遍历 shadowssdt表 函数名地址

最新推荐文章于 2023-02-26 22:38:24 发布
最新推荐文章于 2023-02-26 22:38:24 发布
阅读量1.9k 收藏
点赞数
分类专栏: 内核驱动全部集合 
#include <ntifs.h>
#include <ntimage.h>
//#include "ntddk.h"    
//SSDT结构体  
typedef struct _SERVICE_DESCRIPTOR_TABLE {
	PULONG   ServiceTable;
	PULONG  CounterTable;
	ULONG   TableSize;
	PUCHAR  ArgumentTable;
} SERVICE_DESCRIPTOR_TABLE, *PSERVICE_DESCRIPTOR_TABLE;
extern PSERVICE_DESCRIPTOR_TABLE KeServiceDescriptorTable;
PSERVICE_DESCRIPTOR_TABLE KeServiceDescriptorShadowTable;
typedef enum WIN_VER_DETAIL {
	WINDOWS_VERSION_NONE,       //  0
	WINDOWS_VERSION_2K,
	WINDOWS_VERSION_XP,
	WINDOWS_VERSION_2K3,
	WINDOWS_VERSION_2K3_SP1_SP2,
	WINDOWS_VERSION_VISTA_2008,
	WINDOWS_VERSION_7_7600_UP,
	WINDOWS_VERSION_7_7000
} WIN_VER_DETAIL;
WIN_VER_DETAIL WinVersion;
WIN_VER_DETAIL GetWindowsVersion();
__declspec(dllimport) _stdcall KeAddSystemServiceTable(PVOID, PVOID, PVOID, PVOID, PVOID);
UCHAR *PsGetProcessImageFileName(__in PEPROCESS eprocess);
VOID MyUnload(PDRIVER_OBJECT    pDriverObject)
{
	KdPrint(("驱动卸载成功\n"));
}

PVOID GetShadowTableAddress()
{
	ULONG dwordatbyte, i;
	PUCHAR p = (PUCHAR)KeAddSystemServiceTable;
	for (i = 0; i < 0x1024; i++, p++)// 往下找一页 指针递增1 
	{
		__try
		{
			dwordatbyte = *(PULONG)p;
		}
		__except (EXCEPTION_EXECUTE_HANDLER)
		{
			return FALSE;
		}
		if (MmIsAddressValid((PVOID)dwordatbyte))
		{
			if (memcmp((PVOID)dwordatbyte, KeServiceDescriptorTable, 16) == 0)//对比前16字节 相同则找到
			{
				if ((PVOID)dwordatbyte == KeServiceDescriptorTable)//排除自己
				{
					continue;
				}
				return (PVOID)dwordatbyte;
			}
		}
	}
	return FALSE;
}
WIN_VER_DETAIL GetWindowsVersion()
{
	RTL_OSVERSIONINFOEXW	osverinfo;
	if (WinVersion)
		return WinVersion;
	memset(&osverinfo, 0, sizeof(RTL_OSVERSIONINFOEXW));
	osverinfo.dwOSVersionInfoSize = sizeof(RTL_OSVERSIONINFOEXW);
	if (RtlGetVersion((RTL_OSVERSIONINFOW*)&osverinfo) != STATUS_SUCCESS){
		return WINDOWS_VERSION_NONE;
	}
	// 	KdPrint(("[xxxxxxxx] OSVersion NT %d.%d:%d sp%d.%d\n", 
	// 		osverinfo.dwMajorVersion, osverinfo.dwMinorVersion, osverinfo.dwBuildNumber, 
	// 		osverinfo.wServicePackMajor, osverinfo.wServicePackMinor));

	if (osverinfo.dwMajorVersion == 5 && osverinfo.dwMinorVersion == 0){
		WinVersion = WINDOWS_VERSION_2K;
	}
	else if (osverinfo.dwMajorVersion == 5 && osverinfo.dwMinorVersion == 1){
		WinVersion = WINDOWS_VERSION_XP;
	}
	else if (osverinfo.dwMajorVersion == 5 && osverinfo.dwMinorVersion == 2){
		if (osverinfo.wServicePackMajor == 0){
			WinVersion = WINDOWS_VERSION_2K3;
		}
		else{
			WinVersion = WINDOWS_VERSION_2K3_SP1_SP2;
		}
	}
	else if (osverinfo.dwMajorVersion == 6 && osverinfo.dwMinorVersion == 0){
