获取SSDT函数索引号

最新推荐文章于 2021-10-09 22:39:02 发布
最新推荐文章于 2021-10-09 22:39:02 发布
阅读量1k 收藏 5
点赞数 1
分类专栏: 驱动入门 windows 程序设计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41071646/article/details/86487402
版权

这里还是看windows黑客编程技术详解 学的 

其实 里面很多东西 自己以前都会  主要 的是不知道索引号 放在了哪里 

看了这本书 才发现  索引号      如果大家对PE不理解  可以去补一下 PE  现在回头来看看 还是比较简单的

至于索引号  这里可以 说一下 

以下代码均是 windows黑客编程技术详解 一书自带的代码

#ifdef _WIN64
			ulFunctionIndex = *(ULONG *)((PUCHAR)lpFuncAddr + 4);
#else
			ulFunctionIndex = *(ULONG *)((PUCHAR)lpFuncAddr + 1);

之所以 这样搞  是因为

win32:

mov eax,SSDT函数索引号(4字节)

win64:

mov r10,ecx

mov eax,ssdt函数索引号(4字节)

然后 步骤的话 其实也是很简单

先初始化InitalizeObjectAttributes 宏初始化文件对象  内核文件路径前面需要加上\\?\\  然后 用ZwOpenFile 打开映射的文件

然后调用ZwCreateSection 然后 再用ZwMapVIewOfSection 就行了 记得当时写壳的时候也用到了   看来知识是需要预习的了 

都忘得差不多了

	UNICODE_STRING ustrDllFileName;
	RtlInitUnicodeString(&ustrDllFileName, L"\\??\\C:\\Windows\\System32\\ntdll.dll");
	ULONG ulSSDTFunctionIndex = GetSSDTFunctionIndex(ustrDllFileName, "ZwOpenProcess");

然后 

ULONG GetSSDTFunctionIndex(UNICODE_STRING ustrDllFileName, PCHAR pszFunctionName)
{
	ULONG ulFunctionIndex = 0;
	NTSTATUS status = STATUS_SUCCESS;
	HANDLE hFile = NULL;
	HANDLE hSection = NULL;
	PVOID pBaseAddress = NULL;
	
	// 内存映射文件
	status = DllFileMap(ustrDllFileName, &hFile, &hSection, &pBaseAddress);
	if (!NT_SUCCESS(status))
	{
		KdPrint(("DllFileMap Error!\n"));
		return ulFunctionIndex;
	}

	// 根据导出表获取导出函数地址, 从而获取 SSDT 函数索引号
	ulFunctionIndex = GetIndexFromExportTable(pBaseAddress, pszFunctionName);
	
	// 释放
	ZwUnmapViewOfSection(NtCurrentProcess(), pBaseAddress);
	ZwClose(hSection);
	ZwClose(hFile);

	return ulFunctionIndex;
}

在这里 可以看得出来 

NTSTATUS DllFileMap(UNICODE_STRING ustrDllFileName, HANDLE *phFile, HANDLE *phSection, PVOID *ppBaseAddress)
{
	NTSTATUS status = STATUS_SUCCESS;
	HANDLE hFile = NULL;
	HANDLE hSection = NULL;
	OBJECT_ATTRIBUTES objectAttributes = { 0 };
	IO_STATUS_BLOCK iosb = { 0 };
	PVOID pBaseAddress = NULL;
	SIZE_T viewSize = 0;
	// 打开 DLL 文件, 并获取文件句柄
	InitializeObjectAttributes(&objectAttributes, &ustrDllFileName, OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE, NULL, NULL);
	status = ZwOpenFile(&hFile, GENERIC_READ, &objectAttributes, &iosb,
		FILE_SHARE_READ, FILE_SYNCHRONOUS_IO_NONALERT);
	if (!NT_SUCCESS(status))
	{
		KdPrint(("ZwOpenFile Error! [error code: 0x%X]", status));
		return status;
	}
	// 创建一个节对象, 以 PE 结构中的 SectionALignment 大小对齐映射文件
	status = ZwCreateSection(&hSection, SECTION_MAP_READ | SECTION_MAP_WRITE, NULL, 0, PAGE_READWRITE, 0x1000000, hFile);
	if (!NT_SUCCESS(status))
	{
		ZwClose(hFile);
		KdPrint(("ZwCreateSection Error! [error code: 0x%X]", status));
		return status;
	}
	// 映射到内存
	status = ZwMapViewOfSection(hSection, NtCurrentProcess(), &pBaseAddress, 0, 1024, 0, &viewSize, ViewShare, MEM_TOP_DOWN, PAGE_READWRITE);
	if (!NT_SUCCESS(status))
	{
		ZwClose(hSection);
		ZwClose(hFile);
		KdPrint(("ZwMapViewOfSection Error! [error code: 0x%X]", status));
		return status;
	}

