取得ZwWriteFile等Zw函数在SSDT中的索引号

最新推荐文章于 2024-05-23 15:04:41 发布
最新推荐文章于 2024-05-23 15:04:41 发布
阅读量845 收藏
点赞数
文章标签: hook 汇编 function c 2010
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq350625238/article/details/7039261
版权

在windbg,int3中断下输入:

kd> u nt!ZwWriteFile

windbug打印出一下ZwWriteFile反汇编信息

nt!ZwWriteFile:
80500300 b812010000      mov     eax,112h
80500305 8d542404        lea     edx,[esp+4]
80500309 9c              pushfd
8050030a 6a08            push    8
8050030c e870e10300      call    nt! KeReleaseInStackQueuedSpinLockFromDpcLevel+0x95d (8053e481)
80500311 c22400          ret     24h

80500314 b813010000      mov     eax,113h

80500319 8d542404        lea     edx,[esp+4]

其中这个pushfd是压入EFLAGS的全部信息。PUSHF(压入标志)与 PUSHFD(压入标志双字)助记符引用相同的操作码。当操作数属性为 16 时,使用 PUSHF 指令,而当操作数属性为 32 时,使用 PUSHFD 指令。某些汇编器可能在使用 PUSHF 时将操作数大小强制为 16,而在使用 PUSHFD 时将操作数大小强制为 32。其它汇编器可能会将这些助记符看作同义词 (PUSHF/PUSHFD),并使用操作数大小属性的当前设置来确定要压入堆栈的值的大小,而不管使用哪一个助记符。

可见80500300 地址是这个函数的入口地址,用dd 80500300 命令查看一下这个内存地址的值:

kd> dd 80500300 
80500300  000112b8 24548d00 086a9c04 03e170e8
80500310  0024c200 000113b8 24548d00 086a9c04
80500320  03e15ce8 0024c200 000114b8 24548d00
80500330  086a9c04 03e148e8 0018c200 000115b8
而查看80500300+1内存地址的值 

kd> dd 80500300+1
80500301  00000112 0424548d e8086a9c 0003e170
80500311  b80024c2 00000113 0424548d e8086a9c
80500321  0003e15c b80024c2 00000114 0424548d
可见80500301+1的值就是00000112 =》是我们所照的ZwWriteFile的索引号

所以我们使用ZwWriteFile 函数名,即函数入口指针 + 1,即为保存索引号的地址。之后用*取值就得到了索引号。

当我们HOOK SSDT 时,要做的很重要的事情就是要获得NtXXX函数在SSDT中的索引号,以方便替换和调用。

取得索引号会使用宏:

#define HOOK_INDEX(function2hook) *(PULONG)((PUCHAR)function2hook + 1)



