遍历 SSDT ShadowSSDT 编号和函数名

已于 2023-03-01 14:08:53 修改
阅读量394 收藏 2
点赞数
分类专栏: 操作系统 文章标签: windows 系统安全 c语言 c++
于 2023-02-26 22:38:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_23389971/article/details/129233003
版权
该代码示例展示了如何在Windows10和11系统中遍历系统服务描述表(SSDT)和ShadowSSDT,通过读取PE文件的导出表获取函数名和编号,特别是查找特定地址的函数。
摘要由CSDN通过智能技术生成
遍历 SSDT ShadowSSDT 编号和函数名

通过遍历导出表获取函数名和编号

  • win10x64,win11测试可通用
    #include <windows.h>
	#include <stdio.h>
	#include <ImageHlp.h>
	
	#pragma comment(lib,"ImageHlp.lib")
	
	typedef struct {
		ULONG num;
		PULONG64 addr;
		PCHAR name;
	}SSDT;
	
	SSDT* ssdt = 0;
	
	PVOID PeGetExport(PVOID ImageBase)
	{
		ULONG size = 0;
		return ImageDirectoryEntryToData(ImageBase, FALSE, IMAGE_DIRECTORY_ENTRY_EXPORT, &size);
	}
	
	VOID PeGetServiceTable(PCHAR dllname, PCHAR dllpath)
	{
		PLOADED_IMAGE image = ImageLoad(dllname, dllpath);
		PVOID ImageBase = image->MappedAddress;
		IMAGE_EXPORT_DIRECTORY* pExport = PeGetExport(image->MappedAddress);
		PIMAGE_NT_HEADERS pNtHeader = ImageNtHeader(ImageBase);
	
		PULONG offsetFunc = ImageRvaToVa(pNtHeader, ImageBase, pExport->AddressOfFunctions, NULL);
		PULONG offsetName = ImageRvaToVa(pNtHeader, ImageBase, pExport->AddressOfNames, NULL);
		PSHORT offsetOrd = ImageRvaToVa(pNtHeader, ImageBase, pExport->AddressOfNameOrdinals, NULL);
	
		for (DWORD index = 0; index < pExport->NumberOfNames; index++)
		{
			PCHAR name = ImageRvaToVa(pNtHeader, ImageBase, offsetName[index], NULL);
			PULONG addr = ImageRvaToVa(pNtHeader, ImageBase, offsetFunc[offsetOrd[index]], NULL);
	
			if (addr && *addr == 0xB8D18B4C)
			{
				ULONG num = *(addr + 1);
				ssdt[num].num = num;
				ssdt[num].addr = (PULONG64)addr;
				ssdt[num].name = name;
			}
		}
	}
	
	int main()
	{
		ssdt = calloc(0x2000, sizeof(SSDT));
	
		PeGetServiceTable("ntdll.dll", "C:\\Windows\\System32\\");
		PeGetServiceTable("win32u.dll", "C:\\Windows\\System32\\");
	
		for (size_t i = 0; i < 0x2000; i++)
		{
			if (ssdt && ssdt[i].name)
			{
				printf("%04X,%I64X,%s\n", ssdt[i].num, (ULONG64)ssdt[i].addr, ssdt[i].name);
			}
		}
		free(ssdt);
		return 0;
	}

