找KiServiceTable

最新推荐文章于 2023-05-06 10:57:34 发布
最新推荐文章于 2023-05-06 10:57:34 发布
阅读量171 收藏
点赞数
原文链接:https://my.oschina.net/ejoyc/blog/184748
版权

为什么80%的码农都做不了架构师?>>>   hot3.png

已知
a1 = NtClearEvent地址;
a2 = NtClose地址;
a3 = NtOpenFile地址;
i1 = *(PULONG)((PUCHAR)ZwClearEvent+1);
i2 = *(PULONG)((PUCHAR)ZwClose+1);
i3 = *(PULONG)((PUCHAR)ZwOpenFile+1);
并且
a1 =  KiServiceTable[i1];
a2 =  KiServiceTable[i2];
a3 =  KiServiceTable[i3];

b = Ntoskrnl的映像基址
s = Ntoskrnl的映像大小


KiServiceTable 

for( a = b; a < s+b; a+=0x10 )
{
    if( *(PULONG)s == a1 )
    {
        if( *(PULONG)(s + 4*(i2-i1)) == a2 )
        {
            if( *(PULONG)(s + 4*(i3-i1)) == a3 )
            {
                KiServiceTable = a;
                break;
            }
        }
    }
}

 

转载于:https://my.oschina.net/ejoyc/blog/184748

weixin_33739541
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
A more stable way to locate real KiServiceTable
eaglenet的专栏
02-14 1109
A more stable way to locate real KiServiceTable By: 90210 Tan Chew Keong in his Win2K/XP SDT Restore 0.1 uses a simple way to find changed SDT e
SERVICE_TABLE_ENTRY
小发猫
06-07 3578
SERVICE_TABLE_ENTRYThe SERVICE_TABLE_ENTRY structure is used by the StartServiceCtrlDispatcher function to specify the ServiceMain function for a service that can run in the calling process.typedef st
SystemServiceTable
最新发布
qq_50242229的博客
05-06 166
SystemServiceTable,即系统服务表,它不是SSDT表由4部分组成,ServiceTable指向的是函数地址数组,每个成员四个字节;Count表示调用次数,没啥意义;ServiceLimit表示这张表有几个函数;ArgumentTable指向对应函数有几个字节参数,每个成员一个字节从图中可以看出,Windows提供了两张表:上面的表是用来处理一般内核函数的,下面这张表是用来处理与GUI相关的内核函数。
通过KTHREAD获得SSSDT表
Sunny_wwc的专栏
10-13 1596
首先看下KTHREAD的结构在Windows 2003 sp1的系统下 ServiceTable的偏移0x118如果当前获得的KTHREAD是图形应用程序中的线程,那么ServiceTable就会指向KeServiceDecriptorTableShadow这个结构再看下KeServiceDecriptorTableShadow 这个结果在当前内存中的地址编写一个mfc小程序,与驱动程序通信,在驱动程序中调用PsGetCurrentThread获得ETHREAD,或者调用KeGetCurrentThread
Defeating Kernel Native API Hookers by Direct KiServiceTable Restoration.pdf
11-10
Defeating Kernel Native API Hookers 检查病毒常常利用的API 钩子
ssdthook技术实现防止进程关闭
04-21
这通常通过读取特定的内核数据结构完成,如KiServiceTable。 3. **备份原始函数**:在替换SSDT条目之前,我们需要保存原始的服务处理函数地址,以便在需要时恢复。 4. **安装钩子**:使用`ZwWriteVirtualMemory`等...
监视进程创建 实现 源码
01-15
在Windows XP系统中,可以使用`KeServiceDescriptorTable`和`KiServiceTable`等结构来实现内核模式hook。这些结构包含系统服务的入口点,我们可以通过替换这些入口点来hook `CreateProcess`。 实施这个hook的步骤...
#define SYSTEMSERVICE(_func) KeServiceDescriptorTable.ServiceTableBase[ *(PULONG)((PUCHAR)_func+1) 这...
weixin_33804990的博客
08-17 146
这个跟KeServiceDescriptorTable的结构有关 下面是KeServiceDescriptorTable的结构定义 KeServiceDescriptorTabletypedef struct _KSERVICE_TABLE_DESCRIPTOR { PULONG_PTR Base; PULONG Count; ULONG Limit; PUCHAR Number;...
