ssdt函数索引号_一个获取系统服务索引号的小工具

最新推荐文章于 2021-08-13 03:50:29 发布
最新推荐文章于 2021-08-13 03:50:29 发布
阅读量149 收藏
点赞数
文章标签: ssdt函数索引号
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_28872105/article/details/114000647
版权
这篇博客介绍了如何使用VC进行编译,并通过示例代码展示了获取NTDLL库中函数地址的过程,包括使用GetModuleHandle和GetProcAddress函数。博主分享了简单的代码实现,适合初学者了解系统调用和函数地址查找。
摘要由CSDN通过智能技术生成

好久没写博客了,最近想抽点时间补上之前的东西,有些东西要记录下来,以后看了会觉得很有意思。

这个小工具没有什么可以说的,直接vc编译连接就可以用了。下面附上代码:

#include "stdio.h"

#include

int main()

{

printf("请输入要获得索引号的函数的名称:\n");

CHAR apiName[256];

scanf("%s",apiName);

//获得函数地址

FARPROC pAddress1 = GetProcAddress(GetModuleHandle("ntdll"),(const char*)apiName);

printf("[%s]地址:%X \n",apiName,pAddress1);

//转换成PULONG

PULONG pAddress2 = (PULONG)pAddress1;

//kd> u ntdll!NtCreateFile

//ntdll!NtCreateFile:

//772555c8 b842000000 mov eax,42h

//772555cd ba0003fe7f mov edx,offset SharedUserData!SystemCallStub (7ffe0300)

//772555d2 ff12 call dword ptr [edx]

//772555d4 c22c00 ret 2Ch

//772555d7 90 nop

//(ULONG)pAddress2+1,b8汇编指令为一个字节所以要加1,然后重新转换地址指针

pAddress2 = (PULONG)((ULONG)pAddress2+1);

//*pAddress2表示获得此地址的内容,内容长度为4个字节

printf("[%s]在SSDT表中的索引:%X \n",apiName,*pAddress2);

system("PAUSE");

return 0;

}

其实短短几行代码,但本菜鸟觉得还是挺好用的。呵呵

0_1316934991gtmS.gif

菜鸟言论仅供娱乐。

分享到:

