【转】读取SSDT表和原函数地址

最新推荐文章于 2020-11-21 14:22:28 发布
最新推荐文章于 2020-11-21 14:22:28 发布
阅读量166 收藏
点赞数

读取当前地址代码(NtOpenProcess):
 LONG *SSDT_Adr,t_addr,adr;
 t_addr=(LONG)KeServiceDescriptorTable->ServiceTableBase;
 SSDT_Adr=(PLONG)(t_addr+0x7a*4);
 adr=*SSDT_Adr;

读取起源地址(NtOpenProcess):

UNICODE_STRING SysRoutineName;

LONG orgadr;

‍RtlInitUnicodeString(&SysRoutineName,L"NtOpenProcess");

‍orgadr=(LONG)MmGetSystemRoutineAddress(&SysRoutineName);

 

通过得到的地址 可以判断改函数是否被hook

自己读取的SSDT表:

SSDT 地址 | 起源地址.
NtOpenProcess->805751e0 | 805751e0

weixin_34326429
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SSDT获取始服务地址的方法与理(灯灯灯灯,我肥来了..)
GaA.Ra的自留地 in Csdn
11-18 7346
好吧,我胡汉三肥来了..(确实肥了- -),几个月没发什么文章.其实.我也只是一个新丁~欢迎大家交流,高手勿喷,谢谢合作^_^     对于SSDT,不知道的同学请自己百度,判断出SSDT被HOOK之后,如何恢复成始服务地址?主要方法有两个,简单来说,一个Ring0,一个Ring3的方法(可能分类不够准确),我今天除了介绍方法之外,主要还是讲讲里面的理吧,理神马的才是最吸引人的对吧.
获取SSDT服务数据
落笔飞花笑百生的博客
04-27 597
 #include  typedef struct _KSYSTEM_SERVICE_TABLE  {    PULONG  ServiceTableBase;        // SSDT (System Service Dispatch Table)的基地址     PULONG  ServiceCounterTableBase; // 包含 SSDT 中每个服务被调用
读取SSDT原函数地址
weixin_33826609的博客
01-21 184
今天的成果,读取了我的SSDT地址. 读取当前地址代码(NtOpenProcess): LONG *SSDT_Adr,t_addr,adr; t_addr=(LONG)KeServiceDescriptorTable->ServiceTableBase; SSDT_Adr=(PLONG)(t_addr+0x7a*4); adr=*SSDT_Adr; 读取起源地址(NtOpenPro...
x64下获取SSDT(暴力搜索方式)
IT男也疯狂
07-17 2489
typedef struct _SYSTEM_SERVICE_TABLE{     PVOID          ServiceTableBase;     PVOID          ServiceCounterTableBase;     ULONGLONG      NumberOfServices;     PVOID          ParamTableBase; } SY
ssdt__遍历
05-12 626
#include"ntddk.h" #pragma pack(1) //写这个内存以一字节对齐 如果不写是以4字节的对齐的 typedef struct ServiceDescriptorEntry {//这个结构就是为了管理这个数组而来的 内核api所在的数组 才有这个结构的 这个是ssdt unsigned int *ServiceTableBase;//就是ServiceTa...
驱动级的隐藏进程代码,在驱动层通过替换ssdt地址中的函数来隐藏进程...
06-26
4. **替换函数**: 使用自定义的函数替换SSDT中的目标函数地址。这个自定义函数会处理进程查询请求,过滤掉要隐藏的进程信息。 5. **处理中断请求**: 当有系统服务请求时,自定义函数会处理这些请求,确保隐藏进程不...
R0层获取ShadowSSDT函数地址实例
11-20
本实例由VS2008开发,在提供了一套驱动开发框架的同时,又演示了如何获取Shadow SSDT函数地址的办法。 主要函数:ULONG GetShadowSSDT_Function_OriAddr(ULONG index); 理说明: 根据特征码搜索导出函数...
驱动SSDT未导出函数NtReadVirtualMemory.rtf
08-05
windows10获取SSDT未导出函数NtReadVirtualMemory详细步骤和代码,其他未导出函数同理
Shadow SSDT服务函数地址
12-01
