shadowssdt 地址 数量 遍历

最新推荐文章于 2020-09-05 19:03:12 发布
最新推荐文章于 2020-09-05 19:03:12 发布
阅读量625 收藏 1
点赞数
分类专栏: 内核驱动全部集合 
#include "ntddk.h"    
//SSDT结构体
typedef struct ServiceDescriptorTable {
	unsigned int *ServiceTableBase;
	unsigned int *ServiceCounterTable;
	unsigned int NumberOfServices;
	unsigned int *ParamTableBase;
}ServiceDescriptorTable, *PServiceDescriptorTable;
PServiceDescriptorTable KeServiceDescriptorTableShadow;
NTSYSAPI
BOOLEAN
NTAPI
KeAddSystemServiceTable(
IN PULONG_PTR Base,
IN PULONG Count OPTIONAL,
IN ULONG Limit,
IN PUCHAR Number,
IN ULONG Index
);
VOID MyUnload(PDRIVER_OBJECT    pDriverObject)
{
	KdPrint(("驱动卸载成功\n"));
}
PULONG getAddressOfShadowTable()
{
	PULONG p;
	//兼容XP,2003和WIN7
	//nt!KeAddSystemServiceTable+0x1a:
	//83de0022 8d8840dbdb83    lea     ecx,nt!KeServiceDescriptorTableShadow (83dbdb40)[eax]
	//83de0028 833900          cmp     dword ptr [ecx],0
	//83de002b 7546            jne     nt!KeAddSystemServiceTable+0x6b (83de0073)
	//8d88两个字节,所以+2
	p = (PULONG)((ULONG)KeAddSystemServiceTable + 0x1a + 2);
	return (PULONG)(*p);
}

NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject, PUNICODE_STRING Reg_Path)
{
		DbgPrint("address: 0x%X", getAddressOfShadowTable());
	KeServiceDescriptorTableShadow = (PServiceDescriptorTable)getAddressOfShadowTable();
	DbgPrint("num of services:%d", KeServiceDescriptorTableShadow[1].NumberOfServices);
	int j = KeServiceDescriptorTableShadow[1].NumberOfServices;
	//for (int i = 0; i <j; i++)
	//{
	//	KdPrint(("%x\n", KeServiceDescriptorTableShadow[1].ServiceTableBase[i]));
	//}
	pDriverObject->DriverUnload = MyUnload;
	return STATUS_SUCCESS;
}

 

「已注销」
关注
专栏目录
遍历 SSDT ShadowSSDT 编号和函数名
小烟的博客
02-26 450
遍历 SSDT ShadowSSDT 编号和函数名
使用Windbg查看系统SSDT表与ShadowSSDT表
baggiowangyu的专栏
12-08 6885
x86操作系统 1. 查看当前系统是否已经载入win2k.sys的相关符号信息: kd> lm start end module name 80586000 8058f000 kdcom (deferred) 80e03000 81391000 nt (pdb symbols) d:\symb
R0层获取ShadowSSDT函数原始地址实例
11-20
本实例由VS2008开发,在提供了一套驱动开发框架的同时,又演示了如何获取Shadow SSDT表函数原始地址的办法。 主要函数:ULONG GetShadowSSDT_Function_OriAddr(ULONG index); 原理说明: 根据特征码搜索导出函数KeAddSystemServiceTable来获取Shadow SSDT基址,以及通过ZwQuerySystemInformation()函数获取win32k.sys基址,然后解析PE定位到Shadow SSDT在win32k.sys的偏移地址,并通过进一步计算来得到Shadow SSDT表函数的原始地址。 这里只测试了三个函数:(460)NtUserMessageCall、(475)NtUserPostMessage和(502)NtUserSendInput,具体使用时可以举一反三,网上完整的源代码实例并不太多,希望可以帮到真正有需要的朋友。 