寻找SSDT表地址

最新推荐文章于 2019-10-19 12:08:50 发布
最新推荐文章于 2019-10-19 12:08:50 发布
阅读量276 收藏
点赞数
分类专栏: 自己写的函数全部集合 
#include"ntifs.h"
#include"intsafe.h"
#include"ntimage.h"
#define out
#define in
ULONG_PTR  dizhi_zwclose = 0;
ULONG_PTR  dizhi_KiServiceInternal = 0;
ULONG_PTR dizhi_KiSystemServiceStart = 0;
ULONG_PTR dizhi_KiSystemServiceStart_zhen = 0;
ULONG_PTR dizhi_KeServiceDescriptorTable = 0;
ULONG_PTR hanshu_zhengbandizhi(wchar_t *s1)//原版
{
	UNICODE_STRING str1 = { 0 };
	ULONG_PTR dizhi = 0;
	RtlInitUnicodeString(&str1, s1);
	dizhi = (ULONG_PTR)MmGetSystemRoutineAddress(&str1);
	return dizhi;
}
ULONG_PTR sao1()//求KiServiceInternal
{
	UCHAR *p1 = (UCHAR*)dizhi_zwclose;
	UCHAR *p2 = NULL;
	UCHAR n1 = 0;
	for (ULONG_PTR i = 0; i <= 0x20; i++)
	{
		if (MmIsAddressValid(p1 + i))
		{
			n1 = *(p1 + i);
			p2 = (p1 + i);
			if (*(p2 + 0) == 0x50 &&
				*(p2 + 1) == 0xb8 && *(p2 + 2) == 0x0c && *(p2 + 3) == 0x00  &&*(p2 + 4) == 0x00 &&*(p2 + 5) == 0x00
				)
			{
				return (ULONG_PTR)(p1 + i);
			}
		}
	}
	return 0;
}
ULONG_PTR sao2()//求KiSystemServiceStart
{
	UCHAR *p1 = (UCHAR*)dizhi_KiServiceInternal; 
	UCHAR *p2 = NULL;
	UCHAR n1 = 0;
	for (ULONG_PTR i = 0; i <= 0x70; i++)
	{
		if (MmIsAddressValid(p1 + i))
		{
			n1 = *(p1 + i);
			p2 = (p1 + i);
			if (*(p2 + 0) == 0x4c &&*(p2 + 1) == 0x89 && *(p2 + 2) == 0x95 && *(p2 + 3) == 0xb8 &&
				*(p2 + 4) == 0x00&& *(p2 + 5) == 0x00 && *(p2 + 6) == 0x00
				)
			{
				return (ULONG_PTR)(p1 + i);
			}
		}
	}
	return 0;
}
ULONG_PTR dedaossdt()
{
	dizhi_zwclose = hanshu_zhengbandizhi(L"ZwClose");
	KdPrint(("zwclose地址%p", dizhi_zwclose));
	ULONG_PTR linshi1 = sao1(); //求KiServiceInternal
	ULONG_PTR linshi2 = sao1() + 7;
	KdPrint(("linshi1地址%p", linshi1));
	KdPrint(("linshi2地址%p", linshi2));
	ULONG pianyi = *(ULONG*)linshi2;
	KdPrint(("pianyi%p", pianyi));
	dizhi_KiServiceInternal = linshi2 + 4 + pianyi;
	KdPrint(("KiServiceInternal地址%p", dizhi_KiServiceInternal));
	dizhi_KiSystemServiceStart = sao2();//求KiSystemServiceStart
	KdPrint(("KiSystemServiceStart地址%p", dizhi_KiSystemServiceStart));
	ULONG_PTR linshi3 = dizhi_KiSystemServiceStart + 10;
	KdPrint(("linshi3地址%p", linshi3));
	ULONG pianyi2 = *(ULONG*)linshi3;
	KdPrint(("pianyi2地址%x", pianyi2));
