KeServiceDescriptorTable64获取

最新推荐文章于 2023-11-25 01:17:52 发布
最新推荐文章于 2023-11-25 01:17:52 发布
阅读量897 收藏 1
点赞数
原文链接:http://blog.51cto.com/haidragon/2361042
版权

1

ULONGLONG GetKeServiceDescriptorTable64() //我的方法
{
    PUCHAR StartSearchAddress = (PUCHAR)__readmsr(0xC0000082);
    PUCHAR EndSearchAddress = StartSearchAddress + 0x500;
    PUCHAR i = NULL;
    UCHAR b1 = 0, b2 = 0, b3 = 0;
    ULONG templong = 0;
    ULONGLONG addr = 0;
    for (i = StartSearchAddress;i < EndSearchAddress;i++)
    {
        if (MmIsAddressValid(i) && MmIsAddressValid(i + 1) && MmIsAddressValid(i + 2))
        {
            b1 = *i;
            b2 = *(i + 1);
            b3 = *(i + 2);
            if (b1 == 0x4c && b2 == 0x8d && b3 == 0x15) //4c8d15
            {
                KdBreakPoint();
                memcpy(&templong, i + 3, 4);
                addr = (ULONGLONG)templong + (ULONGLONG)i + 7;
                return addr;
            }
        }
    }
    return 0;
}

2

ULONGLONG SearchforKeServiceDescriptorTable64(ULONGLONG StartSearchAddress, ULONGLONG EndSearchAddress)
{
    UCHAR b1 = 0, b2 = 0, b3 = 0;
    ULONG templong = 0;
    PUCHAR i;
    ULONGLONG KeServiceDescriptorTable = 0;

    //地址效验
    if (MmIsAddressValid(StartSearchAddress) == FALSE)return NULL;
    if (MmIsAddressValid(EndSearchAddress) == FALSE)return NULL;

    for ( i = StartSearchAddress; i < EndSearchAddress; i++)
    {
        if (MmIsAddressValid(i) && MmIsAddressValid(i + 1) && MmIsAddressValid(i + 2))
        {
            b1 = *i;
            b2 = *(i + 1);
            b3 = *(i + 2);
            if (b1 == 0x4c && b2 == 0x8d && b3 == 0x15)  //4c8d15
            {
                memcpy(&templong, i + 3, 4);
                KeServiceDescriptorTable = (ULONGLONG)templong + (ULONGLONG)i + 7;
                return KeServiceDescriptorTable;
                //当前地址 + 长度 + 数值
                //fffff800`03c8c772+7 + 002320c7 = FFFFF80003EBE840
                /*
                fffff800`03c8c772 4c8d15c7202300  lea     r10,[nt!KeServiceDescriptorTable (fffff800`03ebe840)]
                fffff800`03c8c779 4c8d1d00212300  lea     r11,[nt!KeServiceDescriptorTableShadow (fffff800`03ebe880)]
                */
            }
        }
    }
    return NULL;
}

//获取SSDT KeServiceDescriptorTable
ULONGLONG GetKeServiceDescriptorTable64_2()
{
    PUCHAR EndSearchAddress;
    ULONGLONG KeServiceDescriptorTable = 0;
    //msr[0xc0000082]变成了KiSystemCall64Shadow函数
    //原来我们64位搜索KeServiceDescriptorTable是通过msr的0xc0000082获得KiSystemCall64字段, 但是现在msr[0xc0000082]变成了KiSystemCall64Shadow函数, 而且这个函数无法直接搜索到KeServiceDescriptorTable。
    ULONGLONG KiSystemServiceUser = 0;
    ULONGLONG templong = 0xffffffffffffffff;
    PUCHAR i;
    PUCHAR pKiSystemCall64 = (PUCHAR)__readmsr(0xc0000082);  //rdmsr c0000082   //定位KiSystemCall64
    EndSearchAddress = pKiSystemCall64 + 0x500;

    KeServiceDescriptorTable = SearchforKeServiceDescriptorTable64(pKiSystemCall64, EndSearchAddress);
    if (KeServiceDescriptorTable)return  KeServiceDescriptorTable;

    for (i = pKiSystemCall64; i < EndSearchAddress + 0xff; i++)
    {
        if (*(PUCHAR)i == 0xe9 && *(PUCHAR)(i + 5) == 0xc3)
        {
            //fffff803`23733383 e9631ae9ff      jmp     nt!KiSystemServiceUser(fffff803`235c4deb)
            //fffff803`23733388 c3              ret
            RtlCopyMemory(&templong, (PUCHAR)(i + 1), 4);
            KiSystemServiceUser = templong + 5 + i;//KiSystemServiceUser
            EndSearchAddress = KiSystemServiceUser + 0x500;
            KeServiceDescriptorTable = SearchforKeServiceDescriptorTable64(KiSystemServiceUser, EndSearchAddress);
            return KeServiceDescriptorTable;
        }
    }
    return 0;
}