		WinVersion = WINDOWS_VERSION_2K3_SP1_SP2;
	}
	else if (osverinfo.dwMajorVersion == 6 && osverinfo.dwMinorVersion == 1 && osverinfo.dwBuildNumber == 7000){
		WinVersion = WINDOWS_VERSION_7_7000;
	}
	else if (osverinfo.dwMajorVersion == 6 && osverinfo.dwMinorVersion == 1 && osverinfo.dwBuildNumber >= 7600){
		WinVersion = WINDOWS_VERSION_7_7600_UP;
	}
	return WinVersion;
}
NTSTATUS LookupProcessByName(IN PCHAR pcProcessName,OUT PEPROCESS *pEprocess)
{
	NTSTATUS	status;
	ULONG		uCount = 0;
	ULONG		uLength = 0;
	PLIST_ENTRY	pListActiveProcess;
	PEPROCESS	pCurrentEprocess = NULL;
	ULONG ulNextProcess = 0;
	ULONG g_Offset_Eprocess_Flink;
	WIN_VER_DETAIL WinVer;
	char lpszProName[100];
	char *lpszAttackProName = NULL;
	if (!ARGUMENT_PRESENT(pcProcessName) || !ARGUMENT_PRESENT(pEprocess))
	{
		return STATUS_INVALID_PARAMETER;
	}
	if (KeGetCurrentIrql() > PASSIVE_LEVEL)
	{
		return STATUS_UNSUCCESSFUL;
	}
	uLength = strlen(pcProcessName);

	WinVer = GetWindowsVersion();
	switch (WinVer)
	{
	case WINDOWS_VERSION_XP:
		g_Offset_Eprocess_Flink = 0x88;
		break;
	case WINDOWS_VERSION_7_7600_UP:
	case WINDOWS_VERSION_7_7000:
		g_Offset_Eprocess_Flink = 0xb8;
		break;
	case WINDOWS_VERSION_VISTA_2008:
		g_Offset_Eprocess_Flink = 0x0a0;
		break;
	case WINDOWS_VERSION_2K3_SP1_SP2:
		g_Offset_Eprocess_Flink = 0x98;
		break;
	case WINDOWS_VERSION_2K3:
		g_Offset_Eprocess_Flink = 0x088;
		break;
	}
	if (!g_Offset_Eprocess_Flink){
		return STATUS_UNSUCCESSFUL;
	}
	pCurrentEprocess = PsGetCurrentProcess();
	ulNextProcess = (ULONG)pCurrentEprocess;
	__try
	{
		memset(lpszProName, 0, sizeof(lpszProName));
		if (uLength > 15)
		{
			strncat(lpszProName, pcProcessName, 15);
		}
		while (1)
		{
			lpszAttackProName = NULL;
			lpszAttackProName = (char *)PsGetProcessImageFileName(pCurrentEprocess);

			if (uLength > 15)
			{
				if (lpszAttackProName &&
					strlen(lpszAttackProName) == uLength)
				{
					if (_strnicmp(lpszProName, lpszAttackProName, uLength) == 0)
					{
						*pEprocess = pCurrentEprocess;
						status = STATUS_SUCCESS;
						break;
					}
				}
			}
			else
			{
				if (lpszAttackProName &&
					strlen(lpszAttackProName) == uLength)
				{
					if (_strnicmp(pcProcessName, lpszAttackProName, uLength) == 0)
					{
						*pEprocess = pCurrentEprocess;
						status = STATUS_SUCCESS;
						break;
					}
				}
			}
			if ((uCount >= 1) && (ulNextProcess == (ULONG)pCurrentEprocess))
			{
				*pEprocess = 0x00000000;
				status = STATUS_NOT_FOUND;
				break;
			}
			pListActiveProcess = (LIST_ENTRY *)((ULONG)pCurrentEprocess + g_Offset_Eprocess_Flink);
			(ULONG)pCurrentEprocess = (ULONG)pListActiveProcess->Flink;
