64位内核开发第四讲,查看SSDT表与showSSDT表

最新推荐文章于 2021-11-23 03:54:40 发布
最新推荐文章于 2021-11-23 03:54:40 发布
阅读量273 收藏 1
点赞数
原文链接:http://www.cnblogs.com/iBinary/p/10990673.html
版权

目录

SSDt表与ShadowSSDT表的查看.

一丶SSDT表

1.什么是SSDT表

SSDT表示系统服务表,我们ring3调用的很多函数都会调用这个SSDT表

2.查看步骤

1.使用 x命令

前提需要加载好符号.

x nt!kes*des*table*

1197364-20190518230248580-1086410200.png

KeServiceDescriptorTableShadowShadowSSDT表
KeServiceDescriptorTableSSDT表.

2.查看地址的值

使用dd命令可以查看这个地址里面值.如下.
1197364-20190518230518082-1390993502.png

首先可以看选中的位置.这个是SSDT表的起始地址. 后面*0x11C
是这个表的个数

我们可以使用dds命令来查看这个表.
dds命令可以看第三讲.关于windbg调试命令

dds Address L11C

这个命令的意思就是显示地址里面值指向的地址. 以4个字节显示.
显示如下:
1197364-20190518230854704-1188373701.png
如果你有符号.则可以看到这些地址里面后面指向的函数名

可以使用 uf 来反汇编这个函数的所有汇编
1197364-20190518231027720-1415821107.png

二丶ShadowSSDT表

1.什么是ShadowSSDT表

ring3的所有GUI会调用的到这个表格中.

2.如何查看.

System系统进程是没有加载ShadowSSDT表的.所以我们必须切换到调用GUI的进程空间中查看.

1.在系统中运行 mspaint 画图工具
2.在windbg中中断.
3.输入命令.查看系统所有简要信息

!process 0 0

4.找到mspaint的EPROCESS结构.切换到这个进程上下文

.process /p EPROCESSADDRESS

5.使用x命令查找ShadowsSSDT

x nt!*kes*des*table*

如下:
1197364-20190518231654537-1375973621.png

6.查看shodowSSDT

1197364-20190518231733037-2025261202.png

shodowSSDT 跟SSDT挨着.上面查看SSDT的时候 shodowSSDT没有加载
所以没有.所以现在看一看下.如上图. 有起始地址.跟大小.

不管是SSDT还是shodowSSDT表.都是有这个表的大小.
在32位下.函数地址是4个字节. 所以用表的大小 / 4 = 函数个数.
1197364-20190518231953974-1428906195.png

这个表中的函数都是做绘图用的.

三丶工具介绍

Process Monitor
工具是进程监控工具.可以监视所有进程活动.
现在的火绒剑也是可以.
如下图;
微软下载地址:
https://docs.microsoft.com/zh-cn/sysinternals/downloads/procmon
工具界面

1197364-20190518232648139-481888352.png

可以设置过滤器.进行过滤.比如我只想看进程创建.如何操作.

Process Explorer

1197364-20190518232835912-1748693346.png

微软下载地址:
https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer

这个工具则可以实时查看进程.并且可以挂起进程.等操作进程.

