获取SSDT服务表数据

最新推荐文章于 2022-07-17 15:38:17 发布
最新推荐文章于 2022-07-17 15:38:17 发布
阅读量594 收藏
点赞数
分类专栏: windwos内核 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18942885/article/details/45311703
版权


#include <ntddk.h>


 typedef struct _KSYSTEM_SERVICE_TABLE

 {

   PULONG  ServiceTableBase;        // SSDT (System Service Dispatch Table)的基地址

    PULONG  ServiceCounterTableBase; // 包含 SSDT 中每个服务被调用的次数

    ULONG   NumberOfService;     // 服务函数的个数, NumberOfService * 4 就是整个地址表的大小

     ULONG   ParamTableBase;          // SSPT(System Service Parameter Table)的基地址

} KSYSTEM_SERVICE_TABLE, *PKSYSTEM_SERVICE_TABLE;

 

 

 typedef struct _KSERVICE_TABLE_DESCRIPTOR

{

  KSYSTEM_SERVICE_TABLE   ntoskrnl; // ntoskrnl.exe 的服务函数

  KSYSTEM_SERVICE_TABLE   win32k;   // win32k.sys 的服务函数(GDI32.dll/User32.dll 的内核支持)

KSYSTEM_SERVICE_TABLE   notUsed1;

  KSYSTEM_SERVICE_TABLE   notUsed2;

 

} KSERVICE_TABLE_DESCRIPTOR, *PKSERVICE_TABLE_DESCRIPTOR;

//导出由 ntoskrnl.exe 所导出的 SSDT

 extern "C"

 {

extern PKSERVICE_TABLE_DESCRIPTOR KeServiceDescriptorTable;

 }


void DriverUnload(PDRIVER_OBJECT lpd){





}



NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject,PUNICODE_STRING RegistryPath)

{


_asm{

cli

mov eax,cr0

and eax, not 10000h

mov cr0,eax

}


ULONG i;

for(i=0;i<KeServiceDescriptorTable->ntoskrnl.NumberOfService;i++){

KdPrint(("SSDT函数地址: %d",KeServiceDescriptorTable->ntoskrnl.ServiceTableBase[i]));


}


KdPrint(("修改内核保护成功!"));




_asm{



mov eax,cr0

or eax,10000h

mov cr0,eax

sti

}

KdPrint(("撤销内核修改!"));



DriverObject->DriverUnload=DriverUnload;

return STATUS_UNSUCCESSFUL;