			(ULONG)pCurrentEprocess = (ULONG)pCurrentEprocess - g_Offset_Eprocess_Flink;
			uCount++;
		}
	}
	__except (EXCEPTION_EXECUTE_HANDLER)
	{
		KdPrint(("LookupProcessByName:%08x\r\n", GetExceptionCode()));
		status = STATUS_NOT_FOUND;
	}
	return status;
}
NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject, PUNICODE_STRING Reg_Path)
{
	int i = 0;
	PEPROCESS eprocess_explorer;
	pDriverObject->DriverUnload = MyUnload;
	KeServiceDescriptorShadowTable = GetShadowTableAddress();
	if (KeServiceDescriptorShadowTable)
	{
		//我们得到一个gui进程的对象,因为我们切换进程的时候需要用到
		if (LookupProcessByName("explorer.exe", &eprocess_explorer) == STATUS_SUCCESS)
		{
			KeAttachProcess(eprocess_explorer);//附加到目标进程
			//这里为什么要KeServiceDescriptorShadowTable[1],正如我们所说的,第二个表才是ShadowSSDT
			int j = KeServiceDescriptorShadowTable[1].TableSize;
			for (i = 0; i < j; i++)
			{
				DbgPrint("Number:%d  Address:0x%08X\r\n", i, KeServiceDescriptorShadowTable[1].ServiceTable[i]);
			}

			KeDetachProcess();//解除附加		
		}
	}
	return STATUS_SUCCESS;
}

 

「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
R0层获取ShadowSSDT函数原始地址实例
11-20
本实例由VS2008开发,在提供了一套驱动开发框架的同时,又演示了如何获取Shadow SSDT函数原始地址的办法。 主要函数:ULONG GetShadowSSDT_Function_OriAddr(ULONG index); 原理说明: 根据特征码搜索导出函数KeAddSystemServiceTable来获取Shadow SSDT基址,以及通过ZwQuerySystemInformation()函数获取win32k.sys基址,然后解析PE定位到Shadow SSDT在win32k.sys的偏移地址,并通过进一步计算来得到Shadow SSDT函数的原始地址。 这里只测试了三个函数:(460)NtUserMessageCall、(475)NtUserPostMessage和(502)NtUserSendInput,具体使用时可以举一反三,网上完整的源代码实例并不太多,希望可以帮到真正有需要的朋友。 系统环境: 在WinXP SP3系统 + 瑞星杀毒软件 打印输出: [ LemonInfo : Loading Shadow SSDT Original Address Driver... ] [ LemonInfo : 创建“设备”值为:0 ] [ LemonInfo : 创建“设备”成功... ] [ LemonInfo : 创建“符号链接”状态值为:0 ] [ LemonInfo : 创建“符号链接”成功... ] [ LemonInfo : 驱动加载成功... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP 开始... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP Enter IRP_MJ_DEVICE_CONTROL... ] [ LemonInfo : 获取ShadowSSDT (460)NtUserMessageCall 函数的“当前地址”为:0xB83ECFC4,“起源地址”为:0xBF80EE6B ] [ LemonInfo : 获取ShadowSSDT (475)NtUserPostMessage 函数的“当前地址”为:0xB83ECFA3,“起源地址”为:0xBF8089B4 ] [ LemonInfo : 获取ShadowSSDT (502)NtUserSendInput 函数的“当前地址”为:0xBF8C31E7,“起源地址”为:0xBF8C31E7 ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP_MJ_DEVICE_CONTROL 成功执行... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP 结束... ] [ LemonInfo : UnLoading Shadow SSDT Original Address Driver... ] [ LemonInfo : 删除“符号链接”成功... ] [ LemonInfo : 删除“设备”成功... ] [ LemonInfo : 驱动卸载成功... ]
SSDT概念及遍历
06-25
遍历SSDT通常涉及读取SSDT并在内存中搜索服务的地址。在Windows中,SSDT通常是保护的,因此直接操作需要特定的权限和理解。以下是一些关键步骤: 1. 获取SSDT基址:SSDT的基址可以通过内核模式调试器获取,或者在...
