Windows内核-系统描述符表与SSDT

最新推荐文章于 2023-01-23 19:42:29 发布
最新推荐文章于 2023-01-23 19:42:29 发布
阅读量422 收藏 1
点赞数
分类专栏: windows系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40712959/article/details/103443526
版权

以下参考自水滴教程及https://blog.csdn.net/weixin_42052102/article/details/83118255

System Services Descriptor Table

System Services Descriptor Table,即系统服务描述符表,内核中实际存在两个系统服务描述符表,一个时KeServiceDescriptorTable(由ntoskrnl.exe导出),一个是KeServieDescriptorTableShadow(没有导出)。
使用windbg查看上述两个结构
SSDT

typedef struct _ServiceDescriptorEntry {  
  unsigned int *ServiceTableBase;        //SSDT基址
  unsigned int *ServiceCounterTableBase; //SSDT中服务被调用次数的计数器
  unsigned int NumberOfServices;         //SSDT服务个数
  unsigned char *ParamTableBase;         //SSPT基址
}SSDT, *PSSDT;

SSDTshadow

typedef struct _SERVICE_DESCRIPTOR_TABLE
{
      SYSTEM_SERVICE_TABLE ntoskrnl;  // ntoskrnl.exe ( native api )
      SYSTEM_SERVICE_TABLE win32k;    // win32k.sys (gdi/user support)
      SYSTEM_SERVICE_TABLE Table3;    // not used
      SYSTEM_SERVICE_TABLE Table4;    // not used
}SYSTEM_DESCRIPTOR_TABLE,*PSYSTEM_DESCRIPTOR_TABLE,**PPSYSTEM_DESCRIPTOR_TABLE;

可以看出SSDTshadow不仅指出ntoskrnl.exe,也指除了win32k.sys;
使用windbg查看SSDTshadow如下,可以看到SSDTshadow有4项,但最后2项均为0,只有前两项,分别指向ntoskrnl.exe的SystemServiceTable和Win32k.sys的SystemServiceTable
在这里插入图片描述

SystemServiceTable在这里插入图片描述

SystemServiceTable,即系统服务表,在XP系统下有两个 SystemServiceTable,分别是Ntoskrl.exe(常用的系统服务)和Win32k.sys(与图形显示及用户界面相关的系统服务)的 SystemServiceTable, SystemServiceTable结构如下:

typedef struct _KSYSTEM_SERVICE_TABLE
{
   PULONG ServiceTableBase;		//这个指向系统服务函数地址表
   PULONG ServiceCounterTableBase;	//系统这个服务表调用了几次
   ULONG NumberOfService;			//服务函数的个数
   PULONG ParamTableBase;			//参数表 

}KSYSTEM_SERVICE_TABLE, *PKSYSTEM_SERVICE_TABLE;

ServiceTableBase: 指向系统服务函数地址表,该表存储了Ntoskrl.exe与Win32k.sys函数
ServiceCounterTableBase: 计数
NumberOfService: 指出 ServiceTableBase中函数的个数,利用系统调用号调用函数时,需要将系统调用号后12位代表的index与该项作比较,超过则越界
ParamTableBase: 每一项一个字节,指出ServiceTableBase中对应的函数的参数个数,以B为单位