	// 返回数据
	*phFile = hFile;
	*phSection = hSection;
	*ppBaseAddress = pBaseAddress;

	return status;
}

DllFileMap 是 申请一段内存并映射 

然后 下面就是寻找PE就可以了

// 根据导出表获取导出函数地址, 从而获取 SSDT 函数索引号
ULONG GetIndexFromExportTable(PVOID pBaseAddress, PCHAR pszFunctionName)
{
	ULONG ulFunctionIndex = 0;
	// Dos Header
	PIMAGE_DOS_HEADER pDosHeader = (PIMAGE_DOS_HEADER)pBaseAddress;
	// NT Header
	PIMAGE_NT_HEADERS pNtHeaders = (PIMAGE_NT_HEADERS)((PUCHAR)pDosHeader + pDosHeader->e_lfanew);
	// Export Table
	PIMAGE_EXPORT_DIRECTORY pExportTable = (PIMAGE_EXPORT_DIRECTORY)((PUCHAR)pDosHeader + pNtHeaders->OptionalHeader.DataDirectory[0].VirtualAddress);
	// 有名称的导出函数个数
	ULONG ulNumberOfNames = pExportTable->NumberOfNames;
	// 导出函数名称地址表
	PULONG lpNameArray = (PULONG)((PUCHAR)pDosHeader + pExportTable->AddressOfNames);
	PCHAR lpName = NULL;
	// 开始遍历导出表
	for (ULONG i = 0; i < ulNumberOfNames; i++)
	{
		lpName = (PCHAR)((PUCHAR)pDosHeader + lpNameArray[i]);
		// 判断是否查找的函数
		if (0 == _strnicmp(pszFunctionName, lpName, strlen(pszFunctionName)))
		{
			// 获取导出函数地址
			USHORT uHint = *(USHORT *)((PUCHAR)pDosHeader + pExportTable->AddressOfNameOrdinals + 2 * i);
			ULONG ulFuncAddr = *(PULONG)((PUCHAR)pDosHeader + pExportTable->AddressOfFunctions + 4 * uHint);
			PVOID lpFuncAddr = (PVOID)((PUCHAR)pDosHeader + ulFuncAddr);
			// 获取 SSDT 函数 Index
#ifdef _WIN64
			ulFunctionIndex = *(ULONG *)((PUCHAR)lpFuncAddr + 4);
#else
			ulFunctionIndex = *(ULONG *)((PUCHAR)lpFuncAddr + 1);
#endif
			break;
		}
	}