KeServiceDescriptorTable64获取

转载于:https://blog.51cto.com/haidragon/2361042

weixin_34368949
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
高版本Windows下SSDT函数获取例子完整工程
10-23
在Windows10 高版本中 ,因为页表隔离补丁(?),__readmsr(0xC0000082) 返回KiSystemCall64Shadow,这玩意无法直接搜索到 KeServiceDescriptorTable,以前获取SystemServiceDescriptorTable的方法失效。
获取函数当前和原地址
04-20
根据提供的文件信息,本文将详细解释如何在Windows内核模式下获取特定系统调用的当前地址与原始地址,以及如何实现这些操作的具体方法。 ### 一、获取函数当前地址 在Windows内核模式编程中,有时我们需要获取某些...
Win10 x64 KeServiceDescriptorTable SSDT 偏移计算理解
Doub1's Blog
11-23 1655
Win10 x64 KeServiceDescriptorTable SSDT 偏移计算理解引言站在巨人的肩膀上实现代码通用的偏移计算方法 引言 很久没写博客了,水个博客,KeServiceDescriptorTableKeServiceDescriptorTableShadow的原理我就不写了,百度很多,主要这篇写如何定位x64下未导出的KeServiceDescriptorTable。 站在巨人的肩膀上 前辈们在之前已经找到了一个计算公式,通过读msr寄存器的0xC0000082读
#define SYSTEMSERVICE(_func) KeServiceDescriptorTable.ServiceTableBase[ *(PULONG)((PUCHAR)_func+1) 这...
weixin_33804990的博客
08-17 149
这个跟KeServiceDescriptorTable的结构有关 下面是KeServiceDescriptorTable的结构定义 KeServiceDescriptorTabletypedef struct _KSERVICE_TABLE_DESCRIPTOR { PULONG_PTR Base; PULONG Count; ULONG Limit; PUCHAR Number;...
SSDT hook技术中KeServiceDescriptorTable 结构及获取
namelcx的专栏
07-05 2065
KeServiceDescriptorTable 结构  KeServiceDescriptorTable:是由内核(Ntoskrnl.exe)导出的一个表,这个表是访问SSDT的关键,具体结构是    typedef struct ServiceDescriptorTable {    PVOID ServiceTableBase;    PVOID ServiceCounterTabl
64位vista,win7中KeServiceDescriptorTable问题
Tommy(凌飞)的专栏
12-11 3191
     最近在移植64位驱动,原本在32位驱动中使用到了KeServiceDescTable进行SSDT Hook等。但是在64位系统上是不允许进行SSDT HOOk的。在64位的XP系统上,使用到这个导出符号式没有问题的。但是在64位Vista和Win7下面,如果使用了这个符号,那么你在加载驱动的时候,返回的错误是找到不指定文件。在修这个bug真是有点吃力,只能一点点个跟进去,还好手边有WRK
KeServiceDescriptorTableKeServiceDescriptorTableShadow
06-01 880
早先“盗用”过公开的Re SSDT的源代码,对SSDT多少还是了解些,也Hook 过SSDT,但一直对另外一个SSDT——Shadow SSDT不甚了解,只知道它跟GUI调用有莫大的关系,具体怎么联系起来的,说不清楚。   最近研究起了Hook ShadowSSDT这个东西,经过查找资料、阅读Win2k的源码,以及WinDbg闹腾了半天,才终于明白了KeServiceDescriptorTa
SSDTDump
09-24
SSDTDump是一个用于查看系统服务描述符表(System Service Descriptor Table,简称SSDT)的工具,通常被系统管理员、安全研究人员或逆向工程师使用。SSDT是操作系统内核中的一个重要组成部分,它存储了系统服务的...
SSDT.rar_SSDT-HOOK_ssdt
09-19
1. **获取SSDT地址**:在内核模式下,可以通过系统结构体(如KPRCB或KeServiceDescriptorTable获取到SSDT的基地址。 2. **备份原始服务入口**:在挂钩前,必须保存原函数指针,以便在需要时恢复原始行为。 3. **...
MDL绕过SSDT内存保护
05-06
MDSystemCall = MmCreateMdl(NULL, KeServiceDescriptorTable.ServiceTableBase, KeServiceDescriptorTable.NumberOfServices*4 //每个指针的长度是四字节); if(!MDSystemCall){ return STATUS_UNSUCCESSFUL; } ...