遍历 SSDT ShadowSSDT 编号和函数
小烟的博客
02-26 383
遍历 SSDT ShadowSSDT 编号和函数
用symbol来获得ShadowSSDT的原始地址函数
weixin_34005042的博客
08-14 325
在网上看了下,获得ShadowSSDT的函数和原始地址的方法和文章不是很多。比较简单的应该算是设计张函数和用symbol的方法。 个人觉得用symbol来获得ShadowSSDT还是比较方便的,而且自己也不用去创建一张,何乐而不为。^_^ 这办法简单的原因是我只需要一个win32.sys,win32.pdb,以及调用不到10个的API就能完成工作。 ...
WIN7 X64 SSDT函数获得
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-14 2100
曾经在网上看到一片文章, 在早期64位系统,内核函数开头地址的低四位一般是0,形如:xxxxxxxx`xxxxxxx0,这一特征在SSDT中有很强大的引用,SSDT在64位系统于32位系统有较大的差别。以下是在64位系统下的KeServiceDescriptorTable: kd> dp KeServiceDescriptorTable fffff800`0117bb80  fffff8
Vista下的Shadow SSDT服务函数
Tommy(凌飞)的专栏
11-22 1602
"NtGdiAbortDoc", "NtGdiAbortPath", "NtGdiAddFontResourceW", "NtGdiAddRemoteFontToDC", "NtGdiAddFontMemResourceEx", "NtGdiRemoveMergeFont", "NtGdiAddRemoteMMInstanceToDC", "NtGdiAlp
两种方法获取shadow ssdt
weixin_30394981的博客
12-22 161
ULONG GetShadowSsdtCurrentAddresses( PSSDT_ADDRESS AddressInfo, PULONG Length ) { PSYSTEM_SERVICE_TABLE KeServiceDescriptorTableShadow = NULL; ULONG Numb...
jQuery 遍历函数详解
10-23
介绍了几个在jQuery中非常有用的遍历函数遍历函数是做么的方便。当在它们一起使用时,它们将更加强大。也就是说,一个函数的输出是另一个函数的输入,它们是链式的。下面我们就来详细探讨下吧。
erchas.zip_erchas的遍历_二叉链
09-23
3. **测试与验证**:设计测试用例,确保遍历函数能够正确地按先序顺序访问所有节点。 4. **分析与优化**:分析遍历算法的时间复杂度和空间复杂度,并探讨可能的优化策略。 5. **报告与展示**:撰写实验报告,总结...
遍历目录以及目录下文件的函数
01-02
<%@ Language=VBScript%> <%function bianli(path) set fso=server.CreateObject(scripting.filesystemobject) on error resume next set objFolder=fso.GetFolder(path) set objSubFolders=objFolder...
shunxubiao.rar_顺序遍历
09-14
总之,"shunxubiao.rar_顺序遍历"这个主题涵盖了数据结构中顺序的基本概念、遍历操作以及使用指针访问元素的方法。通过对压缩包内的文档进行学习,你可以进一步提升在数据结构和算法方面的技能,这对任何IT专业...
