MmGetSystemRoutineAddress函数获取内存地址

最新推荐文章于 2022-11-01 01:08:09 发布
最新推荐文章于 2022-11-01 01:08:09 发布
阅读量2.2k 收藏 1
点赞数
分类专栏: 驱动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cmdasm/article/details/10261517
版权 
#include "ntddk.h"


ULONG GetCidAddr()
{

	PUCHAR addr;
	PUCHAR p;
	UNICODE_STRING pslookup;  
	ULONG cid;

	RtlInitUnicodeString (&pslookup, L"PsLookupProcessByProcessId");  
	//RtlInitUnicodeString (&pslookup, L"PsLookupProcessThreadbyCid");  
	addr = (PUCHAR) MmGetSystemRoutineAddress(&pslookup);//MmGetSystemRoutineAddress可以通过函数名获得函数地址
	KdPrint(("PsLookupProcessByProcessId addr=0x%x\r\n", addr));
	RtlInitUnicodeString (&pslookup, L"NtOpenProcess");
	addr = (PUCHAR) MmGetSystemRoutineAddress(&pslookup);//MmGetSystemRoutineAddress可以通过函数名获得函数地址
	KdPrint(("NtOpenProcess addr=0x%x\r\n", addr));
	for (p=addr;p<addr+PAGE_SIZE;p++)
	{
		if((*(PUSHORT)p==0x35ff)&&(*(p+6)==0xe8))
		{
			cid=*(PULONG)(p+2);
			return cid;
			//break;
		}
	}
	return 0;
}

VOID Uload(PDRIVER_OBJECT obj)
{
	KdPrint(("驱动被卸载咯\n"));
}


NTSTATUS DriverEntry( 
			IN PDRIVER_OBJECT  DriverObject, 
			IN PUNICODE_STRING  RegistryPath 
			)
{
	DriverObject->DriverUnload = Uload;
	GetCidAddr();
    