	return ulFunctionIndex;
}

上图就是效果图 

代表了  SSDT ZwOpenProcess 的索引值是 35

pipixia233333
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何获取ssdt函数索引
weixin_41766049的博客
08-05 245
cuckoo源码分析 MapNtdllIntoMemory()主要作用在内存中加载一份ntdll.dll,然后获取导出目录表地址。 PVOID MapNtdllIntoMemory() { NTSTATUS status; HANDLE hSection; OBJECT_ATTRIBUTES objAttr; UNICODE_STRING pathFile; USHORT NumberOfSections; SECTION_IMAGE_INFORMATION sii = {0}; PVOID
获取函数
wangzhantao的专栏
07-15 114
      函数的名称       var getFnName = function(callee){ //将函数中的空格全都去掉 var _callee = callee.toString().replace(/[\s\?]*/g,""); comb = _callee.length &gt;= 50 ? 50 :_callee.length; alert( _ca...
ssdt函数索引_【NT】一行代码获取SSDT服务索引
weixin_34304538的博客
12-29 231
注:本文是以32位的windows7为实例.今天在研究SSDT的过程中看到了一个大神写的教程,其中还附了一些代码,代码主要讲解的是SSDT hook过程,我在他的代码中没有看到任何有关服务函数索引,我发现他的SSDT服务仅仅使用了一个宏定义来完成的,于是就小小的研究了一下,遂写下此文以记之.在说明这行代码之前先在温习一下SSDT服务索引是如何获取到的:在上移篇文章中,我已经简单的介绍了SS...
驱动开发笔记3—SSDT表详解
qq_42814021的博客
10-09 3216
SSDT表 SSDT的全称是"System Services Descriptor Table",即系统服务描述表,在内核中的实际名称是KeServiceDescriptorTable,这个表由ntoskrnl.exe导出(在x64里不导出)。 SSDT用于处理应用层通过Kernel32.dll下发的各个API操作请求。ntdll.dll中的API是一个简单的包装函数,当Kernel32.dll中的API通过Ntdll.dll时,会先完成对参数的检查,再调用一个中断(int 2Eh 或者 SysEnter指
SSDT索引获取
yjz1409276的专栏
11-30 2106
SSDT索引获取 系统服务描述符表,System Service Dispatch Table,SSDT KeServiceDescriptorTable是由内核导出的表。该表拥有一个指针(其实仅有ntoskrnel一项,没有包含win32k),指向SSDT中包含由Ntoskrnl.exe实现的核心系统服务的相应部分,它是内核的主要组成部分。 typedef struct _Syst
精选_内核内存映射文件之获取SSDT函数索引_源码打包
03-11
本文将深入探讨如何在Windows内核编程中获取SSDT函数索引,并通过源码打包文件`get-ssdt-function-index`来展示具体的实现步骤和技术细节。 首先,我们需要理解SSDT的基本结构。在32位Windows系统中,SSDT是一个...
内核文件,获取原始SSDT
01-31
在实际操作中,读内核文件并获取SSDT信息涉及以下步骤: 1. 提权:由于内核文件是受保护的,所以需要提升当前进程的权限,达到管理员级别或者更高的权限。 2. 访问内核空间:使用Windows API函数,如 ...
R0层获取ShadowSSDT函数原始地址实例
11-20
本实例由VS2008开发,在提供了一套驱动开发框架的同时,又演示了如何获取Shadow SSDT表函数原始地址的办法。 主要函数:ULONG GetShadowSSDT_Function_OriAddr(ULONG index); 原理说明: 根据特征码搜索导出函数...
精选_64位系统上获取SSDT表地址以及从中获取指定SSDT函数的地址_源码打包
03-10
对于指定的SSDT函数,可以通过索引函数名称来查找对应的表项,从而得到函数的地址。这通常涉及到对内核数据结构的深入理解,包括理解如何解析SSDT表项和函数指针。 4. 源码打包: 压缩包中的"ssdt-function-64...
挂钩SSDT系统服务描述符表
06-27
1. 获取SSDT的地址:这通常需要使用内核编程技术,如读特定的全局描述符表(GDT)项。 2. 备份原始服务地址:在修改SSDT之前,需要保存原有的服务函数地址,以便在必要时恢复。 3. 替换服务地址:将SSDT中的服务...
获取Nt函数服务GetSSDTServiceID
01-06
获取Nt函数服务GetSSDTServiceID
发个获得SSDT函数名和索引的代码
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-09 1870
