ssdt_表_遍历

最新推荐文章于 2023-02-26 22:38:24 发布
最新推荐文章于 2023-02-26 22:38:24 发布
阅读量625 收藏
点赞数
分类专栏: 内核驱动全部集合 
#include"ntddk.h"  
#pragma pack(1) //写这个内存以一字节对齐 如果不写是以4字节的对齐的  
typedef struct ServiceDescriptorEntry {//这个结构就是为了管理这个数组而来的 内核api所在的数组 才有这个结构的 这个是ssdt  
	unsigned int *ServiceTableBase;//就是ServiceTable ssdt数组  
	unsigned int *ServiceCounterTableBase; //仅适用于checked build版本 无用  
	unsigned int NumberOfServices;//(ServiceTableBase)数组中有多少个元素 有多少个项  
	unsigned char *ParamTableBase;//参数表基址 我们层传过来的api的参数 占用多少字节 多大  
} ServiceDescriptorTableEntry_t, *PServiceDescriptorTableEntry_t;
#pragma pack(1)  
_declspec(dllimport) ServiceDescriptorTableEntry_t KeServiceDescriptorTable;//(名字不要写错)  
VOID xiezai1(PDRIVER_OBJECT qudongduixiang)
{

	KdPrint(("已经执行到了 驱动卸载历程\n"));
}
NTSTATUS DriverEntry(PDRIVER_OBJECT qudongduixiang, PUNICODE_STRING zhucebiao1)
{
	int j = KeServiceDescriptorTable.NumberOfServices;
	for ( int i = 0; i <j ;i++)
	{
		KdPrint(("%d %x", i, KeServiceDescriptorTable.ServiceTableBase[i]));
	}
	qudongduixiang->DriverUnload = xiezai1;
	return STATUS_SUCCESS;
}

 