}

郁闷的坦然
关注
专栏目录
内核特征码搜索 获取未导出函数
zhuhuibeishadiao
06-19 3800
无聊写了下 有Bug 注意下就好啦~ #include "GetUndocumentFunctionAdress.h" #pragma warning(disable : 4047) PVOID GetCallPoint(PVOID pCallPoint) { ULONG dwOffset = 0; ULONG_PTR returnAddress = 0; LARGE
SSDT获取原始服务地址的方法与原理(灯灯灯灯,我肥来了..)
GaA.Ra的自留地 in Csdn
11-18 7409
好吧,我胡汉三肥来了..(确实肥了- -),几个月没发什么文章.其实.我也只是一个新丁~欢迎大家交流,高手勿喷,谢谢合作^_^     对于SSDT,不知道的同学请自己百度,判断出SSDT被HOOK之后,如何恢复成原始服务地址?主要方法有两个,简单来说,一个Ring0,一个Ring3的方法(可能分类不够准确),我今天除了介绍方法之外,主要还是讲讲里面的原理吧,原理神马的才是最吸引人的对吧.
MmGetSystemRoutineAddress函数
record
05-14 1624
PVOID    MmGetSystemRoutineAddress(     IN PUNICODE_STRING  SystemRoutineName      );  获取内核导出函数的地址 SystemRoutineName 为一个UNICODE字符串 如: RtlInitUnicodeString(&Old_NtOpenProcess,L"NtOpenProce
从Keil的map file中快速找出内存地址对应的函数
03-03
简单实用的一个小工具: 从Keil的map file中快速找出内存地址对应的函数名,快速定位出问题的函数,加速debug的进程。
MmGetSystemRoutineAddress
DOTM的专栏
10-30 1804
MmGetSystemRoutineAddress这个函数也是比较有用的,是得到系统导出函数的地址,不过网上都是写了一堆汇编代码在哪里,根本没有可读性,还不如用IDA看呢。 下面的函数是摘自ReactOS项目的代码: [cpp] view plaincopy PVOID   NTAPI   MmGetSystemRoutineAddre
MmGetSystemRoutineAddress routine
死胖子的博客
02-05 1343
MmGetSystemRoutineAddress routine MmGetSystemRoutineAddress 返回一个参数SystemRoutineName指定的函数指针。returns a pointer to a function specified by SystemRoutineName. Syntax   PVOID MmGetSystemRoutineAddress(
函数获取函数地址 MmGetSystemRoutineAddress
08-04 4024
#include&lt;ntifs.h&gt; VOID DriverUnLoad(PDRIVER_OBJECT pDriverObject) { DbgPrint("驱动已卸载..."); } NTSTATUS DriverEntry(IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRING pRegPath) { NTSTATUS ...
MmGetSystemRoutineAddress 函数源码
创造神话,实现梦想!
02-12 2742
MmGetSystemRoutineAddress 函数源码 作者:阿国哥   发布于2007-3-29 20:34(星期四) 以下代码反编译自XP+SP2内核文件ntoskrnl.exe(5.1.2600.3051)的MmGetSystemRoutineAddress函数 函数功能:用来获取内核导出函数的地址,与用户态的GetProcessAddress函数雷同功能
恶意样本分析手册——API函数
zzkk_的博客
09-04 1394
文件类、网络类、注册表与服务类、进程线程类、注入类、驱动类、加密与解密、消息传递等各种类别恶意样本分析。 文件类 kernel32!CreateFile 功能:这是一个多功能的函数,可打开或创建以下对象,并返回可访问的句柄:控制台,通信资源,目录(只读打开),磁盘驱动器,文件,邮槽,管道 函数原型: HANDLE WINAPI CreateFile( _In_ LP
驱动开发:内核层InlineHook挂钩函数
「 虚幻私塾」
11-01 195
代理函数地址写出到原始函数上,此时如果有API被调用则默认会转向到我们自己的函数上面执行,恢复原理则是将提前保存好的前15个原始字节写回则恢复原函数的调用。所以一旦被挂钩其整个应用层都将会受到影响,这就直接决定了在内核层挂钩的效果是应用层无法比拟的,对于安全从业者来说学会使用内核挂钩也是很重要。引擎实现计算反汇编指令长度,本章将在此基础之上实现内联函数挂钩,内核中的。观察,会发现挂钩后原函数已经被替换掉了,而被替换的地址就是我们自己的。并跳转到我们自己的函数上来做处理,唯一的不同的是内核。
Win 32API速查
Snake_74的博客
06-30 2124
文章目录Win32API用户篇内核篇参数表WinExecVirtualAllocExCreateProcessAdjustTokenPrivilegesNtQueryInformationProcessRtlCompressBufferRtlDecompressBufferCryptAcquireContextCryptGetHashParamCreateServiceCryptDeriveKey...
MmGetSystemRoutineAddress和MiFindExportedRoutineByName函数的实现代码
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
12-24 1386
MmGetSystemRoutineAddress这个函数也是比较有用的,是得到系统导出函数的地址,不过网上都是写了一堆汇编代码在哪里,根本没有可读性,还不如用IDA看呢。 下面的函数是摘自ReactOS项目的代码: [cpp] view plaincopy     PVOID         NTAPI         MmGetSystem
关于未导出函数与导出但是未文档化的函数
huobengle
11-10 312
未公开的函数(导出未文档化)是已经导出了,但是不能直接使用。 使用方法: 1。在驱动层使用MmGetSystemRoutineAddress函数名去获取函数的地址 2。在应用层使用Loadlibrary和GetProcessAddress(事先当然要先定义好原型) 未导出函数的使用比较麻烦,一般要先获取那个函数所在模块的基地址,然后再通过特征码去得到函数地址。或者在某个函数内部进行特征码...
如何根据地址获取函数
小小小小的专栏
08-31 681
https://blog.csdn.net/Chasing_Chasing/article/details/96750109?utm_medium=distribute.pc_relevant.none-task-blog-2%7Edefault%7EBlogCommendFromMachineLearnPai2%7Edefault-3.control&depth_1-utm_source=distribute.pc_relevant.none-task-blog-2%7Edefault%7EBlo
