win10驱动开发20——SSDT

最新推荐文章于 2022-10-19 10:48:11 发布
最新推荐文章于 2022-10-19 10:48:11 发布
阅读量795 收藏 2
点赞数
文章标签: 驱动开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41610493/article/details/122008811
版权

什么是SSDT

       SSDT全称为System Services Descriptor Table,中文为系统服务描述符表,SSDT表就是把ring3的Win32 API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。
       SSDT通过修改此表的函数地址可以对常用windows函数进行hook,从而实现对一些核心的系统动作进行过滤、监控的目的。一些HIPS、防毒软件、系统监控、注册表监控软件往往会采用此接口来实现自己的监控模块。

  • SSDT结构
typedef struct ServiceDescriptorTable {
   PVOID ServiceTableBase; //System Service Dispatch Table 的基地址
   PVOID ServiceCounterTable(0);
   //包含着 SSDT 中每个服务被调用次数的计数器。这个计数器一般由sysenter 更新。
   unsigned int NumberOfServices;//由 ServiceTableBase 描述的服务的数目。
   PVOID ParamTableBase; //包含每个系统服务参数字节数表的基地址-系统服务参数表
   }

由SSDT索引号获取当前函数地址

符号描述
dd KeServiceDescriptorTable查看起始地址
dd poi KeServiceDescriptorTable查看当前地址
dd poi [KeServiceDescriptorTable] 0*4 l 1显示第0行第1列
dd poi [KeServiceDescriptorTable] 0n17*4 l 1显示第17行第1列(0n表示十进制)

