系统描述符  win32k.sys bp win32k!NtUserPostMessage bp win32k...
Windows NT引导过程源代分析
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
08-11 5722
Windows 引导过程 Windows 内核中的各个组件和各种机制在起作用以前,必须首先被初始化。此初始化工作是在系统引导时完成的。当用户打开计算机的电源开关时,计算机便开始运行,但操作系统并不立即获得控制权,而是BIOS 代首先获得控制,它执行必要的硬件检测工作,并允许用户通过一些功能键来配置当前系统中的硬件设置,甚至诊断硬件问题,然后才将控制权交给操作系统。 1.1 内核加载 在In
Win10内核之系统调用原理--从KPTI 缓解措施至内核函数
玄道的网安博客
01-03 1131
Win10内核之系统调用原理--从KPTI 缓解措施至内核函数 在绝大多数操作中在权限和空间划分中存在应用层与内核层,应用层完成一些面向用户功能的操作,但实际上这些功能最后还得变成一种对内外部设备的求,而这些求一般不会由应用程序主动申,不管在权限上还是工作量上都是不合理的。由此这些事情交给了内核。应用程序使用内核提供出的接口去进行系统调用以完成它们的工作。本文讨论关于Win10 18363操作系统中从应用层函数至内核层函数的带有KPTI缓解措施的调用主要流程。 理论知识: 什么是KPTI KPT
【原创】windows体系结构学习笔记
07-11 661
标 题: 【原创】windows体系结构学习笔记 作 者: 竹君 时 间: 2009-03-30,15:29:43 链 接: http://bbs.pediy.com/showthread.php?t=84946 序言: 接触驱动一个学,感觉路走得很艰难,许多底层知识不了解,也没人可以问,许多大牛发的文章我等初入 ke rnel 的小菜根本都看不懂,最近学习写驱动,有惑于 Dev
SSDT HOOK技术(2)——获取SSDT地址以及从中获取指定SSDT函数的地址
苞米地里捉小鸡的博客
08-19 1304
32 位系统和 64 位上,获取 SSDT 的方式并不相同,获取 SSDT 中的函数地址也不相同。 由于32位系统中SSDT是可以通过Ntoskrnl.exe导出的,所以可以直接获取SSDT地址。然而在64位系统上,SSDT不能导出,需要通过特征寻找到KeServiceDescriptorTable地址 1.32位获取SSDT的地址 在 32 位系统中,SSDT 是内核 Ntoskrnl.exe 导出的一张,导出符号为 KeServiceDescriptorTable,该含有一个指针指向
XP内核模式下如何获得KeServiceDescriptorTableShadow地址
A00553344的专栏
02-12 3241
XP内核模式下如何获得KeServiceDescriptorTableShadow地址 In Windows NT based operating system every system call originated in user mode which is to be processed by the system抯 kernel must go through the gate
WINDOWS内核学习笔记1—Shadow SSDT
rosykee的专栏
10-09 871
近期学习内核的
如何动态定位SSDT Win10 64位 1903
被遗弃的庸才博客
10-19 1964
对SSDT有了解的朋友都知道在WIN64下的KeServiceDescriptorTable是没有被导出,所以我们只能动态的查找它的地址。 网上也有很多方法定位到ssdt,其中较多的文章都是通过查找msr(c0000082)寄存器定位KiSystemCall64,然后通过搜索特诊的方式找到KiSystemServiceRepeat,这里记录着KeServiceDescriptorTable...
Windows内核神功葵花宝典之系统调用篇
flukeshen的博客
03-09 793
  用户态进入系统态有以下几种方式:   中断(Interrupt)。在允许中断的情况下,有外部设备的中断求到达,CPU自动转入系统空间,并从预定地址执行指令。中断只发生在两条指令之间,不会打断正在执行的指令。对CPU而言,进入中断是被动的,所以中断的发生可以看作是“异步”的。   异常(Exception)。不管是用户空间或系统空间,执行指令失败都会引起一次“异常”,CPU因此转入系统空间,并...
系统服务描述符
CPPLOVER_78的专栏
09-26 5019
   大家都知道在WINNT 的内核中存在着两个变量,KeServiceDescriptorTableKeServiceDescriptorTableShadow,我们可以使用KD 看到。kd> dd nt!KeServiceDescriptorTable8046e0c0  804746e8 00000000 000000f8 80474acc8046e0d0  00000000 0000000
研究心得-恢复2k xp得win32k.sys得KeServiceDescriptorTableShadow
明日帝国的专栏-技术改进生活
10-26 5528
/** * @file sdtreset.cpp  * * @brief sdtreset.cpp, v 1.0.0 2005/10/25 11:48:42 sunwang * * details here. * 草稿代,命名混乱,重构时候使用java风格,getKiServiceTableAddrMM * 其实找到了KeServiceDescriptorTable/Shadow的真实entry
shadow ssdt学习笔记
sea
01-04 2191
1。取得shadow ssdt真实地址系统只提供了KeServiceDescriptorTable导出KeServiceDescriptorTableShadow是个未导出结构定义Copy code    typedef struct _SYSTEM_SERVICE_TABLE    {          PNTPROC  ServiceTable;  // array of entry
系统服务调度SSDT及SSSDT Shadow
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
09-13 1435
系统服务:由操作系统提供的一组函数(内核函数),API可以间接或者直接的调用系统服务。操作系统以动态链接库(DLL)的形式提供API。 SSDT:系统服务调度(System  Service  Dispatch Table),该可以基于系统服务编号进行索引,来定位函数内存地址。 SSPT:系统服务参数(System  Service  Parameter  Table),指定系统服务函数
shadowssdt 地址 数量 遍历
05-15 622
#include "ntddk.h" //SSDT结构体 typedef struct ServiceDescriptorTable { unsigned int *ServiceTableBase; unsigned int *ServiceCounterTable; unsigned int NumberOfServices; unsigned int *ParamTable...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值