SSDT

最新推荐文章于 2022-09-07 16:19:48 发布
最新推荐文章于 2022-09-07 16:19:48 发布
阅读量371 收藏
点赞数

SSDT Shadow Table

typedef struct _KSYSTEM_SERVICE_TABLE
{
    PULONG ServiceTableBase;                  // SSDT (System Service Dispatch Table)的基地址
    PULONG  ServiceCounterTableBase;                        // 用于 checked builds, 包含 SSDT 中每个服务被调用的次数
    ULONG   NumberOfService;                                // 服务函数的个数, NumberOfService * 4 就是整个地址表的大小
    PUCHAR   ParamTableBase;                                 // SSPT(System Service Parameter Table)的基地址
} KSYSTEM_SERVICE_TABLE, *PKSYSTEM_SERVICE_TABLE;

typedef struct _KSERVICE_TABLE_DESCRIPTOR
{
    KSYSTEM_SERVICE_TABLE   ntoskrnl;                       // ntoskrnl.exe 的服务函数
    KSYSTEM_SERVICE_TABLE   win32k;                         // win32k.sys 的服务函数(GDI32.dll/User32.dll 的内核支持)
    KSYSTEM_SERVICE_TABLE   notUsed1;
    KSYSTEM_SERVICE_TABLE   notUsed2;
}KSERVICE_TABLE_DESCRIPTOR, *PKSERVICE_TABLE_DESCRIPTOR;

extern PKSERVICE_TABLE_DESCRIPTOR KeServiceDescriptorTable;
PKSERVICE_TABLE_DESCRIPTOR KeServiceDescriptorTableShadow;


PLIST_ENTRY FindPsActiveProcessHead() //这个应该有更好的方法
{   
    PEPROCESS process;
    PLIST_ENTRY PsActiveProcessHead=NULL;
    PLIST_ENTRY pList=NULL;
    NTSTATUS status=PsLookupProcessByProcessId((HANDLE)4,&process);//4-->system
    if (!NT_SUCCESS(status))
    {
        KdPrint(("获取process失败\n"));
        return NULL;
    }
    //xp _EPROCESS +0x088 ActiveProcessLinks : _LIST_ENTRY
    pList=(PLIST_ENTRY)((PUCHAR)process+0x88);
    PsActiveProcessHead=pList->Blink;
    //KdPrint(("PsActiveProcessHead地址=%x\n",pList->Blink));

    return PsActiveProcessHead;
} 

ULONG FindProcess(PSTRING Name) //可以通过跟3环通信 
{
    PLIST_ENTRY pHead=NULL,pTemp=NULL;
    ULONG pPor=0;
    STRING porName;
    pHead=FindPsActiveProcessHead();
    pTemp=pHead->Flink;
    while(pTemp!=pHead)
    {
        pPor=(ULONG)pTemp-0x88;
        RtlInitAnsiString(&porName,(PCSZ)(pPor+0x174));
        if(0==RtlCompareString(Name,&porName,0))
        {
            return pPor;
        }
        pTemp=pTemp->Flink;
    }

    KdPrint(("没有找到进程\r\n"));
    return 0;
}
void HookNtUserFindWindowEx()
{
    ULONG exlorerEproc;
    PKAPC_STATE ApcState;
    STRING str;
    PULONG pNtFind=NULL;
    KeServiceDescriptorTableShadow=(PKSERVICE_TABLE_DESCRIPTOR)((ULONG)KeServiceDescriptorTable-0x40);
    RtlInitAnsiString(&str,"explorer.exe"); //必须要附加到窗体程序才会有具体的shadow table
    exlorerEproc=FindProcess(&str);