转载于:https://www.cnblogs.com/iBinary/p/10990673.html

weixin_30527423
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用Windbg查看系统SSDT表与ShadowSSDT
baggiowangyu的专栏
12-08 6807
x86操作系统 1. 查看当前系统是否已经载入win2k.sys的相关符号信息: kd> lm start end module name 80586000 8058f000 kdcom (deferred) 80e03000 81391000 nt (pdb symbols) d:\symb
初探win10 x64 SSDT(驱动学习笔记五)
rep_Su的博客
10-11 3378
初探win10 x64 SSDT0x0 windbg查看SSDT背景介绍查看SSDT0x1 代码获取SSDT中的函数获取SSDT的地址 0x0 windbg查看SSDT 背景介绍 学习驱动的过程中,由于涉及到SSDT HOOK相关的知识点,开始学习SSDT,关于SSDT的基本概念,这里省去,中文名是系统服务描述,具体的理解可自行百度,由于是初步探讨,本篇只介绍方法。 查看SSDT x64系...
(转)shadow ssdt 服务函数索引
weixin_30700099的博客
12-21 153
http://www.cnblogs.com/gaozili/archive/2011/11/02/2233450.html kd> dd nt!KeServiceDescriptorTableShadow L88055a6c0 804e36a8 00000000 0000011c 80513eb88055a6d0 bf997600 00000000 0000029b bf9...
(转)windbg查看ssdt的方法
weixin_30367169的博客
12-20 251
http://blog.sina.com.cn/s/blog_53e1b6e00100w4j6.html dp nt!KeServiceDescriptorTable 80553fa080502b8c 00000000 0000011c 8050300080553fb000000000 00000000 00000000 0000000080553fc000000000 ...
windbg查看SSDT
bcbobo21cn的专栏
09-05 1154
SSDT,System Services Descriptor Table,系统服务描述符。 见此 https://blog.csdn.net/bcbobo21cn/article/details/52083557 这个就是一个把ring3的Win32 API和ring0的内核函数联系起来。SSDT包含一个庞大的地址索引,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。 SSDT定义为下面结构体; typedef struct _SYSTEM_SERVICE_T...
驱动级的隐藏进程代码,在驱动层通过替换ssdt地址中的函数来隐藏进程...
06-26
4. **替换函数**: 使用自定义的函数替换SSDT中的目标函数地址。这个自定义函数会处理进程查询请求,过滤掉要隐藏的进程信息。 5. **处理中断请求**: 当有系统服务请求时,自定义函数会处理这些请求,确保隐藏进程不...
src_过pg_过windowspg_64位SSDThook实现方法_过PG_
09-30
标题中的“src_过pg_过windowspg_64位SSDThook实现方法_过PG_”似乎是指一个关于在64位Windows系统下绕过Process Guard (PG)并通过修改System Service Dispatch Table (SSDT)实现hook的技术教程。描述中的“WINDOWS ...
精选_64位系统上获取SSDT地址以及从中获取指定SSDT函数的地址_源码打包
03-10
总之,这个压缩包提供了在64位Windows系统下获取SSDT和函数地址的技术细节,这对于系统级编程、驱动开发或安全研究者来说具有很高的学习价值。但同时,也强调了正确、合法使用这些知识的重要性,避免滥用导致不必...
windows下通过更改SSDThook内核函数
10-02
通过更改SSDT内核函数跳转地址来实现对windows内核函数的hook,需要安装WDK来实现编译。 注:本例主要实现对内核函数ZwSetValueKey的hook,本程序仅用于学习用途,任何人不得利用该代码从事非法活动。
SSDT的Hook原理和示例代码
06-25
64位系统中,它是一个隐藏的NT全局导出的一部分。 2. **Hook过程**: 要Hook SSDT,首先需要找到SSDT的地址。这通常通过读取特定的内存地址或使用内核调试器来完成。然后,我们需要备份原始的服务入口点,以防止...
SSDT查看和恢复工具
07-01
SSDT查看和恢复,SSDT查看和恢复,SSDT查看和恢复,SSDT查看和恢复
64位驱动SSDTHOOK教程
10-02
完整的64位驱动SSDTHOOK文档资料,学习win7 64位驱动很好的
Dbgview 调试信息查看
02-03
DbgView调试信息查看器。这是一款软件开发者常用的软件,往往一款软件在Debug下调试好了,可是在Release下可能还存在Bug,如何才能输出调试信息呢,全能调试器是解决您的问题的好帮手。DbgView调试信息查看器不仅仅能作为调试信息输出,而且可以作为一个信息输出软件,监视您的软件运行,目前支持mfc和windows下dos信息输出。在安装程序中附带有vc6的例子。 支持OutputDebugString 信息接收。包括Debug下和Release下都能接收。
高版本Windows下SSDT函数获取例子完整工程
10-23
在Windows10 高版本中 ,因为页隔离补丁(?),__readmsr(0xC0000082) 返回KiSystemCall64Shadow,这玩意无法直接搜索到 KeServiceDescriptorTable,以前获取SystemServiceDescriptorTable的方法失效。
x86下windbg查看SSDT表与SHDOWSSDT
kernweak的博客
05-23 1920
x64下这两个是未导出的,不能用这种 首先系统符号要加载 SSDT: x nt!kes*des*table* kd> x nt!KeServiceDes* 83f74a00 nt!KeServiceDescriptorTableShadow = <no type information> 83f749c0 nt!KeServiceDescriptorTable = ...
关于Win7 x64 Shadow SSDT 的探索和 Inline HOOK
fyfy
05-15 3842
http://bbs.pediy.com/thread-210481.htm 来看雪一年了,在这里面学到了很多知识,非常感谢各位前辈对知识的分享和不懈的研究,也非常感谢各位大神对我们这些小白的照顾,特别要感谢MaMy、hksoobe、luolinlove等大神的指导。我也一直非常希望能为看雪贡献一点什么,但是小白的理解估计大神也看不上,这次也是注册看雪一周年,冲着这个也来发一点自己的理
KeServiceDescriptorTable64获取
weixin_34368949的博客
03-11 892
1 ULONGLONG GetKeServiceDescriptorTable64() //我的方法 { PUCHAR StartSearchAddress = (PUCHAR)__readmsr(0xC0000082); PUCHAR EndSearchAddress = StartSearchAddress + 0x500; PUCHAR i = NULL; U...
Win10 x64 KeServiceDescriptorTable SSDT 偏移计算理解
Doub1's Blog
11-23 1629
Win10 x64 KeServiceDescriptorTable SSDT 偏移计算理解引言站在巨人的肩膀上实现代码通用的偏移计算方法 引言 很久没写博客了,水个博客,KeServiceDescriptorTable 和 KeServiceDescriptorTableShadow的原理我就不写了,百度很多,主要这篇写如何定位x64下未导出的KeServiceDescriptorTable。 站在巨人的肩膀上 前辈们在之前已经找到了一个计算公式,通过读取msr寄存器的0xC0000082读取到
【原创】WINDOWS 64位SSDT定位思路
lziog的专栏
12-06 6003
在32位Windows中我们有很多定位SSDT的方法,最直接的就是利用导出符号来找到SSDT。再有就是通过在nt!KeAddSystemServiceTable函数中进行反汇编搜索。可是在64位WINDOWS中这两种方法都行不通。在64位Windows中不在导出SSDT了,同时nt!KeAddSystemServiceTable中也不再出SSDT了。这样要HOOK SSDT就出现了第一个问题如何找到它?我想了三种思路。
SSDT与SQL如何进行连接
最新发布
05-30
SSDT(SQL Server Data Tools)是一个Visual Studio中的插件,用于创建和部署SQL Server数据库项目。可以使用SSDT来创建、修改、测试和发布SQL Server数据库项目,以及管理数据库架构和脚本。要将SSDT与SQL Server连接,可以按照以下步骤操作: 1. 打开SSDT,选择“连接到数据库引擎”选项。 2. 输入SQL Server实例名称和登录凭据,然后单击“连接”按钮。 3. 如果连接成功,SSDT将显示数据库对象资源管理器,其中包含SQL Server实例中的所有数据库和对象。 在SSDT中,可以使用集成的工具和设计器来创建和修改数据库对象,如、视图、存储过程和函数等。还可以使用SSDT来生成和部署数据库脚本,以及在项目中管理数据库架构和版本控制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值