qq350625238
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【驱动开发】004 文件操作
dller的博客
11-08 763
note:本文代码参考了《Windows内核安全与驱动开发》这本书 一、OBJECT_ATTRIBUTES          对象属性结构。在ntdef.h文件有该结构的定义: typedef struct _OBJECT_ATTRIBUTES { ULONG Length; HANDLE RootDirectory; PUNICODE_STRING ObjectN
ZwWriteFile routine
死胖子的博客
02-04 2905
ZwWriteFile routine The ZwWriteFile routine 往一个打开的文件里写入数据. Syntax   NTSTATUS ZwWriteFile(   _In_     HANDLE           FileHandle,   _In_opt_ HANDLE           Event,   _In_opt_ PIO_APC_ROUTINE
Window内核函数 - 文件的写操作
最新发布
wendyWJGU的博客
05-23 309
Window内核函数 - 文件的写操作
磁盘文件操作_ZwCreateFile_ZwOpenFile_ZwReadFile_ZwWriteFile_ZwSetInformationFile_ZwQueryInformationFile
01-27 3167
#include"ntddk.h" VOID xiezai1(PDRIVER_OBJECT qudongduixiang) { KdPrint(("驱动卸载 历程\n")); return; } NTSTATUS DriverEntry(PDRIVER_OBJECT qudongduixiang, PUNICODE_STRING zhucebiao1) { HANDLE wenjianju
windows内核编程-文件操作
大草的博客
12-03 1728
windows内核编程-文件操作-日志记录
windows内核源码函数文档
09-01
在Windows内核函数是实现系统功能的基本单元。这些函数涵盖了进程管理、线程调度、内存管理、设备驱动、文件系统、网络协议栈等多个关键领域。通过对这些源码函数的理解,我们可以深入了解操作系统如何协调硬件...
windows驱动写日志,有Zw和Flt,记录操作某一文件夹的进程名
12-16
在驱动程序,我们可以利用`ZwCreateFile`、`ZwWriteFile`等函数创建和写入日志文件。例如,当驱动检测到对特定文件夹的操作时,可以调用`ZwQueryInformationProcess`获取发起该操作的进程信息,包括进程ID和全路径...
Windows 内核API 函数 说明大全
07-29
这些函数使得开发者能够在驱动程序实现复杂的并发控制和任务调度。 标签"VC"可能意味着这份资料特别适用于使用Visual C++进行驱动开发的程序员。VC++提供了丰富的工具和库来调用这些内核API,并且支持调试和优化...
windows内核驱动读写文件
10-11
windows内核驱动条件下文件的创建、读、写等功能实现源码。适用于驱动调试和运行观察的日志打印输出,比Windbg和reaceview更方便。
SIG2_DefeatingNativeAPIHookers
05-30
这里,第1行的“0xED”是`ZwWriteFile`在SSDT的服务,用作索引以定位实际的服务函数。通过这种方式,内核可以通过修改SSDT的条目来实现对特定API的拦截。 #### 钩子的实现 恶意软件利用这种机制来修改SSDT...
Windows内核驱动操作文件
Geons的花园阳台
03-30 4519
本页主题:如何在windows内核驱动对文件操作,实现对文件的拷贝、粘贴、删除、查询信息等,这是很常用也是很简单的方法。 实现原理: 一、在Windows执行体,通过文件对象来代表文件,该文件对象是一种由对象管理器管理的执行体对象。例如:目录也是由文件对象代表的。 内核组件通过对象名来引用文件,即在文件的全路径前面加\DosDevices。(在Windows 2000及后续操作系统,\
五、 在驱动读写文件
autumn20080101的专栏
12-05 2059
五、 在驱动读写文件 对文件的读写操作一直是程序开发人员需要熟练掌握的内容,在ring3我们可以使用CreateFile、ReadFileWriteFile等API,在ring0同样很相似,不过函数变成了ZwCreateFileZwReadFileZwWriteFile等内核函数。 5.1 使用OBJECT_ATTRIBUTES ZwCreateFile与ring3的CreateF
Windows内核编程基础篇之文件读/写操作
知其所以然
09-02 3049
打开文件后,最重要是的操作在是对文件的读/写。读写的方法是对称的知识参数输入与输出方向不同。读取文件内容一般用ZwReadFile,写文件一般用ZwWriteFile。        先看看 ZwReadFile 结构吧: NTSTATUS ZwReadFile( _In_ HANDLE FileHandle, _In_opt_ HANDLE
采用个hook技术对writefile函数进行拦截
weixin_34254823的博客
11-03 461
DLL部分: View Code #include <windows.h>#include <ImageHlp.h>#include <TlHelp32.h>#pragma comment(lib,"ImageHlp")#pragma data_seg("Shared")HHOOK hhk = NULL;#pragma data_seg()#pragm...
win10 x64inlineHook SSDT里面的函数
吾无法无天的博客
02-13 4533
inlineHook的原理: 为了方便好理解,一些变量名和函数名在这里使用文命名,有些编译器不支持文命名,在这里要注意(我的是VS2019) hook.h: #pragma once #include<ntifs.h> #include<ntddk.h> #pragma intrinsic(__readmsr) //SSDT表 typedef str...
win10驱动开发20——SSDT
qq_41610493的博客
12-18 798
什么是SSDT        SSDT全称为System Services Descriptor Table,文为系统服务描述符表,SSDT表就是把ring3的Win32 API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。        SSDT通过修改此表的函数地址可以对常用windo
KMDF驱动ZwWriteFile写入数据到\\??\\C:返回0xC0000022,如何处理
06-02
0xC0000022 错误代码表示访问被拒绝,通常是由于权限不足或者文件被独占访问等原因导致的。要解决这个问题,可以尝试以下几个步骤: 1. 确保驱动程序拥有足够的权限来访问目标文件。如果驱动程序没有足够的权限,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值