Win64 Driver开发问题记录(三)

最新推荐文章于 2016-11-07 11:20:51 发布
最新推荐文章于 2016-11-07 11:20:51 发布
阅读量1.7k 收藏
点赞数
分类专栏: Windows Kernel 文章标签: 微软 360
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nevil/article/details/7720821
版权

在32位driver中,获取SSDT表中的函数可根据以下固定的公式(64位下获取KeServiceDescriptorTable参见Win64 Driver开发问题记录二)


SSDTTableBase=(PVOID)((PServiceDescriptorTableEntry)KeServiceDescriptorTable)->ServiceTableBase;

ULONG_PTR func_addr = (ULONG)SSDTTableBase+index*4


但是64位下,SSDT表中存的其实是函数的偏移并非实际的函数地址, 因此函数地址 = SSDTTableBase + 偏移地址

此外, win7和vista 64位下SSTD的函数偏移是28位,而其他64位下SSTD的函数偏移是32位(且最后8位对齐)


他们之所以这么设计 (要算位移) 的原因是,他们开始取消了 nt!KiArgumentTable,
那么参数表放哪里了呢? 答案就是和"偏移"拼在一起了,微软认定 SSDT 例程地址是对齐的。
后来估计是觉得这样算一下影响效率? 就又恢复了 nt!KiArgumentTable(参见http://bbs.dbgtech.net/forum.php?mod=viewthread&tid=360)


因此,  vista以前的64位计算SSDT数地址:

SSDTTableBase=(PVOID)((PServiceDescriptorTableEntry)KeServiceDescriptorTable)->ServiceTableBase;

ULONG_PTR FuncAddr = (ULONG_PTR)SSDTTableBase + (((*(ULONG_PTR *)((ULONG_PTR)SSDTTableBase+(index-1)*4)) >> 32) & 0xFFFFFFF0);

vista和win7 64位计算SSDT函数地址:

SSDTTableBase=(PVOID)((PServiceDescriptorTableEntry)KeServiceDescriptorTable)->ServiceTableBase;
ULONG_PTR FuncAddr = (ULONG_PTR)SSDTTableBase + ((*(ULONG_PTR *)((ULONG_PTR)SSDTTableBase+(index-1)*4)) >> 36)