系统环境: 在WinXP SP3系统 + 瑞星杀毒软件 打印输出: [ LemonInfo : Loading Shadow SSDT Original Address Driver... ] [ LemonInfo : 创建“设备”值为:0 ] [ LemonInfo : 创建“设备”成功... ] [ LemonInfo : 创建“符号链接”状态值为:0 ] [ LemonInfo : 创建“符号链接”成功... ] [ LemonInfo : 驱动加载成功... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP 开始... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP Enter IRP_MJ_DEVICE_CONTROL... ] [ LemonInfo : 获取ShadowSSDT表 (460)NtUserMessageCall 函数的“当前地址”为:0xB83ECFC4,“起源地址”为:0xBF80EE6B ] [ LemonInfo : 获取ShadowSSDT表 (475)NtUserPostMessage 函数的“当前地址”为:0xB83ECFA3,“起源地址”为:0xBF8089B4 ] [ LemonInfo : 获取ShadowSSDT表 (502)NtUserSendInput 函数的“当前地址”为:0xBF8C31E7,“起源地址”为:0xBF8C31E7 ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP_MJ_DEVICE_CONTROL 成功执行... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP 结束... ] [ LemonInfo : UnLoading Shadow SSDT Original Address Driver... ] [ LemonInfo : 删除“符号链接”成功... ] [ LemonInfo : 删除“设备”成功... ] [ LemonInfo : 驱动卸载成功... ]
子元素数量遍历子元素
奇舞周刊
11-04 600
编者按:本文作者:贺师俊(网名 Hax),360 高级前端架构师,十多年来一直活跃在前端和 JavaScript 社区。对多项 Web 标准有微小贡献,对 Groovy ...
5.ring0-SSDT-SSTDSHADOW原理分析、遍历随手代码
hgy413的专栏
07-25 3349
SSDT 的全称是 System Services Descriptor Table,系统服务描述符表 这个表就是一个把 Ring3 的 Win32 API 和 Ring0 的内核 API 联系起来。Ring3下调用的所有函数最终都会先进入到ntdll里面的 typedef struct _KSERVICE_TABLE_DESCRIPTOR { PULONG_PTR ServiceTab
SSDT表概念及遍历
06-25
遍历SSDT通常涉及读取SSDT表并在内存中搜索服务的地址。在Windows中,SSDT通常是保护的,因此直接操作需要特定的权限和理解。以下是一些关键步骤: 1. 获取SSDT基址:SSDT的基址可以通过内核模式调试器获取,或者在...
PHP递归遍历指定目录的文件并统计文件数量的方法
01-20
//递归函数实现遍历指定文件下的目录与文件数量 function total($dirname,&$dirnum,&$filenum){ $dir=opendir($dirname); echo readdir($dir). ; //读取当前目录文件 echo readdir($dir). ; //读取上级目录...
遍历遍历JSON数据
02-20
遍历JSON数据 概要 Traverse是一种go语言实用程序,用于“遍历”一块JSON编码的文本并返回选定的内容。 从go ,遍历细分RawMessage直到获得所需的。 我们使用指定遍历。 记录器也很好地利用了这种模式。 成分 遍历...
游戏数据遍历工具V1.3
07-24
游戏数据遍历工具对那些需要研究游戏内存的开发者们多多少少是有一定帮助的. 通常游戏更新的地址都会改变,而偏移一般很少是不变的,利用本工具可根据以前的偏移帮助查新的基址.
SSDT表与ShadowSSDT表
bcbobo21cn的专栏
09-05 415
实际上内核中存在两个系统服务描述符表,一个是KeServiceDescriptorTable(由ntoskrnl.exe导出);,一个是KeServieDescriptorTableShadow(没有导出)。 KeServieDescriptorTableShadow不但包含了ntoskrnel项,而且还包含了win32k项,而KeServiceDescriptorTable仅仅包含一个ntoskrnel项。 内核中有2套函数 ,zw,nt,nt才是真正的执行函数,zw只是一个过渡函数,(可用ida察看
ssdt_表_遍历
05-12 637
#include"ntddk.h" #pragma pack(1) //写这个内存以一字节对齐 如果不写是以4字节的对齐的 typedef struct ServiceDescriptorEntry {//这个结构就是为了管理这个数组而来的 内核api所在的数组 才有这个结构的 这个是ssdt unsigned int *ServiceTableBase;//就是ServiceTa...
