读取SSDT当前函数地址

最新推荐文章于 2021-08-05 07:59:14 发布
最新推荐文章于 2021-08-05 07:59:14 发布
阅读量763 收藏
点赞数
分类专栏: 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/usernameee/article/details/8926693
版权 
#include "ntddk.h"
VOID DriverUnload(PDRIVER_OBJECT driver)
{   
	DbgPrint("卸载成功\n\r");
}
typedef struct _ServiceDescriptorTable {
	PVOID ServiceTableBase;
	PVOID ServiceCounterTable;
	unsigned int NumberOfServices;
	PVOID ParamTableBase; 
}*PServiceDescriptorTable; 
extern PServiceDescriptorTable KeServiceDescriptorTable;

NTSTATUS DriverEntry(PDRIVER_OBJECT driver,PUNICODE_STRING str)
{

LONG *SSDT_Adr,STB_addr,SSDT_NtOpenProcess_dangqian_Addr;

	__asm
	{
		int 3
	}
DbgPrint("加载成功\n");
STB_addr=(LONG)KeServiceDescriptorTable->ServiceTableBase;
DbgPrint("当前服务表基址ServiceTableBase地址为%x \n",STB_addr);
SSDT_Adr=(PLONG)(STB_addr+0x7A*4);
DbgPrint("当前STB_addr+0x7A*4=%x \n",SSDT_Adr);
SSDT_NtOpenProcess_dangqian_Addr=*SSDT_Adr;
DbgPrint("当前SSDT_NtOpenProcess_Cur_Addr地址为%x\n",SSDT_NtOpenProcess_dangqian_Addr);
driver->DriverUnload=DriverUnload;
return STATUS_SUCCESS;
}