-------- Rootkit 核心技术——利用 nt!_MDL 突破 KiServiceTable 的只读访问限制 Part II --------...
weixin_30651273的博客
01-28 130
——————————————————————————————————————————————————————————————————————————————————————————— 本篇开始进入正题,因为涉及 MDL,所以相关的背景知识是必须的: nt!_MDL 代表一个“内存描述符链表”结构,它描述着用户或内核模式虚拟内存(亦即缓冲区),其对应的那些物理页被锁定住, 无法换出。 ...
java 钩子 64位 操作系统_恢复在WIN64上的SSDT钩子
weixin_42365898的博客
03-07 249
要恢复SSDT,首先要获得SSDT各个函数的原始地址,而SSDT各个函数的原始地址,自然是存储在内核文件里的。于是,有了以下思路:1.获得内核里KiServiceTable的地址(变量名称:KiServiceTable)2.获得内核文件在内核里的加载地址(变量名称:NtosBase)3.获得内核文件在PE32+结构体里的映像基址(变量名称:NtosImageBase)4.在自身进程里加载内核文件并...
windows内核——基石
ma_de_hao_mei_le的博客
07-06 874
用户内存空间和内核内存空间之间的gap是为了避免不经意的越界而导致安全问题系统启动期间,会对所有的处理器进行初始化操作大部分初始化操作我们都不必了解,因为你了不了解都不影响你的逆向,毕竟你又不是开发操作系统的但是艺多不压身,多知道点东西总没有坏处处理器控制区PCR processor control region是一个结构体,每一个处理器都有一个对应的PCR结构体实例,它存储了CPU的重要信息在x86中,它包含了IDT的基地址和当前的IRQL(interrupt request level——中断请求等级
系统调用003 系统服务表
鬼手的博客
12-22 686
文章目录前言SystemServiceTable 系统服务表系统服务表在哪判断调用的函数在哪个表API函数的调用过程 前言 我们现在已经知道API怎么从三环进入零环,从三环进零环需要带两个寄存器,分别是eax和edx。eax保存的是系统的服务号,edx保存的是三环的esp,通过esp可以到三环的参数。 这次要解决的问题是如何通过eax到零环的函数,零环的函数是怎么被调用的,并且零环的函数执行的...
SSDT获取原始服务地址的方法与原理(灯灯灯灯,我肥来了..)
GaA.Ra的自留地 in Csdn
11-18 7338
好吧,我胡汉三肥来了..(确实肥了- -),几个月没发什么文章.其实.我也只是一个新丁~欢迎大家交流,高手勿喷,谢谢合作^_^     对于SSDT,不知道的同学请自己百度,判断出SSDT被HOOK之后,如何恢复成原始服务地址?主要方法有两个,简单来说,一个Ring0,一个Ring3的方法(可能分类不够准确),我今天除了介绍方法之外,主要还是讲讲里面的原理吧,原理神马的才是最吸引人的对吧.
SSDT hook技术中KeServiceDescriptorTable 结构及获取
namelcx的专栏
07-05 2056
KeServiceDescriptorTable 结构  KeServiceDescriptorTable:是由内核(Ntoskrnl.exe)导出的一个表,这个表是访问SSDT的关键,具体结构是    typedef struct ServiceDescriptorTable {    PVOID ServiceTableBase;    PVOID ServiceCounterTabl
恢复在WIN64上的SSDT钩子
qq_36453052的博客
03-09 1807
原始位置链接:http://www.weixianmanbu.com/article/57.html  在上一篇文章里我描述了如何在Win64系统上实现SSDTHOOK,有SSDTHOOK,自然也有UNHOOKSSDT的方法,现在我就来讲一下如何实现UNHOOKSSDT。 要恢复SSDT,首先要获得SSDT各个函数的原始地址,而SSDT各个函数的原始地址,自然是存储在内核文件里的。于是,有
Rootkit 核心技术——利用 nt!_MDL(内存描述符链表)突破 SSDT(系统服务描述符表)的只读访问限制 Part I...
weixin_30346033的博客
01-26 182
———————————————————————————————————————————————————————— 在 rootkit 与恶意软件开发中有一项基本需求,那就是 hook Windows 内核的系统服务描述符表(下称 SSDT),把该表中的 特定系统服务函数替换成我们自己实现的恶意例程;当然,为了确保系统能够正常运作,我们需要事先用一个函数指针保存原始 的系统服务,并且在我们恶意...
分析360安全卫士HOOK
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
10-24 2004
分析了一下360安全卫士的HOOK(一)  分析了一下360的HOOK,通过直接hook KiFastCallEntry实现对所有系统调用的过滤。  我分析的版本如下:  HookPort.sys版本: 1, 0, 0, 1005  HookPort.sys的TimeStamp: 4A8D4AB8  简单说明:360把所有被hook的系统服务的过滤函数放在了一个表里,索引即对应的系统服务
获取SSDT,SSSDT原始函数地址
zhuhuibeishadiao
05-02 4530
SSDT 当前函数地址 = KiSeviceTable + *(KiServiceTalbe + index * 4); TableRVA = KiSeviceTable - 内核真实加载地址 ; ImageBase = 0x140000000;(理想加载地址) ImageKiSeviceTable = ImageBase + TableRVA; LoadDLLBase = LoadLi
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值