Windows下如何获得KeServiceDescriptorTableShadow地址
总结网上文章的观点,主要有下面几种:
1.根据操作系统分类。在WIN2K下KeServiceDescriptorTableShadow接跟着keServiceDescriptorTable;而在XP下,顺序正好相反,KeServiceDescriptorTable紧跟着KeServiceDescriptorTableShadow。于是根据操作系统类型就可以判断。参考文章:http://www.codeproject.com/KB/tips/SDTShadow.aspx
2.从KTHREAD结构中取。在XP下+e0是ServiceTable,当应用程序时console时,则此地址为KeServiceDescriptorTable;若为GUI应用程序时,则为KeServiceDescriptorTableShadow.所以我们可以顺着线程的链表,比较+E0字段,若不为KeServiceDescriptorTable则是KeServiceDescriptorTableShadow.
3.从使用函数中取出。系统中有许多函数都会引用KeServiceDescriptorTableShadow地址,我们可以从某个引出的函数着手搜出KeServiceDescriptorTableShadow地址。 此方法比较多的函数是KeAddSystemServiceTable.
参考文章:http://www.volynkin.com/sdts.htm OR http://blog.ednchina.com/bluehacker/110733/message.aspx