Windows下如何获得KeServiceDescriptorTableShadow地址
misterliwei的专栏
07-22 3046
Windows下如何获得KeServiceDescriptorTableShadow地址 总结网上文章的观点,主要有下面几种:1.根据操作系统分类。在WIN2K下KeServiceDescriptorTableShadow接跟着keServiceDescriptorTable;而在XP下,顺序正好相反,KeServiceDescriptorTable紧跟着KeServiceDescri
windebug查看KeServiceDescriptorTable
Ansbic的专栏
08-23 813
kd> dd KeServiceDescriptorTable 8089f7e0  80831b20 00000000 00000128 80831fc4 8089f7f0  00000000 00000000 00000000 00000000 8089f800  8089f800 8089f800 7c9524b4 00000000 8089f810  00000000 0000000
关于extern获取KeServiceDescriptorTable进而获取SSDT地址的解释,我自己想的 by webxeyes
07-18 1030
 #include //KeServiceDescriptorTable仅有ntoskrnel一项,没有包含win32k,而且后面的两个字段都没有使用typedef struct _SystemServiceDescriptorTable {     PVOID    ServiceTableBase;     PULONG    ServiceCounterTableBase;    
KeServiceDescriptorTable
最新发布
luduxin001的博客
11-25 378
操作系统:win10 21h1 19043.1237。
关于windbg不能正确显示KeServiceDescriptorTableShadow的问题
u011019337的专栏
07-31 957
参考了一下网上的文档,其实就是符号的问题 可以在symbol path里加入 srv*E:\WinDDK*http://msdl.microsoft.com/download/symbols E:\\WinDDK 是你的符号表要保存的硬盘路径 在windbg命令行下输入: kd>  !sym noisy          //命令希望WinDBG在获得符号的时候得更多的信息 kd> 
windbg符号链接的问题.还有KeServiceDescriptorTableShadow内存块查找时问号的情况
yandaoming的专栏
10-15 1064
最近配置windbg比较郁闷,搞了几天才搞定,自己的经验希望能帮助大家.也方便自己以后查阅 首先介绍几个命令: lm 列出加载模块信息 如下 0: kd> lm start    end        module name 80800000 80a28000   nt         (export symbols)       ntkrnlmp.exe Unloaded m
RMB系统调用4、SSDT
Windows内核学习笔记
07-06 271
一、回顾 前两篇博客,我逆向分析了 KiSystemService 和 KiFastCallEntry 填充_KTRAP_FRAME 结构体的代码,二者大同小异,主要的区别是 sysenter 只改了eip,cs,ss,虽然esp也改了,但是windows不使用,而是从TSS里esp0;另外sysenter并没有像中断门那样压栈,所以3环的 ss, esp, eflags, cs,eip都要在函数里依次保存到 _KTRAP_FRAME 。 这次课后作业是逆向 KiSystemService / KiFas
Windows内核情景分析学习笔记(五)
weixin_44356908的博客
08-15 386
64位下 3环64位进程进行系统调用分析 以下将以ReadProcessMemory为例进行分析 kernel32.dll sub rsp, 38h; mov rax, [rsp+38h+lpNumberOfBytesRead]; mov [rsp+38h+var_18], rax ; 这是将第五个参数(存放以读数据字节数的地址)保存到一个局部变量中 call <JMP.&ReadProcessMemory>;调用kernelbase.
VT笔记(2)突破patchguard保护完成X64Hook
kernweak的博客
06-24 8886
win10,2018新年版后好像不支持了? MSR hook MSR (Model Specific Registers)是CPU 的一组64 位寄存器,可以分别通过RDMSR 和WRMSR 两条指令进行读和写的操作,前提要在ECX 中写入MSR 的地址(MSR地址就像一个宏STAR,LSTAR,CSTAR,SFMASK)。对于RDMSR 指令,将会返回相应的MSR 中64bit 信息到(ED...
PRTL_PROCESS_MODULES
10-18
在引用中,PCHARDetectDriver函数的作用是检测系统中是否存在恶意驱动程序,它通过访问KeServiceDescriptorTable来检查系统中所有已加载的驱动程序,并返回检测结果。在引用中,ArgumentTable是一个指向ULONG_PTR...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值