在这里插入图片描述
在这里插入图片描述

小烟囱
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Win64 驱动内核编程-22.SHADOW SSDT HOOK(宋孖健)
天使也掉毛
03-26 4781
SHADOWSSDTHOOK HOOK和UNHOOKSHADOWSSDT跟之前的HOOK/UNHOOKSSDT类似,区别是查找SSSDT的特征码,以及根据索引计算函数地址的公式,还有一个就是吧跳转函数写在什么位置,SSDT的时候是写在蓝屏函数里了。 一、获得wKeServiceDescriptorTableShadow的地址 这个跟获得KeServi...
普及X64 ssdtshadow inline HOOK
落笔飞花笑百生的博客
09-22 3058
序: 我只想说~~再不发帖老大就 不搭理我了~~~ 原因:玩保护玩到了 XINGCODE3 就他的各种检测就让我不得不重视这个问题了:o: 各种窗口 各种X 我的工具 让我忍无可忍,就决定先HOOK了在说其他 最开始我用TA 的代码里面的 HOOK 方法 在 挂钩 NT 内核中的函数算是无往不利 在SHADOWSSDT中就蛋疼菊花紧了~~ 于是 开始自己搞:mad::mad:
R0层获取ShadowSSDT函数原始地址实例
11-20
本实例由VS2008开发,在提供了一套驱动开发框架的同时,又演示了如何获取Shadow SSDT表函数原始地址的办法。 主要函数:ULONG GetShadowSSDT_Function_OriAddr(ULONG index); 原理说明: 根据特征码搜索导出函数KeAddSystemServiceTable来获取Shadow SSDT基址,以及通过ZwQuerySystemInformation()函数获取win32k.sys基址,然后解析PE定位到Shadow SSDT在win32k.sys的偏移地址,并通过进一步计算来得到Shadow SSDT表函数的原始地址。 这里只测试了三个函数:(460)NtUserMessageCall、(475)NtUserPostMessage和(502)NtUserSendInput,具体使用时可以举一反三,网上完整的源代码实例并不太多,希望可以帮到真正有需要的朋友。 系统环境: 在WinXP SP3系统 + 瑞星杀毒软件 打印输出: [ LemonInfo : Loading Shadow SSDT Original Address Driver... ] [ LemonInfo : 创建“设备”值为:0 ] [ LemonInfo : 创建“设备”成功... ] [ LemonInfo : 创建“符号链接”状态值为:0 ] [ LemonInfo : 创建“符号链接”成功... ] [ LemonInfo : 驱动加载成功... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP 开始... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP Enter IRP_MJ_DEVICE_CONTROL... ] [ LemonInfo : 获取ShadowSSDT表 (460)NtUserMessageCall 函数的“当前地址”为:0xB83ECFC4,“起源地址”为:0xBF80EE6B ] [ LemonInfo : 获取ShadowSSDT表 (475)NtUserPostMessage 函数的“当前地址”为:0xB83ECFA3,“起源地址”为:0xBF8089B4 ] [ LemonInfo : 获取ShadowSSDT表 (502)NtUserSendInput 函数的“当前地址”为:0xBF8C31E7,“起源地址”为:0xBF8C31E7 ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP_MJ_DEVICE_CONTROL 成功执行... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP 结束... ] [ LemonInfo : UnLoading Shadow SSDT Original Address Driver... ] [ LemonInfo : 删除“符号链接”成功... ] [ LemonInfo : 删除“设备”成功... ] [ LemonInfo : 驱动卸载成功... ]
5.ring0-SSDT-SSTDSHADOW原理分析、遍历随手代码
hgy413的专栏
07-25 3334
SSDT 的全称是 System Services Descriptor Table,系统服务描述符表 这个表就是一个把 Ring3 的 Win32 API 和 Ring0 的内核 API 联系起来。Ring3下调用的所有函数最终都会先进入到ntdll里面的 typedef struct _KSERVICE_TABLE_DESCRIPTOR { PULONG_PTR ServiceTab
SSDT表的遍历
Fly20141201. 的专栏
11-13 2457
//VS2005创建的工程,系统xp sp2 //++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ //stdafx.h文件 #ifndef _WIN32_WINNT // Allow use of features specific to Windows XP or
【原创】shadow ssdt学习笔记(一)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
08-14 1054
标 题: 【原创】shadow ssdt学习笔记(一) 作 者: zhuwg 时 间: 2007-12-22,22:01:29 链 接: http://bbs.pediy.com/showthread.php?t=56955 1。取得shadow ssdt真实地址 系统只提供了KeServiceDescriptorTable导出 KeServiceDescriptorTableSh
x64 ssdt shadowssdt inlinkhook
04-07
标题中的“x64 ssdt shadowssdt inlinkhook”涉及到的是Windows系统内核级的钩子技术,尤其是针对x64架构下的System Service Dispatch Table (SSDT)和Shadow SSDT的内联钩子(In-Process Hook)实现。SSDT是Windows...