遍历WIN7 64位SSDT表
qq_41490873的博客
08-26 1041
在64位系统里面,KeServiceDescriptorTable并未导出。 可以通过函数KiSystemCall64来找到服务表的地址,而KiSystemCall64也是未导出的。 找到KiSystemCall64函数的方法是读取kd> rdmsr c0000082 msr寄存器的值 。这样就可以找到服务表地址了 typedef struct _KSYSTEM_SERVICE_TABLE { PLONG ServiceTableBase;
两种方法获取shadow ssdt
kedebug
12-22 1924
<br />ULONG GetShadowSsdtCurrentAddresses( PSSDT_ADDRESS AddressInfo, PULONG Length ) { PSYSTEM_SERVICE_TABLE KeServiceDescriptorTableShadow = NULL; ULONG NumberOfService = 0; ULONG ServiceId = 0; PKAPC_STA
遍历SSDT,检测是否被hook
04-03 2823
此方法只是遍历SSDT,判断是否在ntkrnlpa.exe模块里面。也就是寻找SSDT导出NT函数的原始地址。此方法不适合检测 inline Hook。 typedef struct _SYSTEM_MODULE_INFORMATION { ULONG Reserved[2]; PVOID Base; ULONG Size; ULONG Flags; USHORT Index
简单实现了下SSDT SHADOW HOOK
zqf_office的专栏
10-23 1396
介绍:         SSDT SHADOW HOOK可用于安全软件窗口保护、安全输入、截屏保护等。例如:挂钩NtUserFindWindowEx、NtUserGetForegroundWindow、NtUserBuildHwndList、NtUserQueryWindow、NtUserWindowFromPoint、NtUserSetParent、NtUserPostMessage、NtUs
谈谈 通杀SSDT hook和Shadow SSDT hook的方法
cqyczj的专栏
04-25 1577
链 接: http://bbs.pediy.com/showthread.php?t=143987 有点纠结,不知道应不应该发,本来想多攒点东西,留着以后找工作。毕竟说空话被bs过。其实技术含量也不高,耐心研究下都能实现。发出来了,权当促进游戏保护和反保护事业的发展吧。大牛飘过吧,那些还没成为大牛就开始倚老卖老喜欢对刚入门的小菜指手画脚的,时不时的来一句“别瞎鼓捣了,你应该从这学起,你应该从
shadow ssdt学习笔记(一)(二)
05-06 1148
作 者: zhuwg时 间: 2007-12-22,22:01链 接: http://bbs.pediy.com/showthread.php?t=569551。取得shadow ssdt真实地址系统只提供了KeServiceDescriptorTable导出KeServiceDescriptorTableShadow是个未导出结构定义Copy code    typedef struct _SY
【原创】shadow ssdt学习笔记(一)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
08-14 1058
标 题: 【原创】shadow ssdt学习笔记(一) 作 者: zhuwg 时 间: 2007-12-22,22:01:29 链 接: http://bbs.pediy.com/showthread.php?t=56955 1。取得shadow ssdt真实地址 系统只提供了KeServiceDescriptorTable导出 KeServiceDescriptorTableSh
shell语句遍历数量
最新发布
07-14
您可以使用以下的Shell语句来遍历一个集合并计算其元素的数量: ```shell #!/bin/bash # 定义一个集合,可以是数组或者字符串 collection=("item1" "item2" "item3" "item4" "item5") # 初始化计数器 count=0 # ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值