Windbg 查看SSDT表

最新推荐文章于 2020-09-05 16:38:10 发布
最新推荐文章于 2020-09-05 16:38:10 发布
阅读量150 收藏
点赞数
原文链接:http://www.cnblogs.com/vcerror/p/4289118.html
版权
  SSDT HOOK 的原理其实非常简单,我们先实际看看KeServiceDescriptorTable是什么样的。    
    lkd> dd KeServiceDescriptorTable
    8055ab80  804e3d20 00000000 0000011c 804d9f48
    8055ab90  00000000 00000000 00000000 00000000
    8055aba0  00000000 00000000 00000000 00000000
    8055abb0  00000000 00000000 00000000 00000000   
    在windbg.exe中我们就看得比较清楚,KeServiceDescriptorTable中就只有第一项有数据,其他都是0。其中804e3d20就是
KeServiceDescriptorTable.ntoskrnel.ServiceTableBase,服务函数个数为0x11c个。我们再看看804e3d20地址里是什么东西:
    lkd> dd 804e3d20
    804e3d20  80587691 805716ef 8057ab71 80581b5c
    804e3d30  80599ff7 80637b80 80639d05 80639d4e
    804e3d40  8057741c 8064855b 80637347 80599539
    804e3d50  8062f4ec 8057a98c 8059155e 8062661f
    如上,80587691 805716ef 8057ab71 80581b5c 这些就是系统服务函数的地址了。比如当我们在ring3调用OpenProcess时,进入sysenter的ID是0x7A(XP SP2),然后系统查KeServiceDescriptorTable,大概是这样KeServiceDescriptorTable.ntoskrnel.ServiceTableBase(804e3d20) + 0x7A * 4 = 804E3F08,然后804E3F08 ->8057559e 这个就是OpenProcess系统服务函数所在,我们再跟踪看看:
    lkd> u 8057559e
    nt!NtOpenProcess:
    8057559e 68c4000000      push    0C4h
    805755a3 6860b54e80      push    offset nt!ObReferenceObjectByPointer+0x127 (804eb560)
    805755a8 e8e5e4f6ff      call    nt!InterlockedPushEntrySList+0x79 (804e3a92)
    805755ad 33f6            xor     esi,esi
    原来8057559e就是NtOpenProcess函数所在的起始地址。  