nevil
关注
专栏目录
ShadowSSdt HOOK
zhuhuibeishadiao
04-10 2924
SHADOW表地址的获取。 CSRSS进程。system进程并没有载入win32k.sys,所以,要访问shadowssdt表,必须KeStackAttackProces到一个有GUI线程的进程中,而csrss.exe就是这样的一个合适的进程(管理Windows图形相关任务) Index?硬编码 挂钩NtGdiBitBlt、NtGdiStretchBlt用于截屏保护  挂钩NtUserSe
python-geckodriver-win64-v0.24.zip
01-06
Geckodriver支持日志记录,这对于排查问题非常有帮助。可以通过设置环境变量`webdriver.log.gecko.driver`来控制日志级别。 7. **更新与维护**: 由于浏览器和其驱动程序经常更新,为了保持自动化测试的稳定性,...
常用DBMS的driver驱动和url
huohuo0303的博客
12-31 337
[b]oracle[/b] driver="oracle.jdbc.driver.OracleDriver" url="jdbc:oracle:thin:@localhost:1521:数据库名" [b]sqlserver[/b] driver="com.microsoft.jdbc.sqlserver.SQLServerDriver" url="jdbc:microsoft:sql...
SSDT-hook,IDT-hook原理
fun0526的专栏
08-04 2537
<br /><br />【详细过程】<br />这次主要说说核心层的hook。包括SSDT-hook,IDT-hook,sysenter-hook。欢迎讨论,指正!内核层需要驱动,有这方面的基础最好,如果不会,了解下其中的思路也可以的。<br /><br />II. SSDT-hook,IDT-hook,sysenter-hook<br />一.SSDT-hook<br />(一)一般思路:<br />1.先来了解一下,什么是SSDT<br />SSDT既System Service Dispath Tab
检测SSTD是否被hook
LoveQuietly
11-07 1564
我们知道在ssdt中可以被hook,那么如何检测出来自己的ssdt被hook了呢? 在内核文件中保留了一份原始的ssdt表,我们只要通过检测内核文件即可获取到原始的ssdt表即可首先先要确认自己的内核使用的文件是哪个? 是ntkrnlmp.exe还是ntkrnlpa.exe?这个可以通过ZwQuerySystemInformation传入SystemModuleInformation(11)得到
Win64 Driver开发问题记录(一)
nevil的专栏
07-05 1203
Win64开发中所遇到的第一个问题是X64编绎器不支持内嵌式汇编(inline assembly),因此在源码中无法通过"__asm"来调用汇编指令。   解决的方法是将汇编的功能放入一个单独的.asm文件中,并封装成一些汇编子过程(函数),在C的源码中通过外部声明"extern"来调用这些汇编过程(函数)。   此外,在source文件中加入对.asm文件引用。一般的做法
PCAN_USB_Win_x64-driver.rar
06-28
标题中的“PCAN_USB_Win_x64-driver.rar”表明这是一个针对64Windows操作系统的PCAN USB驱动程序的压缩文件。PCAN是Peiker Acustic GmbH & Co. KG公司的产品系列,主要提供CAN(Controller Area Network)通信解决...
Python库 | cassandra_driver-3.24.0-cp37-cp37m-win_amd64.whl
02-15
`cassandra_driver-3.24.0-cp37-cp37m-win_amd64.whl`文件可以直接使用Python的pip工具进行安装,通过命令`pip install cassandra_driver-3.24.0-cp37-cp37m-win_amd64.whl`,这将避免了因编译问题导致的安装困扰,...
chromedriver-win64_128.0.6540.0.zip
最新发布
06-16
7. **错误处理和日志记录**:Chromedriver可以记录详细的执行日志,这对于调试自动化测试过程中的问题非常有帮助。 8. **跨平台**:尽管这里讨论的是Windows 64位的Chromedriver,但也有适用于其他操作系统(如...
chromedriver-win64_126.0.6477.0.zip
06-16
综上所述,"chromedriver-win64_126.0.6477.0.zip" 文件是Selenium WebDriver中用于Windows 64位环境的Chrome浏览器驱动程序,用于自动化测试和相关开发工作,确保与Chrome浏览器的兼容性至关重要。
SSDT hook技术中KeServiceDescriptorTable 结构及获取
namelcx的专栏
07-05 2109
KeServiceDescriptorTable 结构  KeServiceDescriptorTable:是由内核(Ntoskrnl.exe)导出的一个表,这个表是访问SSDT的关键,具体结构是    typedef struct ServiceDescriptorTable {    PVOID ServiceTableBase;    PVOID ServiceCounterTabl
内核钩子模板
lbird
10-16 2159
#include #include #pragma pack(1)typedef struct ServiceDescriptorEntry {    unsigned int *ServiceTableBase;    unsigned int *ServiceCounterTableBase; //Used only in checked build    unsigned int Numbe
windows内核 win7 和 xp下 hook过滤KiFastCallEntry的不同之处(远离360 hook)
浪子_三少(邮箱:basketwill@qq.com)
10-05 2087
我们先看下hook  kiFastCallentry 点的汇编代码:   winXp:  FF05 38060000  inc    dword ptr [638] 80542656  8BF2  mov    esi, edx 80542658  8B5F 0C  mov    ebx, dword ptr [edi+C] 8054265B  33C9  xor    ecx,
Win7 64位的SSDTHOOK(2)---64位SSDT hook的实现
热门推荐
zfdyq
05-23 1万+
上篇文章知道了寻找SSDT表的方法,这篇记录一下如何实现SSDT表的Hook。
Win64 Driver开发问题记录(二)
nevil的专栏
07-05 3499
Win64 driver开发中遇到的第二个问题是如何通过SSDT表引用系统服务内核函数。 MS在64系统中引入了全新的PatchGuard技术,使得原本在32位下可轻易hook的SSDT表在64位系统中无法再patch(会引发BSOD). 当然,目前我并非是要hook SSDT表,而是需要使用到SSDT表中的一个未导出的系统服务内核函数。在32位driver中可以通过extern "C
使用windbg查看PE文件格式
nevil的专栏
08-15 1777
DOS Header & NT Header: Data Directory: kd> !dh 0040000 Export Table: Import Table:
Win10进程保护驱动源码开发教程
本资源中的驱动程序源代码同样采用C语言编写,利用了Windows Driver Kit (WDK)提供的开发工具和接口。这些代码实现了对进程的监控、管理和保护,可以在系统启动时加载,以达到保护进程的目的。 具体来说,进程保护...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值