    KeStackAttachProcess((PEPROCESS)exlorerEproc, ApcState);
    //PageProtectOff(); 要关闭页面保护才能修改SSDT
    KeServiceDescriptorTableShadow->win32k.ServiceTableBase[0x17a]=(ULONG)m_NtUserFindWindowEx;
    //PageProtectOn();
}
qq_31694351
关注
专栏目录
SSDT 安装文件
01-05
SSDT,全称为SQL Server Data Tools,是微软推出的一款强大的数据库开发工具,它为Visual Studio提供了一整套用于设计、开发、测试和部署SQL Server数据库的解决方案。在本主题中,我们将深入探讨SSDT与Visual ...
SSDT查看和恢复工具
07-01
SSDT查看和恢复,SSDT查看和恢复,SSDT查看和恢复,SSDT查看和恢复
初探SSDT
hongduilanjun的博客
03-17 2414
SSDT 的全称是 System Services Descriptor Table,系统服务描述符表。这个表就是一个把 Ring3 的 Win32 API 和 Ring0 的内核 API 联系起来。SSDT 并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。通过修改此表的函数地址可以对常用 Windows 函数及 API 进行 Hook,从而实现对一些关心的系统动作进行过滤、监控的目的。一些 HIPS、防毒软件、系统监控、注册表监控软件往往会采用此接.
SSDT】SSDT hook技术
dr0op's blog
09-07 2166
通过修改此表的函数地址可以对常用Windows函数及API进行Hook,从而实现对一些关心的系统动作进行过滤、监控等目的。在NT4.0 以上的Windpws 操作系统中,默认存在两个系统服务描述表,两个调度表对应两类不同的系统服务。要Hook SSDT表,首选需要这个表是可写的,但是在XP之后的系统都是只读的,有三种方式修改内存保护机制。其中第1位叫做保护属性位,控制着页的读或写属性。如果为0,则只能读/执行。SSDT,IDT(中断描述符表)的页属性在默认情况下只读,可执行,但不能写。例如进程保护(驱动)
驱动保护:挂接SSDT内核钩子(1)
weixin_30790841的博客
09-20 489
SSDT 中文名称为系统服务描述符表,该表的作用是将Ring3应用层与Ring0内核层,两者的API函数连接起来,起到承上启下的作用,SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基址、服务函数个数等,SSDT 通过修改此表的函数地址可以对常用 Windows 函数进行内核级的Hook,从而实现对一些核心的系统动作进行过滤、监控的目的,接下来将演...
城里城外看SSDT
马说@CSDN
07-05 6143
原文链接:http://www.titilima.cn/?action=show&id=201点这里下载本文的配套代码引子2006年,中国互联网上的斗争硝烟弥漫。这时的战场上,先前颇为流行的窗口挂钩、API挂钩、进程注入等技术已然成为昨日黄花,大有逐渐淡出之势;取而代之的,则是更狠毒、更为赤裸裸的词汇:驱动、隐藏进程、Rootkit……前不久,我不经意翻出自己2005年9月写下
驱动开发笔记3—SSDT表详解
qq_42814021的博客
10-09 3231
SSDT表 SSDT的全称是"System Services Descriptor Table",即系统服务描述表,在内核中的实际名称是KeServiceDescriptorTable,这个表由ntoskrnl.exe导出(在x64里不导出)。 SSDT用于处理应用层通过Kernel32.dll下发的各个API操作请求。ntdll.dll中的API是一个简单的包装函数,当Kernel32.dll中的API通过Ntdll.dll时,会先完成对参数的检查,再调用一个中断(int 2Eh 或者 SysEnter指
SSDTHook_ssdt_SSDTHook_
10-01
SSDT(System Service Descriptor Table)是Windows内核中一个至关重要的数据结构,它是一个表,包含了操作系统提供的系统服务入口点。这些服务涵盖了进程管理、内存管理、设备驱动交互等核心功能。SSDT Hooking是一...
SSDT.rar_ssdt
09-23
标题中的"SSDT.rar_ssdt"表明这是一个与系统服务描述符表(System Service Descriptor Table, SSDT)相关的压缩包文件,特别关注于SSDT在Visual Basic环境下的操作。描述指出,这个工具或教程可能用于枚举系统服务...
ssdt.rar_ssdt