	dizhi_KiSystemServiceStart_zhen = linshi3 + 4 + pianyi2;
	KdPrint(("KiSystemServiceStart地址%p", dizhi_KiSystemServiceStart_zhen));//正确
	ULONG_PTR linshi4 = dizhi_KiSystemServiceStart_zhen + 0x14;
	KdPrint(("linshi4地址%p", linshi4));
	ULONG_PTR linshi5 = linshi4 + 0x3;
	ULONG pianyi3 = *(ULONG*)linshi5;
	KdPrint(("pianyi3==%x", pianyi3));
	dizhi_KeServiceDescriptorTable = linshi4 + 7 + pianyi3;
	//KdPrint(("KeServiceDescriptorTable地址%p", dizhi_KeServiceDescriptorTable));
	return dizhi_KeServiceDescriptorTable;
}

「已注销」
关注
专栏目录
使用Windbg查看系统SSDT与ShadowSSDT
baggiowangyu的专栏
12-08 6861
x86操作系统 1. 查看当前系统是否已经载入win2k.sys的相关符号信息: kd> lm start end module name 80586000 8058f000 kdcom (deferred) 80e03000 81391000 nt (pdb symbols) d:\symb
Win64 驱动内核编程-20.UnHook SSDT
天使也掉毛
03-23 1633
UNHOOK SSDT     要恢复 SSDT,首先要获得 SSDT 各个函数的原始地址,而 SSDT 各个函数的原始地址,自然是存储在内核文件里的。于是,有了以下思路: 1.获得内核里 KiServiceTable 的地址(变量名称:KiServiceTable) 2.获得内核文件在内核里的加载地址(变量名称:NtosBase) 3.获得内核文件在 PE32+结构体里的映像基址(变量名
e语言-易语言实现64位全系统获取SSDT地址
08-23
获取ssdt地址 当然是用驱动编写的啦  驱动支持全系统获取(x64)位 易源码是有bug的  win7 获取真实的地址可以没啥问题  win10的就有问题实在没时间去修了  驱动没啥问题 反复测试没蓝屏 (驱动已签名)其他的问题后期在看着弄吧   提示驱动获取的ssdt地址是没问题的原始地址是要从ntoskrnl.exe获取 (驱动源码不开源)
读取SSDT当前函数地址
record
05-14 777
#include "ntddk.h" VOID DriverUnload(PDRIVER_OBJECT driver) { DbgPrint("卸载成功\n\r"); } typedef struct _ServiceDescriptorTable { PVOID ServiceTableBase; PVOID ServiceCounterTable; unsigned int Nu
易语言获取R0级SSDT列源码
10-10
易语言获取R0级SSDT列源码,SSDT系统服务描述
RING3下SSDT原始地址的获取
KernelEx的专栏
08-19 2478
#include "stdafx.h"#include #include using namespace std;#define RVATOVA(base,offset)             ((PVOID)((DWORD)(base)+(DWORD)(offset)))#define ibaseDD *(PDWORD)&ibase#define STATUS_
VT笔记(2)突破patchguard保护完成X64Hook
kernweak的博客
06-24 8961
win10,2018新年版后好像不支持了? MSR hook MSR (Model Specific Registers)是CPU 的一组64 位寄存器,可以分别通过RDMSR 和WRMSR 两条指令进行读和写的操作,前提要在ECX 中写入MSR 的地址(MSR地址就像一个宏STAR,LSTAR,CSTAR,SFMASK)。对于RDMSR 指令,将会返回相应的MSR 中64bit 信息到(ED...
SSDT概念及遍历
06-25
遍历SSDT通常涉及读取SSDT并在内存中搜索服务的地址。在Windows中,SSDT通常是保护的,因此直接操作需要特定的权限和理解。以下是一些关键步骤: 1. 获取SSDT基址:SSDT的基址可以通过内核模式调试器获取,或者在...
无驱动恢复SSDT代码
02-09
4. **恢复服务函数**:一旦发现异常的服务项,就需要寻找正确的函数地址,通常是通过对比系统映像文件(如system32\drivers\ntoskrnl.exe)中的导出函数来实现。 5. **更新SSDT**:将找到的正确服务函数地址替换到...