高版本WindowsSSDT函数获取例子完整工程
10-23
Windows10 高版本中 ,因为页表隔离补丁(?),__readmsr(0xC0000082) 返回KiSystemCall64Shadow,这玩意无法直接搜索到 KeServiceDescriptorTable,以前获取SystemServiceDescriptorTable的方法失效。
SSDT表概念及遍历
06-25
它可能包含了如何在用户模式下安全地访问和遍历SSDT的代码,这通常涉及到一些底层的编程技术,如使用WinAPI的NtQuerySystemInformation函数获取系统信息,或者通过硬件断点来避免被内核检测。 在文档"SSDT表概念....
驱动SSDT未导出函数NtReadVirtualMemory.rtf
08-05
windows10获取SSDT未导出函数NtReadVirtualMemory详细步骤和代码,其他未导出函数同理
Win64 驱动内核编程-18.SSDT
天使也掉毛
03-19 2212
SSDT  学习资料:http://blog.csdn.net/zfdyq0/article/details/26515019  学习资料:WIN64内核编程基础 胡文亮      SSDT(系统服务描述表),刚开始接触什么进程保护XXX啥的,都是看到在说SSDT(虽然说目前很多杀软都已经采用稳定简单的回调姿势了)。这次就弄清楚两个问题:     如何在内核里动态获得 SSDT 的基址;
32位/64位WINDOWS驱动之 遍历+HOOK_SSDT_NtOpenProcess函数_w7_w10通用系统版本
a756598009的博客
01-21 1015
KIRQL WPOFF()//关闭写保护//ULONG_PTR 这个类型在x86上是32位 x64就是64位#else#endif_disable();//关闭中断//关闭写保护位VOID WPON(KIRQL irql)//打开写保护//恢复写保护位_enable();//恢复中断/*aria v1.0*在易编程学院发布。*版权所有 2023*许可证:ybc-cn*修改时间:2024年1月21日17:42:26(中国标准时间)
驱动开发:Win10内核枚举SSDT表基址
CSDN
10-19 9478
三年前面朝黄土背朝天的我,写了一篇如何在`Windows 7`系统下枚举内核`SSDT`表的文章`《驱动开发:内核读取SSDT表基址》`三年过去了微软的`Windows 10`系统已经覆盖了大多数个人PC终端,以前的方法也该进行迭代更新了,或许在网上你能够找到类似的文章,但我可以百分百肯定都不能用,今天`LyShark`将带大家一起分析`Win10 x64`最新系统`SSDT`表的枚举实现。
SSDT表的遍历(源码)
liujiayu2的专栏
06-08 1397
//VS2005创建的工程,系统xp sp2      //++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++      //stdafx.h文件   #ifndef _WIN32_WINNT        // Allow use of features speci
遍历 shadowssdt表 函数地址
05-23 1921
#include &lt;ntifs.h&gt; #include &lt;ntimage.h&gt; //#include "ntddk.h" //SSDT结构体 typedef struct _SERVICE_DESCRIPTOR_TABLE { PULONG ServiceTable; PULONG CounterTable; ULONG TableSize; ...
Vista下的Shadow SSDT服务函数
Tommy(凌飞)的专栏
11-22 1615
"NtGdiAbortDoc", "NtGdiAbortPath", "NtGdiAddFontResourceW", "NtGdiAddRemoteFontToDC", "NtGdiAddFontMemResourceEx", "NtGdiRemoveMergeFont", "NtGdiAddRemoteMMInstanceToDC", "NtGdiAlp
win10 64位SSDT函数索引动态查找
weixin_34410662的博客
03-22 743
在win10 64位下SSDT是不导出的。同时如果你要hook某个函数时你要知道他的索引,以前都是调试或者网上找然后硬编码进去。这里动态找。原理是上层调用的所有函数都经过ntdll 然后进入0环,进入0时ntdll模块里面很定有索引啊,因此去ntdll找到对应函数的代码,就能找到对应的索引。第1步先把ntdll 读入内存。查看内存开始动态查找 进入GetFunctionAddress先找到ssdt...
遍历WIN7 64位SSDT表
qq_41490873的博客
08-26 998
在64位系统里面,KeServiceDescriptorTable并未导出。 可以通过函数KiSystemCall64来找到服务表的地址,而KiSystemCall64也是未导出的。 找到KiSystemCall64函数的方法是读取kd> rdmsr c0000082 msr寄存器的值 。这样就可以找到服务表地址了 typedef struct _KSYSTEM_SERVICE_TABLE { PLONG ServiceTableBase;
获取SSDT函数索引号
qq_41071646的博客
01-15 1012
这里还是看windows黑客编程技术详解 学的  其实 里面很多东西 自己以前都会  主要 的是不知道索引号 放在了哪里  看了这本书 才发现  索引号      如果大家对PE不理解  可以去补一下 PE  现在回头来看看 还是比较简单的 至于索引号  这里可以 说一下  以下代码均是 windows黑客编程技术详解 一书自带的代码 #ifdef _WIN64 ulFuncti...
shadowSSDT
最新发布
06-07
ShadowSSDT是Windows系统中的一...使用ShadowSSDT,开发者和诊断人员可以查看到每个API函数的详细调用链路,包括参数值、返回值等信息,这对于调试驱动程序错误、分析系统性能瓶颈或者研究Windows内核机制非常有帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小烟囱

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值