如何获取索引号

指令描述
u ZwOpenprocess查看汇编指令

在这里插入图片描述

获取起源地址-判断SSDT是否被HOOK

MmGetSystemRoutineAddress

华阙之梦
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Win64 驱动内核编程-19.HOOK-SSDT
天使也掉毛
03-19 4848
HOOK SSDT     在 WIN64 上 HOOK SSDT 和 UNHOOK SSDT 在原理上跟 WIN32 没什么不同,甚至说 HOOK 和 UNHOOK 在本质上也没有不同,都是在指定的地址上填写一串数字而已 (填写代理函数的地址时叫做 HOOK,填写原始函数的地址时叫做 UNHOOK)。不过实现起来还是很大不同的。 一 、 HOOK SSDT     要挂钩 SSDT,必然
SSDT HOOK
qq_45844442的博客
06-22 197
1.首先通过MmCreateSection、MmMapViewInSystemSpace将ntdll加载到内存中,然后进行导出表搜索找到目标函数的服务号。2.然后通过内核导出的变量KeServiceDescriptorTable进而找到SSDT表。3.最后通过在SSDT表修改目标函数地址为自定义地址即可。
从ntoskrnl文件中直接查找ssdt各个参数
10-14 1133
 bool LoadNtosFile(PWCHAR szNtosFullPath, PVOID *FileBase, ULONG *FileSize){    NTSTATUS st;    /************************************************************************/    /* 读取文件镜像                 
SSDT】SSDT hook技术
dr0op's blog
09-07 2163
通过修改此表的函数地址可以对常用Windows函数及API进行Hook,从而实现对一些关心的系统动作进行过滤、监控等目的。在NT4.0 以上的Windpws 操作系统中,默认存在两个系统服务描述表,两个调度表对应两类不同的系统服务。要Hook SSDT表,首选需要这个表是可写的,但是在XP之后的系统都是只读的,有三种方式修改内存保护机制。其中第1位叫做保护属性位,控制着页的读或写属性。如果为0,则只能读/执行。SSDT,IDT(中断描述符表)的页属性在默认情况下只读,可执行,但不能写。例如进程保护(驱动
src_过pg_过windowspg_64位SSDThook实现方法_过PG_
09-30
WINDOWS 过PG后可修改SSDT,实现SSDT hook,采用二次挑战方式实现
SSDT网络安全资料配置驱动开发环境
02-08
简单来说,当应用程序调用Win32 API时,操作系统会通过SSDT找到相应的内核级服务函数,进行实际的操作。 SSDT Hook技术是一种安全和逆向工程领域的常见手段,主要目的是监控或控制系统调用的行为。通过修改SSDT中的...
驱动SSDT未导出函数NtReadVirtualMemory.rtf
08-05
windows10获取SSDT未导出函数NtReadVirtualMemory详细步骤和代码,其他未导出函数同理
SSDT.rar_hook 驱动_ssdt_ssdt hook
09-22
SSDT.rar_hook 驱动是针对系统服务描述表(System Service Dispatch Table, SSDT)进行操作的一个技术,主要用于在Windows操作系统中实现钩子(hook)功能。SSDT是操作系统核心与用户模式应用程序之间交互的重要桥梁...
WIN64驱动编程基础教程
12-06
|-学习WIN64驱动开发的硬件准备 |-配置驱动开发环境 ------------------------------ 1.驱动级HelloWorld |-配置驱动测试环境 |-编译和加载内核HelloWorld ------------------------------ 2.内核编程基础 |-WIN64...
驱动级的隐藏进程代码,在驱动层通过替换ssdt地址表中的函数来隐藏进程...
06-26
本篇将详细解释这种技术,并着重讨论如何在驱动层通过替换System Service Dispatch Table (SSDT)中的函数来实现进程隐藏。 驱动级编程是操作系统核心的一部分,允许程序在内核模式下运行,享有更高级别的权限。这种...
易语言源码易语言恢复SSDT驱动源码.rar
03-31
本资源“易语言源码易语言恢复SSDT驱动源码.rar”包含易语言编写的相关代码,用于恢复系统服务调度表(System Service Dispatch Table,简称SSDT)驱动SSDT是Windows操作系统中的一个重要组成部分,它是一个表格...
win7 64位 ssdthook
11-21
通过hook内核中ssdt表中的ntopenprocess函数,标号为35,可通过遍历ssdt表查找得知,可实现进程保护。 适用系统:win7 64,需关闭驱动签名保护 编程工具:vs2012+wdk8.0
易语言恢复SSDT驱动
07-21
易语言恢复SSDT驱动源码,恢复SSDT驱动,DriverEntry,驱动通信,DispatchCreateClose,驱动卸载,创建符号链接及设备,Get_KeServiceDescriptorTable_Address,ReadIntByAddr,读内存,写内存,取变量地址,DbgPrint,...
SSDT.rar_SSDT win7_ssdt_windows kernel
09-24
这个压缩包“SSDT.rar_SSDT win7_ssdt_windows kernel”包含了深入理解SSDT及其在Windows 7内核中应用的关键资源。 SSDT是一个表格,存储了系统服务的地址,这些服务是由内核模式下的系统调用提供的。当用户模式的...
win10系统64位驱动级防止进程关闭资源
01-20
在Windows 10 64位系统中,驱动级编程是一种深入操作系统内核的技术,它允许开发者编写程序来控制和管理系统的低级别功能。驱动级防止进程关闭资源是指通过驱动程序来保护特定进程,使其不被轻易结束或篡改。这种...
驱动开发Win10内核枚举SSDT表基址
CSDN
10-19 9450
三年前面朝黄土背朝天的我,写了一篇如何在`Windows 7`系统下枚举内核`SSDT`表的文章`《驱动开发:内核读取SSDT表基址》`三年过去了微软的`Windows 10`系统已经覆盖了大多数个人PC终端,以前的方法也该进行迭代更新了,或许在网上你能够找到类似的文章,但我可以百分百肯定都不能用,今天`LyShark`将带大家一起分析`Win10 x64`最新系统`SSDT`表的枚举实现。
Win7 64位的SSDTHOOK(2)---64位SSDT hook的实现
whatday的专栏
09-14 3967
Hook之前要干掉PG:http://www.m5home.com/bbs/thread-5893-1-1.html 上篇文章知道了寻找SSDT表的方法,这篇记录一下如何实现SSDT表的Hook。 下面以Hook NtOpenProcess为例,之前我查SSDT表发现NtOpenProcess函数的标号为35,用XT等工具也能查看。 废话不多说,上代码。 [
win 64 Shadow ssdt hook
weixin_30709929的博客
10-02 418
以下参考黑客防线2012合订本 339页 //下午调代码 搞了这个一天,总是蓝屏,不断检查代码,后来发现了很怪的现象. 自己写的代码不能读取shadow ssdt的偏移内容,但是通过和调试作者的代码输出发现地址确实是一模一样的,但是自己的读不出来,而作者的能 读出来,当直接使用windbg调试时也读不出来. 后来将作者的代码完全复制过来,发现能读取了, ,但是又找不到原因, 只能等以后再...
如何动态定位SSDT表 Win10 64位 1903
被遗弃的庸才博客
10-19 1907
SSDT表有了解的朋友都知道在WIN64下的KeServiceDescriptorTable是没有被导出,所以我们只能动态的查找它的地址。 网上也有很多方法定位到ssdt表,其中较多的文章都是通过查找msr(c0000082)寄存器定位KiSystemCall64,然后通过搜索特诊码的方式找到KiSystemServiceRepeat,这里记录着KeServiceDescriptorTable...
shadowSSDT
最新发布
06-07
ShadowSSDT通过创建DLL的副本(影子DLL),可以在不影响实际运行的情况下对这些DLL的加载、调用过程进行详细的跟踪,这对于深入理解系统内部的工作原理、排查驱动程序或系统服务问题非常有用。 使用ShadowSSDT,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值