09-21
SSDT(System Service Descriptor Table)是Windows操作系统中的一个重要概念,它是系统服务调用表的缩写,用于在用户模式和内核模式之间提供服务接口。SSDT是Windows内核的一个核心组成部分,它存储了所有系统服务...
SSDT.zip_ssdt
09-23
SSDT,全称为Serial Scan Data Transfer,是一种在电子设备中广泛使用的数据传输技术,尤其在集成电路测试、半导体设备以及通信系统等领域。它的工作原理是将并行数据转换为串行形式进行传输,然后在接收端再恢复为...
ssdt-demo:SSDT-SQL Server数据工具演示
03-07
ssdt-demo
关于SSDT的详解.pdf
11-10
详细介绍了ssdt的原理,剖析了windows系统特权级别的切换。有助于windows内核的学习
SSDTTime:SSDTDSDT热补丁尝试
04-29
SSDT时间 一个简单的工具,旨在简化创建SSDT的过程。 支持macOS,Linux和Windows 支持的SSDT: 固态硬盘操作系统感知的假EC SSDT-插头在CPU0 / PR00上设置plugin-type = 1 SSDT-HPET 修补IRQ冲突 此外,在Linux和Windows上,该工具可用于转储系统DSDT。 指示: Linux: 从终端窗口或通过正常运行文件,使用任何最新版本的Python启动SSDTTime.py。 苹果系统: 从终端窗口或双击文件启动SSDTTime.command。 视窗: 从终端窗口或双击文件启动SSDTTime.bat。 学分: 编写使用的脚本和库 脚本的一些小改进 修复者/英特尔-IASL
ssdt与shadowssdt区别
xuemao1230的专栏
02-28 725
(ring3)            (NtOpenProcess)      ssdt层                  实现OpenProcess->ntdll!ZwOpenProcess->ntos!ZwOpenProcess->ntos!NtOpenProcess(内核中有2套函数 ,zw,nt,nt才是真正的执行函数,zw只是一个过渡函数,可用ida察看ntoskrn...
驱动还原:恢复SSDT内核钩子(2)
weixin_30790841的博客
09-21 1111
SSDT 中文名称为系统服务描述符表,该表的作用是将Ring3应用层与Ring0内核层,两者的API函数连接起来,起到承上启下的作用,SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基址、服务函数个数等,SSDT 通过修改此表的函数地址可以对常用 Windows 函数进行内核级的Hook,从而实现对一些核心的系统动作进行过滤、监控的目的。 通过前面...
SSDT详解
02-23 1089
节选自《Undocumented Windows 2000 Secrets》: SSDT — System Services Descriptor Table ,系统服务描述符表(是一个整体的概念),共有四个表。(明确说是四个SST (System Server Table,系统服务表)类型的数组): typedef NTSTATUS (NTAPI*NTPROC)();typede
VS2017离线版的SSDT安装包(包括SSIS)
weixin_30756499的博客
01-26 3104
VS2017离线版的SSDT安装包(包括SSIS) 装好SQL2016和VS2017后发现没有创建SSIS项目的接口,原来VS2017里是没有包含SSDT的安装包的。 下面是我整理好的包含中英文的VS2017离线版的SSDT安装包((安装启动vs_setup.exe,总大小2.08G) 链接:https://pan.baidu.com/s/1SmQjqbqcE7mUZDMZUH9LBg 提...
[科普]SSDT/SSSDT那些事
zhuhuibeishadiao
05-09 3762
哇,看到很多人找SSDT/SSSDT名称很蛋疼,读ntdll啊什么的,最后index还很乱,github上也有相关的工具,关键字是syscall,也是用ntdll的方式.. 这里科普下吧 以win10为例 x86下 找到ssdt表很简单,ida打开找到后交叉下 会找到KiInitSystem INIT:00998E8E A3 48 93 64 00
delphi ssdt
最新发布
12-14
Delphi SSDT(System Service Dispatch Table)是指Delphi编程语言中的一种技术,用于修改或者通过HOOK方式来拦截Windows操作系统的系统服务。系统服务是操作系统提供给应用程序调用的功能模块,常见的系统服务包括...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值