00name
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
获取SSDT,SSSDT原始函数地址
zhuhuibeishadiao
05-02 4528
SSDT 当前函数地址 = KiSeviceTable + *(KiServiceTalbe + index * 4); TableRVA = KiSeviceTable - 内核真实加载地址 ; ImageBase = 0x140000000;(理想加载地址) ImageKiSeviceTable = ImageBase + TableRVA; LoadDLLBase = LoadLi
读出SSDT表当前函数地址
crkres9527
09-16 624
        A、引用KeServiceDescriptorTable表         B、通过ServiceTableBase+偏移读出当前函数地址         C、用windbg测试读取的值 系统服务描述符表 在ntoskrnl.exe导出KeServiceDescriptorTable 这个表 typedef struct _ServiceDescriptorTable { ...
【转】读取SSDT表和原函数地址
weixin_34326429的博客
11-29 164
读取当前地址代码(NtOpenProcess): LONG *SSDT_Adr,t_addr,adr; t_addr=(LONG)KeServiceDescriptorTable->ServiceTableBase; SSDT_Adr=(PLONG)(t_addr+0x7a*4); adr=*SSDT_Adr; 读取起源地址(NtOpenProcess): UNICODE_STRING ...
Shadow SSDT服务函数原始地址
12-01
4. **获取Shadow SSDT的指针**:一旦找到Shadow SSDT的位置,我们就可以读取其内容,获取服务函数的原始地址。 5. **验证原始地址**:为了确保我们获取的是正确的地址,可以通过比较SSDT和Shadow SSDT中的同一服务...
驱动级的隐藏进程代码,在驱动层通过替换ssdt地址表中的函数来隐藏进程...
06-26
4. **替换函数**: 使用自定义的函数替换SSDT中的目标函数地址。这个自定义函数会处理进程查询请求,过滤掉要隐藏的进程信息。 5. **处理中断请求**: 当有系统服务请求时,自定义函数会处理这些请求,确保隐藏进程不...
精选_64位系统上获取SSDT表地址以及从中获取指定SSDT函数地址_源码打包
03-10
3. 查找SSDT函数地址: 一旦获得SSDT表的基址,就可以遍历这个表,每一个表项都包含指向系统服务函数的指针。对于指定的SSDT函数,可以通过索引或函数名称来查找对应的表项,从而得到函数地址。这通常涉及到对...
精选_32位系统上获取SSDT表地址以及从中获取指定SSDT函数地址_源码打包
03-10
标题中的“精选_32位系统上获取SSDT表地址以及从中获取指定SSDT函数地址_源码打包”指的是一个专门针对32位操作系统的技术主题,涉及到系统内部的System Service Dispatch Table(SSDT)机制,以及如何通过编程...
易语言获取SSDT源地址源码.zip
12-30
3. **处理指针和内存读取**:在Windows编程中,SSDT是一个动态数据结构,其地址可能会改变。因此,你可能需要遍历内存,找到SSDT的基地址。这涉及到了内存操作和指针的使用。 4. **安全性和权限**:获取SSDT源地址...
用symbol来获得ShadowSSDT的原始地址函数
weixin_34005042的博客
08-14 325
在网上看了下,获得ShadowSSDT的函数名和原始地址的方法和文章不是很多。比较简单的应该算是设计张函数名表和用symbol的方法。 个人觉得用symbol来获得ShadowSSDT还是比较方便的,而且自己也不用去创建一张表,何乐而不为。^_^ 这办法简单的原因是我只需要一个win32.sys,win32.pdb,以及调用不到10个的API就能完成工作。 ...
获得SSDT表函数
cqyczj的专栏
04-18 1742
代码:  ULONG GetSSDTName() {  KdBreakPoint();  if (KeGetCurrentIrql() > PASSIVE_LEVEL)  {   return STATUS_UNSUCCESSFUL;  }  //设置NTDLL路径  UNICODE_STRING uniFileName;  RtlInitUnicodeString(&uniFileName, 
如何获取ssdt函数索引
weixin_41766049的博客
08-05 245
cuckoo源码分析 MapNtdllIntoMemory()主要作用在内存中加载一份ntdll.dll,然后获取导出目录表地址。 PVOID MapNtdllIntoMemory() { NTSTATUS status; HANDLE hSection; OBJECT_ATTRIBUTES objAttr; UNICODE_STRING pathFile; USHORT NumberOfSections; SECTION_IMAGE_INFORMATION sii = {0}; PVOID
SSDT原始地址, 现在地址
KernelEx的专栏
08-20 1509
#include #include #include #include #include #define ibaseDD *(PDWORD)&ibaseHINSTANCE g_hInst;HWND hWinMain,hList;#define ID_LISTVIEW 104#pragma comment(lib,"comctl32")typedef ULONG NTSTATUS;#defi
枚举ssdt 地址
h1028962069的专栏
08-03 631
dd keserviceDescriptorTable 查看地址 typedef struct _SERVICE_DESCRIPTOR_TABLE { PVOID ServiceTableBase; //基址 PULONG ServiceCounterTableBase; ULONG NumberOfService; //个数函数 ULONG ParamTableBase;//sspt
ssdt函数索引号_技术分享 - 32位系统上获取SSDT表地址以及从中获取指定SSDT函数地址...
weixin_39758953的博客
12-19 255
背景SSDT 全称为 System Services Descriptor Table,即系统服务描述符表。SSDT 表的作用就是把 ring3 的 WIN32 API 函数和 ring0 的内核 API 函数联系起来。对于ring3下的一些API,最终会对应于 ntdll.dll 里一个 Ntxxx 函数,例如 CreateFile,最终调用到 ntdll.dll 里的 NtCreateFile...
XP取SSDT表中指定索引号的函数地址
friendan的专栏
06-29 1388
SSDT.h头文件 #ifndef _SSDT_H_ #define _SSDT_H_ // NT操作系统有多张服务表,SSDT就是其中一张 // NT操作系统使用如下结构描述一张服务表 typedef struct _KSERVICE_TABLE_DESCRIPTOR { PULONG_PTR Base; // 服务表地址 PULONG Count; // 服务表中服务被调用次数
delphi ssdt
最新发布
12-14
Delphi SSDT(System Service Dispatch Table)是指Delphi编程语言中的一种技术,用于修改或者通过HOOK方式来拦截Windows操作系统的系统服务。系统服务是操作系统提供给应用程序调用的功能模块,常见的系统服务包括文件操作、网络通信、进程管理等。SSDT可以对这些系统服务进行原地修改,比如替换其中的函数指针,从而达到修改系统行为的目的。 通过修改SSDT表项,我们可以实现一些有趣的功能,比如: 1. Hook函数:可以通过修改SSDT表项来替换系统服务的函数指针,从而替换系统函数的行为。这样可以实现一些功能,比如对特定系统调用进行监控、过滤或重定向。 2. 隐藏进程:通过修改SSDT表项,可以修改系统的进程管理函数,从而实现对进程的隐藏和保护。这对于一些恶意软件的防治非常有用。 3. 反病毒技术:一些激进的反病毒软件会通过修改SSDT来实现对病毒行为的防治,比如对恶意软件的行为监控和拦截。 然而,在实际应用中,修改SSDT可能会对系统造成一些潜在的问题,比如系统稳定性、安全性等。因此,在使用SSDT技术时,必须小心谨慎,遵循一些原则和规范,确保对系统的影响最小化。 总之,Delphi SSDT是一项强大的技术,可以实现一些有趣和实用的功能,但同时也需要谨慎使用,尽量避免对系统造成不必要的影响。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值