SSDTShadowSSDT
bcbobo21cn的专栏
09-05 396
实际上内核中存在两个系统服务描述符,一个是KeServiceDescriptorTable(由ntoskrnl.exe导出);,一个是KeServieDescriptorTableShadow(没有导出)。 KeServieDescriptorTableShadow不但包含了ntoskrnel项,而且还包含了win32k项,而KeServiceDescriptorTable仅仅包含一个ntoskrnel项。 内核中有2套函数 ,zw,nt,nt才是真正的执行函数,zw只是一个过渡函数,(可用ida察看
SSDT遍历(源码)
liujiayu2的专栏
06-08 1390
//VS2005创建的工程,系统xp sp2      //++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++      //stdafx.h文件   #ifndef _WIN32_WINNT        // Allow use of features speci
5.ring0-SSDT-SSTDSHADOW原理分析、遍历随手代码
hgy413的专栏
07-25 3323
SSDT 的全称是 System Services Descriptor Table,系统服务描述符 这个就是一个把 Ring3 的 Win32 API 和 Ring0 的内核 API 联系起来。Ring3下调用的所有函数最终都会先进入到ntdll里面的 typedef struct _KSERVICE_TABLE_DESCRIPTOR { PULONG_PTR ServiceTab
用Visual studio2012在Windows8上开发内核中隐藏进程
weixin_30788239的博客
08-20 164
在Windows NT中,80386保护模式的“保护”比Windows 95中更坚固,这个“镀金的笼子”更加结实,更加难以打破。在Windows 95中,至少应用程序I/O操作是不受限制的,而在Windows NT中,我们的应用程序连这点权限都被剥夺了。在NT中几乎不太可能进入真正的ring0层。在Windows NT中,存在三种Device Driver: 1.“Virtual devi...
通过GetProcessNameByProcessId得到进程路径
kernweak的博客
07-19 3920
写主防时,为了拿到进程路径,所以查询发现一种发现一种方式是通过PID,调用PsLookupProcessByProcessId(ProcessId, &ProcessObj)拿到进程的EPROCESS,然后PsGetProcessImageFileName(ProcessObj)拿到进程进程路径。 现在看下PsLookupProcessByProcessId资料 kd> u P...
Windows 7 版本知多少(Win 7 N/K/KN/E)
热门推荐
积分我的进步
06-01 1万+
<br />Windows 7 版本知多少(Win 7 N/K/KN/E)<br />Is there any special SKU(Special Kit Unit) version of Windows 7 that exists? (Windows 7 N, Windows 7 K, Windows 7 KN, Windows 7 E)<br />Yes, there is Windows 7 N, Windows 7 K, Windows 7 KN and Windows 7 E, where e
内核层获取SSDT中函数原始地址
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-09 1454
标 题: 【下载】内核层获取SSDT中函数原始地址 作 者: QEver 时 间: 2011-08-30,20:32:28 链 接: http://bbs.pediy.com/showthread.php?t=139524 昨天在看雪看到《【下载】发个获得SSDT函数和索引号的代码》,一时兴起整理了一份内核层根据ntdll.dll和nt模块文件来获取SSDT函数原始的地址的代码,可以
获得SSDT函数
cqyczj的专栏
04-18 1742
代码:  ULONG GetSSDTName() {  KdBreakPoint();  if (KeGetCurrentIrql() > PASSIVE_LEVEL)  {   return STATUS_UNSUCCESSFUL;  }  //设置NTDLL路径  UNICODE_STRING uniFileName;  RtlInitUnicodeString(&uniFileName, 
如何在map遍历完成之后执行函数
最新发布
05-30
可以在遍历结束后使用一个`for`循环来执行函数,例如: ```c++ #include <iostream> #include <map> int main() { std::map<int, std::string> myMap = {{1, "one"}, {2, "two"}, {3, "three"}}; // 遍历map for (auto it = myMap.begin(); it != myMap.end(); ++it) { std::cout << it->first << ": " << it->second << std::endl; } // 遍历完成后执行函数 std::cout << "Map遍历结束,执行函数..." << std::endl; // TODO: 执行你的函数代码 return 0; } ``` 在上面的代码中,我们在遍历`myMap`之后输出了一行提示信息,并执行了一个待完成的函数。你可以将该函数替换为你自己要执行的代码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值