「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SSDT概念及遍历
06-25
windows内核SSDT的概念和SSDT遍历代码示例
SSDT遍历
Fly20141201. 的专栏
11-13 2438
//VS2005创建的工程,系统xp sp2 //++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ //stdafx.h文件 #ifndef _WIN32_WINNT // Allow use of features specific to Windows XP or
遍历WIN7 64位SSDT
qq_41490873的博客
08-26 967
在64位系统里面,KeServiceDescriptorTable并未导出。 可以通过函数KiSystemCall64来找到服务的地址,而KiSystemCall64也是未导出的。 找到KiSystemCall64函数的方法是读取kd> rdmsr c0000082 msr寄存器的值 。这样就可以找到服务地址了 typedef struct _KSYSTEM_SERVICE_TABLE { PLONG ServiceTableBase;
SSDT遍历(源码)
liujiayu2的专栏
06-08 1388
//VS2005创建的工程,系统xp sp2      //++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++      //stdafx.h文件   #ifndef _WIN32_WINNT        // Allow use of features speci
【转】读取SSDT和原函数地址
weixin_34326429的博客
11-29 163
读取当前地址代码(NtOpenProcess): LONG *SSDT_Adr,t_addr,adr; t_addr=(LONG)KeServiceDescriptorTable-&gt;ServiceTableBase; SSDT_Adr=(PLONG)(t_addr+0x7a*4); adr=*SSDT_Adr; 读取起源地址(NtOpenProcess): UNICODE_STRING ...
高版本Windows下SSDT函数获取例子完整工程
10-23
在Windows10 高版本中 ,因为页隔离补丁(?),__readmsr(0xC0000082) 返回KiSystemCall64Shadow,这玩意无法直接搜索到 KeServiceDescriptorTable,以前获取SystemServiceDescriptorTable的方法失效。
win7 64位 ssdthook
11-21
通过hook内核中ssdt中的ntopenprocess函数,标号为35,可通过遍历ssdt查找得知,可实现进程保护。 适用系统:win7 64,需关闭驱动签名保护 编程工具:vs2012+wdk8.0
EPROCESS和SSDT
04-22
`SSDT`是系统服务调度,它是Windows内核中用于调用系统服务的核心组件。它是一个包含函数指针的数组,这些函数指针对应了操作系统提供的各种服务,如文件操作、网络通信等。修改`SSDT`可以实现对系统服务的拦截,...
ring3 下得到真实ssdt
11-03
3. 遍历SSDT:获取到SSDT的基址后,可以通过遍历SSDT来找到各个系统服务的入口点。 4. 钩子技术:一旦获取到系统服务的地址,可以使用钩子技术来监控或替换原有服务,以达到自定义处理的目的。 请注意,这种技术...
遍历SSDT,检测是否被hook
04-03 2796
此方法只是遍历SSDT,判断是否在ntkrnlpa.exe模块里面。也就是寻找SSDT导出NT函数的原始地址。此方法不适合检测 inline Hook。 typedef struct _SYSTEM_MODULE_INFORMATION { ULONG Reserved[2]; PVOID Base; ULONG Size; ULONG Flags; USHORT Index
遍历 SSDT ShadowSSDT 编号和函数名
小烟的博客
02-26 378
遍历 SSDT ShadowSSDT 编号和函数名
获取SSDT服务数据
落笔飞花笑百生的博客
04-27 594
 #include  typedef struct _KSYSTEM_SERVICE_TABLE  {    PULONG  ServiceTableBase;        // SSDT (System Service Dispatch Table)的基地址     PULONG  ServiceCounterTableBase; // 包含 SSDT 中每个服务被调用
5.ring0-SSDT-SSTDSHADOW原理分析、遍历随手代码
hgy413的专栏
07-25 3321
SSDT 的全称是 System Services Descriptor Table,系统服务描述符 这个就是一个把 Ring3 的 Win32 API 和 Ring0 的内核 API 联系起来。Ring3下调用的所有函数最终都会先进入到ntdll里面的 typedef struct _KSERVICE_TABLE_DESCRIPTOR { PULONG_PTR ServiceTab
读取SSDT和原函数地址
weixin_33826609的博客
01-21 183
今天的成果,读取了我的SSDT地址. 读取当前地址代码(NtOpenProcess): LONG *SSDT_Adr,t_addr,adr; t_addr=(LONG)KeServiceDescriptorTable->ServiceTableBase; SSDT_Adr=(PLONG)(t_addr+0x7a*4); adr=*SSDT_Adr; 读取起源地址(NtOpenPro...
x64下获取SSDT(暴力搜索方式)
IT男也疯狂
07-17 2475
typedef struct _SYSTEM_SERVICE_TABLE{     PVOID          ServiceTableBase;     PVOID          ServiceCounterTableBase;     ULONGLONG      NumberOfServices;     PVOID          ParamTableBase; } SY
shadowssdt 地址 数量 遍历
05-15 606
#include "ntddk.h" //SSDT结构体 typedef struct ServiceDescriptorTable { unsigned int *ServiceTableBase; unsigned int *ServiceCounterTable; unsigned int NumberOfServices; unsigned int *ParamTable...
SSDT-hook,IDT-hook原理
fun0526的专栏
08-04 2503
<br /><br />【详细过程】<br />这次主要说说核心层的hook。包括SSDT-hook,IDT-hook,sysenter-hook。欢迎讨论,指正!内核层需要驱动,有这方面的基础最好,如果不会,了解下其中的思路也可以的。<br /><br />II. SSDT-hook,IDT-hook,sysenter-hook<br />一.SSDT-hook<br />(一)一般思路:<br />1.先来了解一下,什么是SSDT<br />SSDT既System Service Dispath Tab
ShadowSSdt HOOK
zhuhuibeishadiao
04-10 2884
SHADOW地址的获取。 CSRSS进程。system进程并没有载入win32k.sys,所以,要访问shadowssdt,必须KeStackAttackProces到一个有GUI线程的进程中,而csrss.exe就是这样的一个合适的进程(管理Windows图形相关任务) Index?硬编码 挂钩NtGdiBitBlt、NtGdiStretchBlt用于截屏保护  挂钩NtUserSe
alter table p_part_version Add column `ssdt_child_type_id` int(11) DEFAULT NULL after `is_get_sapno`;
最新发布
06-12
这是一条 MySQL 数据库的语句,用于在 `p_part_version` 中添加一个名为 `ssdt_child_type_id` 的列,其类型为 `int(11)`,默认值为 `NULL`,并且该列将会在 `is_get_sapno` 列后添加。这条语句的作用是修改数据库...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值