}

去年用masm写过现在在用vc写一遍

qq_18942885
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
易语言获取R0级SSDT源码
10-10
易语言获取R0级SSDT源码,SSDT系统服务描述
驱动开发:Win10中如何枚举所有SSDT
CSDN
04-28 8917
SSDT通过以前的文章可以找到,找到后我们可根据序号获取到该SSDT的地址,如果需要输出所有SSDT信息,则可以定义字符串列,以此循环得到,这个列我已经提取出来了。这里提取出所有的SSDT函数名称,并循环枚举所有SSDT
ssdt函数索引号_XP取SSDT中指定索引号的函数地址
weixin_42361623的博客
02-11 120
SSDT.h头文件#ifndef _SSDT_H_#define _SSDT_H_// NT操作系统有多张服务SSDT就是其中一张// NT操作系统使用如下结构描述一张服务typedef struct _KSERVICE_TABLE_DESCRIPTOR {PULONG_PTR Base; // 服务地址PULONG Count; // 服务服务被调用次数的计数器ULONG Limit...
KiFastCallEntry逆向&_KiSystemService 逆向
weixin_45678798的博客
07-17 432
调用NTDLL下的系统服务存根函数时,会指定一个系统服务号,在内核下,会通过_KeServiceDescriptorTable查找到指定的系统服务例程。这个过程就是系统服务分发,系统服务分发主要通过SDT进行分发,系统可支持多个SDT,根据传入的系统服务号进行拆分,0-11位是号的索引,12位是的索引号。..................
x64下获取SSDT(暴力搜索方式)
IT男也疯狂
07-17 2475
typedef struct _SYSTEM_SERVICE_TABLE{     PVOID          ServiceTableBase;     PVOID          ServiceCounterTableBase;     ULONGLONG      NumberOfServices;     PVOID          ParamTableBase; } SY
SSDT的Hook原理和示例代码
06-25
SSDT(System Service Descriptor Table)是Windows操作系统中一个关键的数据结构,它包含了系统服务的入口点。在系统服务调用(System Call)时,这些入口点被用来调度到相应的服务处理函数。Hook SSDT是一种高级...
读取内核文件,获取原始SSDT
01-31
在实际操作中,读取内核文件并获取SSDT信息涉及以下步骤: 1. 提权:由于内核文件是受保护的,所以需要提升当前进程的权限,达到管理员级别或者更高的权限。 2. 访问内核空间:使用Windows API函数,如 ...
Shadow SSDT服务函数原始地址
12-01
1. **获取SSDT地址**:在用户模式下,我们无法直接访问内核数据结构,但可以通过一些API函数,如 ZwQuerySystemInformation 或 NtQuerySystemInformation,使用SYSTEM_SERVICE_TABLE_INFORMATION 类型获取SSDT的基...
SSDTHook实现进程保护
06-29
1. **获取SSDT指针**:在内核模式下,程序可以通过特定的API获取SSDT的地址。 2. **备份原始函数指针**:在hook之前,需要保存被hook的服务原函数指针,以便在需要时恢复原功能。 3. **插入钩子**:将自定义的函数...
Hook SSDT的源码 SSDT
08-28
1. **获取SSDT地址**:首先需要找到SSDT在内存中的位置,这通常需要内核编程知识,因为SSDT的地址不是固定的。 2. **备份原始函数指针**:在hook之前,需要保存被hook函数的原始入口地址,以便在需要时恢复原状。 3....
高版本Windows下SSDT函数获取例子完整工程
10-23
在Windows10 高版本中 ,因为页隔离补丁(?),__readmsr(0xC0000082) 返回KiSystemCall64Shadow,这玩意无法直接搜索到 KeServiceDescriptorTable,以前获取SystemServiceDescriptorTable的方法失效。
SSDT HOOK技术(2)——获取SSDT地址以及从中获取指定SSDT函数的地址
苞米地里捉小鸡的博客
08-19 1191
32 位系统和 64 位上,获取 SSDT 的方式并不相同,获取 SSDT 中的函数地址也不相同。 由于32位系统中SSDT是可以通过Ntoskrnl.exe导出的,所以可以直接获取SSDT地址。然而在64位系统上,SSDT不能导出,需要通过特征码寻找到KeServiceDescriptorTable的地址 1.32位获取SSDT的地址 在 32 位系统中,SSDT 是内核 Ntoskrnl.exe 导出的一张,导出符号为 KeServiceDescriptorTable,该含有一个指针指向
获得SSDT函数名
cqyczj的专栏
04-18 1739
代码:  ULONG GetSSDTName() {  KdBreakPoint();  if (KeGetCurrentIrql() > PASSIVE_LEVEL)  {   return STATUS_UNSUCCESSFUL;  }  //设置NTDLL路径  UNICODE_STRING uniFileName;  RtlInitUnicodeString(&uniFileName, 
ssdt函数索引号_技术分享 - 32位系统上获取SSDT地址以及从中获取指定SSDT函数的地址...
weixin_39525812的博客
01-30 301
背景SSDT 全称为 System Services Descriptor Table,即系统服务描述符SSDT 的作用就是把 ring3 的 WIN32 API 函数和 ring0 的内核 API 函数联系起来。对于ring3下的一些API,最终会对应于 ntdll.dll 里一个 Ntxxx 函数,例如 CreateFile,最终调用到 ntdll.dll 里的 NtCreateFile...
【转】读取SSDT和原函数地址
weixin_34326429的博客
11-29 163
读取当前地址代码(NtOpenProcess): LONG *SSDT_Adr,t_addr,adr; t_addr=(LONG)KeServiceDescriptorTable-&gt;ServiceTableBase; SSDT_Adr=(PLONG)(t_addr+0x7a*4); adr=*SSDT_Adr; 读取起源地址(NtOpenProcess): UNICODE_STRING ...
SSDT的遍历(源码)
liujiayu2的专栏
06-08 1388
//VS2005创建的工程,系统xp sp2      //++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++      //stdafx.h文件   #ifndef _WIN32_WINNT        // Allow use of features speci
获取SSDT,SSSDT原始函数地址
zhuhuibeishadiao
05-02 4525
SSDT 当前函数地址 = KiSeviceTable + *(KiServiceTalbe + index * 4); TableRVA = KiSeviceTable - 内核真实加载地址 ; ImageBase = 0x140000000;(理想加载地址) ImageKiSeviceTable = ImageBase + TableRVA; LoadDLLBase = LoadLi
SSDT获取原始服务地址的方法与原理(灯灯灯灯,我肥来了..)
GaA.Ra的自留地 in Csdn
11-18 7332
好吧,我胡汉三肥来了..(确实肥了- -),几个月没发什么文章.其实.我也只是一个新丁~欢迎大家交流,高手勿喷,谢谢合作^_^     对于SSDT,不知道的同学请自己百度,判断出SSDT被HOOK之后,如何恢复成原始服务地址?主要方法有两个,简单来说,一个Ring0,一个Ring3的方法(可能分类不够准确),我今天除了介绍方法之外,主要还是讲讲里面的原理吧,原理神马的才是最吸引人的对吧.
delphi ssdt
最新发布
12-14
1. Hook函数:可以通过修改SSDT项来替换系统服务的函数指针,从而替换系统函数的行为。这样可以实现一些功能,比如对特定系统调用进行监控、过滤或重定向。 2. 隐藏进程:通过修改SSDT项,可以修改系统的进程...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值