4. **获取Shadow SSDT的指针**:一旦找到Shadow SSDT的位置,我们就可以读取其内容,获取服务函数地址。 5. **验证地址**:为了确保我们获取的是正确的地址,可以通过比较SSDT和Shadow SSDT中的同一服务...
SSDT的Hook理和示例代码
06-25
1. **SSDT结构**: SSDT是一个包含系统服务函数地址的数组,每个条目对应一个系统服务。在32位系统中,SSDT通常是一个全局变量;在64位系统中,它是一个隐藏的NT全局导出的一部分。 2. **Hook过程**: 要Hook SSDT...
获取SSDT,SSSDT函数地址
zhuhuibeishadiao
05-02 4542
SSDT 当前函数地址 = KiSeviceTable + *(KiServiceTalbe + index * 4); TableRVA = KiSeviceTable - 内核真实加载地址 ; ImageBase = 0x140000000;(理想加载地址) ImageKiSeviceTable = ImageBase + TableRVA; LoadDLLBase = LoadLi
读出SSDT当前函数地址
crkres9527
09-16 631
        A、引用KeServiceDescriptorTable         B、通过ServiceTableBase+偏移读出当前函数地址         C、用windbg测试读取的值 系统服务描述符 在ntoskrnl.exe导出KeServiceDescriptorTable 这个 typedef struct _ServiceDescriptorTable { ...
获得SSDT函数
cqyczj的专栏
04-18 1753
代码:  ULONG GetSSDTName() {  KdBreakPoint();  if (KeGetCurrentIrql() > PASSIVE_LEVEL)  {   return STATUS_UNSUCCESSFUL;  }  //设置NTDLL路径  UNICODE_STRING uniFileName;  RtlInitUnicodeString(&uniFileName, 
c++ 编写函数返回两个值最小值_SQL基础知识(3)—常见函数(最全!)
weixin_39814454的博客
11-21 254
一、函数是什么:概念:将一组逻辑语句封装在方法体内,对外暴露方法名好处:隐藏实际细节;提高代码重用性(即:不用重新写逻辑语句,调用函数就行)调用:select 函数名(实参列) from ;特点:1.叫什么(函数名);2.干什么(函数功能)分类:二、文本处理函数说明:用于处理文本字符串(如删除/填充值、换为大写或小写)的文本函数1. 查看字符串的长度、拼接多个字符串、替换部分字符串、改变字符...
遍历 shadowssdt 函数地址
05-23 1921
#include <ntifs.h> #include <ntimage.h> //#include "ntddk.h" //SSDT结构体 typedef struct _SERVICE_DESCRIPTOR_TABLE { PULONG ServiceTable; PULONG CounterTable; ULONG TableSize; ...
内核层获取SSDT中函数地址
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-09 1459
标 题: 【下载】内核层获取SSDT中函数地址 作 者: QEver 时 间: 2011-08-30,20:32:28 链 接: http://bbs.pediy.com/showthread.php?t=139524 昨天在看雪看到《【下载】发个获得SSDT函数名和索引号的代码》,一时兴起整理了一份内核层根据ntdll.dll和nt模块文件来获取SSDT函数始的地址的代码,可以
64位内核开发第四讲,查看SSDT与showSSDT
weixin_30527423的博客
06-08 277
目录 SSDt与ShadowSSDT的查看. 一丶SSDT 1.什么是SSDT 2.查看步骤 二丶ShadowSSDT 1.什么是ShadowSSDT 2.如何查看. 三丶工具介绍 ...
枚举SSDT 系统服务中的函数地址
qinqin772的博客
01-02 1923
网上关于SSDT的有很多的博客可以参考,我就不啰嗦了直接上码 #include //SSDT服务中,各项对应的函数名称,@num 代参数*4的大小 char* funcName[] = { "NtAcceptConnectPort@24 ", "NtAccessCheck@32 ",
SSDT技术实现Ring0级进程保护组件设计
驱动程序可以读取和修改SSDT,设置钩子函数,使得在调用系统服务前,先经过我们的逻辑判断。 4. 钩子函数实现 钩子函数是Hook技术的核心,它会在系统服务调用之前或之后执行。在SSDT Hook中,钩子函数通常检查...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值