18e900b8666ce6f233d25ec02f95ee59.png

72dd548719f0ace4d5f9bca64e1d7715.png

2011-09-25 15:14

浏览 715

评论

知乎圈子
关注
SSDT查看和恢复工具
07-01
SSDT查看和恢复,SSDT查看和恢复,SSDT查看和恢复,SSDT查看和恢复
使用WinDbg获取SSDT 系统服务描述表的函数服务(索引)
whatday的专栏
10-10 2182
今天研究了一下午SSDT的东东,最尴尬的是起初我不知道如何获取SSDT的函数服务,而这个玩意儿在不同版本的windows是不一样的,后面经过研究还是找到了正确的方法.这里简单的分享一下. ·    先用个图温习一下Win32API的调用流程吧 这里以函数QuerySystemInformation为例子                              
ssdt函数索引_【NT】一行代码获取SSDT服务索引
weixin_34304538的博客
12-29 249
注:本文是以32位的windows7为实例.今天在研究SSDT的过程中看到了一个大神写的教程,其中还附了一些代码,代码主要讲解的是SSDT hook过程,我在他的代码中没有看到任何有关服务函数索引,我发现他的SSDT服务仅仅使用了一个宏定义来完成的,于是就小小的研究了一下,遂写下此文以记之.在说明这行代码之前先在温习一下SSDT服务索引是如何获取到的:在上移篇文章中,我已经简单的介绍了SS...
win10 64位SSDT函数索引动态查找
weixin_34410662的博客
03-22 768
在win10 64位下SSDT是不导出的。同时如果你要hook某个函数时你要知道他的索引,以前都是调试或者网上找然后硬编码进去。这里动态找。原理是上层调用的所有函数都经过ntdll 然后进入0环,进入0时ntdll模块里面很定有索引啊,因此去ntdll找到对应函数的代码,就能找到对应的索引。第1步先把ntdll 读入内存。查看内存开始动态查找 进入GetFunctionAddress先找到ssdt...
获得SSDT表函数
cqyczj的专栏
04-18 1779
代码:  ULONG GetSSDTName() {  KdBreakPoint();  if (KeGetCurrentIrql() > PASSIVE_LEVEL)  {   return STATUS_UNSUCCESSFUL;  }  //设置NTDLL路径  UNICODE_STRING uniFileName;  RtlInitUnicodeString(&uniFileName, 
精选_内核内存映射文件之获取SSDT函数索引_源码打包
03-11
3. **遍历SSDT**: SSDT是一个函数指针数组,每个元素代表一个系统服务。遍历这个数组,记录每个函数服务(即索引)。 4. **函数识别**: 对于每个函数,可以通过其地址查找对应的系统服务。这通常需要参考...
精选_32位系统获取SSDT表地址以及从中获取指定SSDT函数的地址_源码打包
03-10
每个SSDT表项通常包含一个函数指针,指向实际的服务处理代码。为了安全地执行此操作,开发者需要对Windows内核结构有深入的理解,并且遵循适当的编程实践。 在源码打包中,"ssdt-function-32bit"可能是包含了实现这...
精选_64位系统获取SSDT表地址以及从中获取指定SSDT函数的地址_源码打包
03-10
一旦获得SSDT表的基址,就可以遍历这个表,每一个表项都包含指向系统服务函数的指针。对于指定的SSDT函数,可以通过索引函数称来查找对应的表项,从而得到函数的地址。这通常涉及到对内核数据结构的深入理解,...
高版本Windows下SSDT函数获取例子完整工程
10-23
在Windows10 高版本中 ,因为页表隔离补丁(?),__readmsr(0xC0000082) 返回KiSystemCall64Shadow,这玩意无法直接搜索到 KeServiceDescriptorTable,以前获取SystemServiceDescriptorTable的方法失效。
ssdt_hook.rar_ssdt_ssdt hook_ssdt_hook_struct.h
09-21
SSDT(System Service Descriptor Table)是Windows操作系统中的一个重要概念,它是系统服务的入口点,用于在用户模式下调用内核模式的服务SSDT Hook是一种技术,通过修改SSDT表中函数指针,使得在调用原系统...
Shadow_SSDT函数调用(XP_SP2)
12-25
Hook KeServiceDescriptorShadow 用到,很有用的,xp sp2 函数调用
函数服务系统,服务函数
weixin_42297810的博客
08-13 399
1.服务端语法移动bos服务端脚本运行引擎为Rhino,基于javascript语法,运行期解释执行。jvm中的类的方法和属性均可应用于脚本中。脚本运行在EAS服务器上,提供了类似函数的功能,web前端通过ajax调用服务端脚本,可以传递参数,得到返回值。脚本运行在EAS服务器上,提供了类似函数的功能,web前端通过ajax调用服务端脚本,可以传递参数,得到返回值。2.样例1)选择服务函数页签2...
ssdt函数索引_技术分享 - 32位系统获取SSDT表地址以及从中获取指定SSDT函数的地址...
weixin_39758953的博客
12-19 297
背景SSDT 全称为 System Services Descriptor Table,即系统服务描述符表。SSDT 表的作用就是把 ring3 的 WIN32 API 函数和 ring0 的内核 API 函数联系起来。对于ring3下的一些API,最终会对应于 ntdll.dll 里一个 Ntxxx 函数,例如 CreateFile,最终调用到 ntdll.dll 里的 NtCreateFile...
ssdt函数索引_获得SSDT函数索引的代码
weixin_42298068的博客
02-22 254
代码:/*++ModuleName:Entry.cAbstract:AsamplewithListSSDT.c.--*/#include"ListSSDT.h"////functiondeclaration//DRIVER_UNLOADUnloadMe;DRIVER_INITIALIZEDriverEntry;#ifdefALLOC_PRAGMA#pragmaalloc_...
如何获取ssdt函数索引
weixin_41766049的博客
08-05 264
cuckoo源码分析 MapNtdllIntoMemory()主要作用在内存中加载一份ntdll.dll,然后获取导出目录表地址。 PVOID MapNtdllIntoMemory() { NTSTATUS status; HANDLE hSection; OBJECT_ATTRIBUTES objAttr; UNICODE_STRING pathFile; USHORT NumberOfSections; SECTION_IMAGE_INFORMATION sii = {0}; PVOID
ssdt函数索引_读出SSDT表当前函数地址
weixin_39860975的博客
12-28 116
1.4.2读出SSDT表当前函数地址A、引用KeServiceDescriptorTable表B、通过ServiceTableBase+偏移读出当前函数地址C、用windbg测试读取的值系统服务描述符表在ntoskrnl.exe导出KeServiceDescriptorTable这个表typedefstruct_ServiceDescriptorTable{PVOIDServiceTableB...
SSDT获取原始服务地址的方法与原理(灯灯灯灯,我肥来了..)
GaA.Ra的自留地 in Csdn
11-18 7397
好吧,我胡汉三肥来了..(确实肥了- -),几个月没发什么文章.其实.我也只是一个新丁~欢迎大家交流,高手勿喷,谢谢合作^_^     对于SSDT,不知道的同学请自己百度,判断出SSDT被HOOK之后,如何恢复成原始服务地址?主要方法有两个,简单来说,一个Ring0,一个Ring3的方法(可能分类不够准确),我今天除了介绍方法之外,主要还是讲讲里面的原理吧,原理神马的才是最吸引人的对吧.
SSDT索引获取
yjz1409276的专栏
11-30 2124
SSDT索引获取 系统服务描述符表,System Service Dispatch Table,SSDT KeServiceDescriptorTable是由内核导出的表。该表拥有一个指针(其实仅有ntoskrnel一项,没有包含win32k),指向SSDT中包含由Ntoskrnl.exe实现的核心系统服务的相应部分,它是内核的主要组成部分。 typedef struct _Syst
使用Windbg查看系统SSDT表与ShadowSSDT表
baggiowangyu的专栏
12-08 6885
x86操作系统 1. 查看当前系统是否已经载入win2k.sys的相关符信息: kd> lm start end module name 80586000 8058f000 kdcom (deferred) 80e03000 81391000 nt (pdb symbols) d:\symb
32位系统SSDT表地址及函数地址获取方法源码解析
在这个上下文中,源码被打包为一个文件(如ssdt-function-32bit),这可能包含了一系列用以获取32位系统SSDT表地址以及定位特定函数地址的函数和数据结构的源代码。 5. 相关技术细节和实践: - 为了在32位系统中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值