     lkd> u nt!NtOpenProcess

转载于:https://www.cnblogs.com/vcerror/p/4289118.html

Linux????? Mr.Liyz
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用Windbg查看系统SSDT与ShadowSSDT
baggiowangyu的专栏
12-08 6807
x86操作系统 1. 查看当前系统是否已经载入win2k.sys的相关符号信息: kd> lm start end module name 80586000 8058f000 kdcom (deferred) 80e03000 81391000 nt (pdb symbols) d:\symb
Windbg查看Shadow SSDT
debugge的专栏
06-02 1680
关于SSDT即系统描述符,《SSDT Hook的妙用-对抗ring0 inline hook》这篇文章描述的已经很清楚了。引用文章中的一段话: “内核中有两个系统服务描述符,一个是KeServiceDescriptorTable(由ntoskrnl.exe导出),一个是KeServieDescriptorTableShadow(没有导出)。两者的区别是,KeServiceDescript
windbg查看SSDT
bcbobo21cn的专栏
09-05 1154
SSDT,System Services Descriptor Table,系统服务描述符。 见此 https://blog.csdn.net/bcbobo21cn/article/details/52083557 这个就是一个把ring3的Win32 API和ring0的内核函数联系起来。SSDT包含一个庞大的地址索引,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。 SSDT定义为下面结构体; typedef struct _SYSTEM_SERVICE_T...
64位内核开发第四讲,查看SSDT与showSSDT
weixin_30527423的博客
06-08 273
目录 SSDt与ShadowSSDT查看. 一丶SSDT 1.什么是SSDT 2.查看步骤 二丶ShadowSSDT 1.什么是ShadowSSDT 2.如何查看. 三丶工具介绍 ...
使用WinDbg获取SSDT 系统服务描述的函数服务号(索引)
whatday的专栏
10-10 2134
今天研究了一下午SSDT的东东,最尴尬的是起初我不知道如何获取到SSDT的函数服务号,而这个玩意儿在不同版本的windows是不一样的,后面经过研究还是找到了正确的方法.这里简单的分享一下. ·    先用个图温习一下Win32API的调用流程吧 这里以函数QuerySystemInformation为例子                              
SSDT.rar_SSDT win7_ssdt_windows kernel
09-24
5. **调试技巧**:通过调试工具,如WinDbg,可以查看和分析SSDT,这对于系统调试和故障排查非常有用。 6. **系统服务分析**:理解SSDT可以帮助我们识别哪些服务是关键的,哪些可能是性能瓶颈,从而优化系统性能或...
挂钩SSDT隐藏进程
12-15
6. **调试工具**:如WinDbg等调试工具可以帮助开发者查看和修改SSDT,以及调试自己的钩子代码。 在提供的压缩包文件中,"www.pudn.com.txt"可能包含了关于此主题的更多资料,而"hookProcess"可能是一个示例程序或者...
SSDT驱动恢复例子 易源
05-19
2. **分析SSDT**:使用调试工具(如WinDbg)或专门的软件分析SSDT,找出被篡改或损坏的条目。 3. **恢复服务**:针对发现的问题,将正确的服务函数地址替换回SSDT中。这可能涉及编写特定的驱动程序或利用已有的工具...
64位驱动SSDTHOOK教程
10-02
64位驱动SSDTHOOK教程是针对Windows 64位操作系统下进行系统级服务(System Service Dispatch Table, SSDT)挂钩技术的学习资料。在Windows系统中,SSDT是操作系统核心与用户模式应用程序之间的一个关键接口,它...
易语言恢复SSDT驱动源码
06-02
当系统被恶意软件或病毒篡改,可能导致SSDT的破坏,从而影响系统的正常运行。恢复SSDT驱动源码是用于修复这一问题的重要工具。 易语言恢复SSDT驱动源码的编写涉及到以下几个关键知识点: 1. 易语言基础:理解...
SSDT查看和恢复工具
07-01
SSDT查看和恢复,SSDT查看和恢复,SSDT查看和恢复,SSDT查看和恢复
SSDTTime:SSDTDSDT热补丁尝试
04-29
SSDT时间 一个简单的工具,旨在简化创建SSDT的过程。 支持macOS,Linux和Windows 支持的SSDT: 固态硬盘操作系统感知的假EC SSDT-插头在CPU0 / PR00上设置plugin-type = 1 SSDT-HPET 修补IRQ冲突 此外,在Linux和Windows上,该工具可用于转储系统DSDT。 指示: Linux: 从终端窗口或通过正常运行文件,使用任何最新版本的Python启动SSDTTime.py。 苹果系统: 从终端窗口或双击文件启动SSDTTime.command。 视窗: 从终端窗口或双击文件启动SSDTTime.bat。 学分: 编写使用的脚本和库 脚本的一些小改进 修复者/英特尔-IASL
ssdt
weixin_33908217的博客
03-08 138
https://j00ru.vexillium.org/syscalls/nt/64/?tdsourcetag=s_pcqq_aiomsg 转载于:https://blog.51cto.com/haidragon/2360064
使用WinDbg获取SSDT函数对应的索引再计算得出地址
weixin_33748818的博客
01-30 257
当从Ring3进入Ring0的时候会将所需要的SSDT索引放入到寄存器EAX中去,所以我们这里通过EAX的内容得到函数在SSDT中的索引号,然后计算出它的地址首先打开WinDbug,我们以函数ZwQueryObject为例: 从mov eax 0F8h,知道我们的索引号是0F8h.来验证一下,看看是不是函数ZwQueryObject。 我们先获取到SSDT的地址: 第一个848...
x86下windbg查看SSDT与SHDOWSSDT
kernweak的博客
05-23 1920
x64下这两个是未导出的,不能用这种 首先系统符号要加载 SSDT: x nt!kes*des*table* kd> x nt!KeServiceDes* 83f74a00 nt!KeServiceDescriptorTableShadow = <no type information> 83f749c0 nt!KeServiceDescriptorTable = ...
【转】读取SSDT和原函数地址
weixin_34326429的博客
11-29 164
读取当前地址代码(NtOpenProcess): LONG *SSDT_Adr,t_addr,adr; t_addr=(LONG)KeServiceDescriptorTable-&gt;ServiceTableBase; SSDT_Adr=(PLONG)(t_addr+0x7a*4); adr=*SSDT_Adr; 读取起源地址(NtOpenProcess): UNICODE_STRING ...
Windbg查看Shadow SSDT
GaA.Ra的自留地 in Csdn
03-25 4429
内核当中已经导出了KeServiceDescriptorTable,可以直接在Windbg当中使用dd命令查看,对于Shadow SSDT的地址,在WinXP当中,地址是KeServiceDescriptorTable-0x40.为了查看win32k的SYSTEM_SERVICE_TABLE,记得要切换到具有图形界面的进程上下文当中才能正确查看.KeServiceDescriptorTableSh
SSDT概念详解
weixin_34419326的博客
08-20 256
2019独角兽企业重金招聘Python工程师标准>>> ...
(转)windbg查看ssdt的方法
weixin_30367169的博客
12-20 251
http://blog.sina.com.cn/s/blog_53e1b6e00100w4j6.html dp nt!KeServiceDescriptorTable 80553fa080502b8c 00000000 0000011c 8050300080553fb000000000 00000000 00000000 0000000080553fc000000000 ...
windbg 下载符号
最新发布
06-26
第四步:下载完成后,在Windbg的左部窗口"Modules"中选择想要观察的模块,右键点击该模块,在弹出的菜单中选择"Symbol Load Information",即可查看符号加载的情况。 通过以上步骤,我们可以轻松下载到符号,并且...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值