c程序如何根据地址获取函数名(addr2line
赵凯月的博客
01-16 3268
38.1 前言 之前有做过一个通过截取内核信号,获取程序出错所在函数位置信息(如段错误),然后进行栈回溯的功能(之前的blog有写),那个虽然成功了,但仍有一些不合人意的地方。就是手动回溯结果显示的只是函数地址,如果要看是哪个函数,那还要用objdump或addrline工具用地址找到是哪个函数,比较麻烦。最近折腾了两天时间,终于搞定了根据地址自动获取函数名称的功能。 不管gdb还readelf或addrline工具,可以简单轻松的敲一下命令就可以把函数名及地址整齐地打印展现出来,那么它们是怎么实现的呢??
zz: 设备读写 之 直接方式(Direct I/O)MmGetMdlByteCount/MmGetMdlByteOffset/MmGetMdlVirtualAddress
jtujtujtu的专栏
12-31 2554
最近一直在看WDM的驱动,在memory方面有一些不是很清楚,譬如 MDL 的具体结构、使用方法等等。 在网络上搜刮一番,了解了MDL的具体使用,主要是MmGetMdlByteOffset这个宏的意义。之前一直认为这个值应该是0。事实并非如此,这个值是一个相对于page start addrss的offset,也就是说Va转为Pa时,并没有从page start address开始,而是从其中的
驱动开发:如何枚举所有SSDT表地址
CSDN
10-14 8838
中已经教大家如何寻找SSDT表基地址了,找到后我们可根据序号获取到该SSDT的地址,如果需要输出所有SSDT表信息,则可以定义字符串列表,以此循环调用。函数依次获取,SSDT列表我已经提取出来了,该办法虽然笨但也是可以正常使用的。
《Windows内核安全与驱动编程》-第十一章文件系统的过滤与监控-day3
WocW的博客
05-08 406
文件系统的过滤与监控 11.3 设备的绑定前期工作 11.3.1 动态地选择绑定函数 ​ sfilter 有一个有趣的地方是,使用了动态加载的方法来使用内核函数。只有高版本的Windows系统上才有IoAttachDeviceToDeviceStackSafe 这个函数。如果我们直接使用这个函数,那么在低版本的Windows系统上就会直接加载失败。因此,使用动态加载此类函数的好处就是,即使在低版本的Windows上也能成功加载。 ​ 在动态加载该函数时,如果失败则会使指针为NULL,而此时即使为NULL,我
驱动代码中获取NtFlushKey函数地址
最新发布
06-03
在 Windows 内核模式下,我们可以使用 Zw 拦截函数获取 NtFlushKey 函数的地址。Zw 拦截函数是 Windows 内核中的一种机制,它可以拦截用户态进程调用的系统调用,并将其转换为内核态下的函数调用。因此,我们可以通过 Zw 拦截函数获取 NtFlushKey 函数的地址。 以下是一个示例代码,用于在 Windows 内核模式下获取 NtFlushKey 函数的地址: ```cpp #include <ntddk.h> // 定义 NtFlushKey 函数原型 typedef NTSTATUS (__stdcall* PFN_NTFLUSHKEY)(HANDLE); // 定义全局变量保存 NtFlushKey 函数地址 PFN_NTFLUSHKEY g_NtFlushKey = NULL; // Zw 拦截函数,用于获取 NtFlushKey 函数地址 NTSTATUS MyZwFlushKey(HANDLE KeyHandle) { // 获取 NtFlushKey 函数地址 if (g_NtFlushKey == NULL) { UNICODE_STRING functionName; RtlInitUnicodeString(&functionName, L"NtFlushKey"); g_NtFlushKey = (PFN_NTFLUSHKEY)MmGetSystemRoutineAddress(&functionName); if (g_NtFlushKey == NULL) { DbgPrint("Failed to get address of NtFlushKey\n"); return STATUS_UNSUCCESSFUL; } DbgPrint("Address of NtFlushKey: %p\n", g_NtFlushKey); } // 调用 NtFlushKey 函数 return g_NtFlushKey(KeyHandle); } // 驱动入口函数 NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath) { // 注册 ZwFlushKey 拦截函数 UNICODE_STRING functionName; RtlInitUnicodeString(&functionName, L"ZwFlushKey"); DriverObject->MajorFunction[IRP_MJ_CREATE] = NULL; DriverObject->MajorFunction[IRP_MJ_CLOSE] = NULL; DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = NULL; DriverObject->MajorFunction[IRP_MJ_SYSTEM_CONTROL] = NULL; DriverObject->DriverUnload = NULL; DriverObject->MajorFunction[IRP_MJ_CREATE] = NULL; DriverObject->MajorFunction[IRP_MJ_CLOSE] = NULL; DriverObject->MajorFunction[IRP_MJ_CLEANUP] = NULL; DriverObject->MajorFunction[IRP_MJ_SHUTDOWN] = NULL; DriverObject->MajorFunction[IRP_MJ_PNP] = NULL; DriverObject->MajorFunction[IRP_MJ_POWER] = NULL; DriverObject->MajorFunction[IRP_MJ_DEVICE_CONTROL] = MyZwFlushKey; IoCreateDevice(DriverObject, 0, NULL, FILE_DEVICE_UNKNOWN, 0, FALSE, NULL); IoCreateSymbolicLink(RtlInitUnicodeString(&functionName, L"\\??\\MyZwFlushKey"), RtlInitUnicodeString(&functionName, L"\\Device\\MyZwFlushKey")); return STATUS_SUCCESS; } ``` 上面的代码定义了 MyZwFlushKey 函数作为 ZwFlushKey 的拦截函数,在第一次调用该函数获取 NtFlushKey 函数的地址,并保存到全局变量 g_NtFlushKey 中。在后面的调用中,直接使用 g_NtFlushKey 函数指针调用 NtFlushKey 函数。注意,在驱动入口函数中,我们需要将 ZwFlushKey 拦截函数注册到 IRP_MJ_DEVICE_CONTROL 处理函数中,以便驱动程序能够接收到系统调用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值