hhhnoone
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows内核编程 文件监控(ssdt hook)
u013032601的博客
06-23 3694
本文主要针为进行内核编程的一些初学者提供一些错误,如有错误,希望大家能够指出。         这里先简单介绍一下概念。说到SSDT HOOK,可以从MEP技术说起,MEP(即执行路径修改)主旨就是拦截系统函数或相关处理例程,让它们转向我们自己的函数进行处理,这样就能实现过滤参数或者修改目标函数处理结果的目的。而SSDT(即 系统服务描述符表),主要是将位于Ring3的应用API函数和Ring0
挂钩SSDT系统服务描述符
06-27
1. 获取SSDT的地址:这通常需要使用内核编程技术,如读取特定的全局描述符表(GDT)项。 2. 备份原始服务地址:在修改SSDT之前,需要保存原有的服务函数地址,以便在必要时恢复。 3. 替换服务地址:将SSDT中的服务...
内核知识第12讲,SSDT表.以用户模式到系统模式的两种方式.
weixin_30287169的博客
01-25 110
           内核知识第12讲,SSDT表.以用户模式到系统模式的两种方式. 一丶IDT解析. 我们知道.IDT表中存放着各种中断信息.比如当我们调用int 3的时候,则会调用IDT表中的第三项来进行调用.而函数地址则是操作系统给的. 因为中断是CPU和操作系统通信的一种方式. 查看IDTR (IDT表)第三项. IDT首地址给出了,其中表项是7ff 我们每一项是...
Windows内核新手上路1——挂钩SSDT
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
08-15 753
Windows内核新手上路1——挂钩SSDT          这个系列记录学习我学习windows内核的点点滴滴,高手请直接无视。          文章核心内容:挂钩SSDT中函数列NtOpenProcess,NtDuplicateObject,NtCreateThread,NtOpenThread,NtWriteVirtualMemory,过滤进程操作来保护目标进程空间。   SSD
windows ssdt
最新发布
不会写代码的丝丽
01-23 824
我们ring 3跳转ring0另一种方式使用命令。相比起jmp,int xx方式相比速度更快,因为sysenter指令大量的使用了MSR寄存器 存储跳转地址等。MSR寄存器相关读/写命令其中xxx是msr寄存器的编号比如174h等为方便记忆我们约定了一些编号的名字上面上个寄存器就是sysenter指令会涉及的msr寄存器。
关于SSDT
weixin_34356138的博客
09-22 123
百度上比较好的解释是:SSDT的全称是System Services Descriptor Table,系统服务描述符表。这个表就是一个把ring3的Win32 API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。         说白了,SSDT就是把系统两个不同级别的函数给关联起来,因为为了安...
SSDT.rar_SSDT win7_ssdt_windows kernel
09-24
1. **系统调用与中断描述符表(IDT)**:系统调用是用户模式进程与内核交互的主要方式。当发生系统调用时,处理器会触发一个中断,通过中断描述符表(IDT)找到对应的处理程序,即SSDT中的服务。 2. **SSDT结构**:...
SSDT挂钩_基于Windows内核的RootKit技术样本
11-27
SSDT挂钩技术利用了Windows内核提供的系统服务描述符表(SSDT),这是一种公开暴露且已经较为成熟的技术。SSDT是Windows内核的一部分,用于存储指向各个系统服务的函数指针。当用户态的应用程序通过Win32 API调用...
Windows内核安全与驱动开发光盘源码
07-11
1.3.5 设置Windows内核符号表 12 1.3.6 实战调试first 13 第2章 内核编程环境及其特殊性 16 2.1 内核编程的环境 16 2.1.1 隔离的应用程序 16 2.1.2 共享的内核空间 17 2.1.3 无处不在的内核模块 18 2.2 数据...
高版本WindowsSSDT函数获取例子完整工程
10-23
Windows10 高版本中 ,因为页表隔离补丁(?),__readmsr(0xC0000082) 返回KiSystemCall64Shadow,这玩意无法直接搜索到 KeServiceDescriptorTable,以前获取SystemServiceDescriptorTable的方法失效。
windows环境提取DSDT/SSDT/ROM工具,AIDA64.zip
07-08
windows环境提取DSDT/SSDT/ROM工具,1.提取DSDT 打开aida64.exe——工具——ACPI浏览器——Save DSDT——选择保存位置保存,把保存好的acpi_dsdt.bin命名为DSDT.aml。 2.提取SSDT 打开aida64.exe——工具——ACPI浏览器——Save Table——前面是SSDT开头的都要保存。保存时候文件名为SSDT.aml/SSDT-1.aml/SSDT-2.aml/SSDT-3.aml/一次类推,保存类型为ALL files(*.*)。 3.显卡rom提取 打开aida64.exe——查看——状态栏——右键状态栏——Video Debug——Video BISO Debug——文件名称随意.rom就可以。保存类型为ALL files(*.*)
SSDT查看和恢复工具
07-01
SSDT查看和恢复,SSDT查看和恢复,SSDT查看和恢复,SSDT查看和恢复
SSDT恢复工具
05-19
SSDT恢复工具
描述符
o330820350的专栏
03-26 980
各种各样的用户描述符系统描述符,都放在对应的全局描述符表、局部描述符表和中断描述符表中。 描述符表(即段表)定义了386系统的所有段的情况。所有的描述符表本身都占据一个 字节为8的倍数的存储器空间,空间大小在8个字节(至少含一个描述符)到64K字节(至多含8K)个描述符之间。 1. 全局描述符表(GDT) 全局描述符表GDT(Global Descriptor Table),除了任务门,中
关于windows内核SSDT HOOK的一点思考
tiaotiaolong99234的博客
07-02 851
关于windows内核SSDT HOOK的一点思考                                                                                                 ----------------TTL     关于windows内核,一直是众多OS黑客所喜欢又不敢触及的地方,确实,内核的知识实在是隐晦,又生涩难懂
html5 调用 硬件 驱动,Windows系统调用中的系统服务表描述符(SSDT)
weixin_33369252的博客
06-04 523
Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.htmlWindows系统调用中的系统服务表描述符(SSDT)在前面,我们将解过 系统服务表。可是,我们有个疑问,系统服务表存储在哪里呢?答案就是:系统服务表 存储在 系统服务描述符表中。(其又称为 SSDT Service Descriptor Table)一、使用PELo...
win10驱动开发20——SSDT
qq_41610493的博客
12-18 799
什么是SSDT        SSDT全称为System Services Descriptor Table,中文为系统服务描述符表,SSDT表就是把ring3的Win32 API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。        SSDT通过修改此表的函数地址可以对常用windo
Windows系统调用学习笔记(四)—— 系统服务表&SSDT
qq_41988448的博客
11-11 2852
Windows系统调用学习笔记(四)—— 系统服务表前言要点回顾系统服务表实验:分析 KiSystemService 与 KiFastCallEntry 共同代码 前言 一、学习自滴水编程达人中级班课程,官网:https://bcdaren.com 二、海东老师牛逼! 要点回顾 API进入0环后调用的函数: 中断门 – KiSystemService 快速调用 – KiFastCallEnt...
Windows内核解析:DOS文件名与系统结构
文章中的术语如“描述符”和“Entry”分别指代结构体和表项,而“SSDT”代表基本系统服务表,是Windows内核中调用系统服务的重要机制。 这篇文档提供了深入理解Windows内核、文件系统内核编程的宝贵资源,对于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值