通过枚举ntdll.dll的导出表,先是判断是不是Nt开头的,是的话再判断第一要语句是不是mov eax,是的话再索引。 具体见源码,没有什么技术含量。 只是觉得前面有很多人写过了,但是后面可能还有很多人写,所以丢出来,供大家娱乐一下。 引用: // 使用说明例子 #include "GetSSDTInformation.h" #include  i
通过名字获得ssdt函数的序
被遗弃的庸才博客
10-28 697
假设现在我们已经能够获得ssdt表的位置,能够实现对ssdt函数地址替换,那么现在又一个问题就是找到想要hook的ssdt函数。 由于不同版本的操作系统下对应的函数调用是不同的,所以这里可以通过ntdll得到当前系统下函数的调用 具体的代码如下所示 ULONG GetIndexByName(UCHAR *sdName) { NTSTATUS Status; HANDLE Fi...
内核层获取SSDT中函数原始地址
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-09 1456
标 题: 【下载】内核层获取SSDT中函数原始地址 作 者: QEver 时 间: 2011-08-30,20:32:28 链 接: http://bbs.pediy.com/showthread.php?t=139524 昨天在看雪看到《【下载】发个获得SSDT函数名和索引的代码》,一时兴起整理了一份内核层根据ntdll.dll和nt模块文件来获取SSDT函数原始的地址的代码,可以
获取SSDT,SSSDT原始函数地址
zhuhuibeishadiao
05-02 4529
SSDT 当前函数地址 = KiSeviceTable + *(KiServiceTalbe + index * 4); TableRVA = KiSeviceTable - 内核真实加载地址 ; ImageBase = 0x140000000;(理想加载地址) ImageKiSeviceTable = ImageBase + TableRVA; LoadDLLBase = LoadLi
ssdt函数索引_BUG:SSDT函数获取SSDT函数
weixin_30200131的博客
12-28 141
ULONG GetFunctionId(char* FunctionName)/*++Routine Description:[已删除,请勿再提任何无理要求。]Arguments:FunctionName - 导出的函数名.Return Value:函数的服务的地址.--*/{NTSTATUS ntstatus;HANDLE hFile = NULL;HANDLE hSection = NULL...
5.API的调用过程(SSDT)
My classmates
10-18 940
SSDT的全称是System Services Descriptor Table,系统服务描述符表 他是在ntoskrnl.exe中导出的函数 kd&amp;amp;amp;amp;amp;gt; dd KeServiceDescriptorTable (SSDT) 导出的声明一下就可以使用了 kd&amp;amp;amp;amp;amp;gt; dd KeServiceDescriptorTableShadow (SSDT Shadow) 未导出需要用其他的方式来查找 k.
获得SSDT表函数
cqyczj的专栏
04-18 1743
代码:  ULONG GetSSDTName() {  KdBreakPoint();  if (KeGetCurrentIrql() > PASSIVE_LEVEL)  {   return STATUS_UNSUCCESSFUL;  }  //设置NTDLL路径  UNICODE_STRING uniFileName;  RtlInitUnicodeString(&uniFileName, 
delphi ssdt
最新发布
12-14
Delphi SSDT(System Service Dispatch Table)是指Delphi编程语言中的一种技术,用于修改或者通过HOOK方式来拦截Windows操作系统的系统服务。系统服务是操作系统提供给应用程序调用的功能模块,常见的系统服务包括文件操作、网络通信、进程管理等。SSDT可以对这些系统服务进行原地修改,比如替换其中的函数指针,从而达到修改系统行为的目的。 通过修改SSDT表项,我们可以实现一些有趣的功能,比如: 1. Hook函数:可以通过修改SSDT表项来替换系统服务的函数指针,从而替换系统函数的行为。这样可以实现一些功能,比如对特定系统调用进行监控、过滤或重定向。 2. 隐藏进程:通过修改SSDT表项,可以修改系统的进程管理函数,从而实现对进程的隐藏和保护。这对于一些恶意软件的防治非常有用。 3. 反病毒技术:一些激进的反病毒软件会通过修改SSDT来实现对病毒行为的防治,比如对恶意软件的行为监控和拦截。 然而,在实际应用中,修改SSDT可能会对系统造成一些潜在的问题,比如系统稳定性、安全性等。因此,在使用SSDT技术时,必须小心谨慎,遵循一些原则和规范,确保对系统的影响最小化。 总之,Delphi SSDT是一项强大的技术,可以实现一些有趣和实用的功能,但同时也需要谨慎使用,尽量避免对系统造成不必要的影响。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值