Windows 8的用户模式Shim Engine小探及利用
dengliang7440的博客
03-29 884
转载:https://bbs.pediy.com/thread-175483.htmWindows Shim Engine,即Windows 兼容性模式实现引擎,在exe文件的属性对话框中有一个兼容性选项卡,用户可设置此exe程序完美工作的系统版本,Windows会尝试模拟老的系统环境运行此程序。那Windows是如何模拟的呢?Windows认为老程序出问题的原因在于它们调用的API上,...
windows xp sp3 系统ntdll.dll所有导出的API函数列大全(整理在此,方便查阅,学习)
热门推荐
关注互联网安全的小虾米一枚
03-13 1万+
NTDLL  ntdll.dll是NT操作系统重要的模块。 XP的核心dll——ntdll.dll ordinal hint RVA name 8 0 0001D5A0 CsrAllocateCaptureBuffer 9 1 0001D601 CsrAllocateMessagePointer
【原创】WINDOWS 64位SSDT定位思路
lziog的专栏
12-06 6021
在32位Windows中我们有很多定位SSDT的方法,最直接的就是利用导出符号来找到SSDT。再有就是通过在nt!KeAddSystemServiceTable函数中进行反汇编搜索。可是在64位WINDOWS中这两种方法都行不通。在64位Windows中不在导出SSDT了,同时nt!KeAddSystemServiceTable中也不再出SSDT了。这样要HOOK SSDT就出现了第一个问题如何找到它?我想了三种思路。
了解_idt_hook
05-11 325
#include "ntddk.h" #define WORD USHORT #define DWORD ULONG #define MAKELONG(a, b) ((LONG)(((WORD)(((DWORD_PTR)(a)) &amp; 0xffff)) \ | ((DWORD)((WORD)(((DWORD_PTR)(b)) &amp; 0xffff))) &lt;&lt; ...
如何动态定位SSDT Win10 64位 1903
被遗弃的庸才博客
10-19 1948
SSDT有了解的朋友都知道在WIN64下的KeServiceDescriptorTable是没有被导出,所以我们只能动态的查找它的地址。 网上也有很多方法定位到ssdt,其中较多的文章都是通过查找msr(c0000082)寄存器定位KiSystemCall64,然后通过搜索特诊码的方式找到KiSystemServiceRepeat,这里记录着KeServiceDescriptorTable...
魔恩:如何找CALL参数[esp/ebp+*]来源与局部变量[ebp-*]来源
10-25 2527
找这种:MOV EBX,DWORD PTR SS:[ESP+10]  的来源,要知道:[esp/ebp+8]  是CALL的第一个参数         [esp/ebp+0c] 是CALL的第二个参数         [esp/ebp+10] 是CALL的第三个参数      类推,每次都是加4,因为push 占用4字节。找法的话,通过找上一层CALL的参数,例如:[esp+8] 是上一层第一个参...
国内首部大型C++网络游戏开发教程624+课时,MINI快跑、水果忍者、DirectX技术、传奇游戏3 2014年3月
07-21 1047
国内首部大型C++网络游戏开发教程624+课时,MINI快跑、水果忍者、DirectX技术、传奇游戏3 500联系方式 见主页
Win7 64位的SSDTHOOK(1)---SSDT寻找
whatday的专栏
09-14 3264
最近在学习64位驱动,涉及到了SSDT的知识,结果发现64位下的SSDT和32位下的SSDT有所不同。 开始发现64位下的KeServiceDescriptorTable是未导出的函数。首先要找到KeServiceDescriptorTable的地址。 方法1: 读取c0000082寄存器 [cpp] view plain copy  
DKOM隐藏驱动
08-28 534
DKOM(Direct Kernel Object Manipulation)就是直接内核对象操作技术。所有的操作系统都在内存中存储记账信息,他们通常采用结构或对象的形式,由对象管理器管理。当用户空间进程请求操作系统信息例如进程、线程或设备驱动程序列时,这些对象被报告给用户。这些对象或结构位于内存中,因此可以直接对其进行修改。隐藏进程主要关注的windows关键数据结构是:进程的EPROCESS...
SSDT技术实现Ring0级进程保护组件设计
SSDT是一个数据结构,包含了操作系统内核提供的系统服务的地址。每个系统服务都有一个服务入口点,通过这个入口点,用户模式的代码能够请求内核执行特定的任务。Hooking SSDT就是修改这个,使得在调用原始服务...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值