linux vc打印指针地址,今日一贴!驱动下的SSDT基地址获取

最新推荐文章于 2023-02-27 17:41:08 发布
最新推荐文章于 2023-02-27 17:41:08 发布
阅读量179 收藏
点赞数
文章标签: linux vc打印指针地址

本帖最后由 wl1383838438 于 2020-2-27 12:14 编辑

#include //驱动的头文件

//-------------------------------------------------------------------该代码测试在x86平台,x64未经测试,,,,,,,,

//只是入门  入门 而已

#pragma  pack(1)//内存按1字节对齐

//typedef 是为一个复杂的申明定义一个简单的 (名称)定义

游客,如果您要查看本帖隐藏内容请回复

//__declspec用于指定所给定类型的实例的与Microsoft相关的存储方式

//dllimport导入一个函数     目的是将后面 KeServiceDescriptorTable导入,

// KeServiceDescriptorTable是Serivce_t的引用,

__declspec(dllimport)Serivce_t KeServiceDescriptorTable;//导出函数,  导出的函数不可自定义并且结构体的中参数类型不能变,必须和导出函数一样的

//卸载例程

void UnloadDriver(PDRIVER_OBJECT pdriver)//该函数必须显式写出,否则驱动无法卸载

{

KdPrint(("卸载成功"));//函数内部什么都不干

}

/*在进入DriverEntry函数之前IO管理器会调用ioInvalid_Derver_Object地址填满MajorFuntion数组,

该数组在Driver_Object的函数指针数组里面的每一个地址相对应的IRP消息,我们可以通过简单的设置这个数组将其与IRP派遣函数相关联(详情IRP了解)

*///  PDRIVER_OBJECT是一个结构体,

/*该结构体如下

typedef struct _DRIVER_OBJECT {

CSHORT              Type;//类型

CSHORT              Size;大小

PDEVICE_OBJECT      DeviceObject;设备对象

ULONG               Flags;标志

PVOID               DriverStart;

ULONG               DriverSize;设备大小

PVOID               DriverSection;

PDRIVER_EXTENSION   DriverExtension;  扩展设备对象--------该参数也是一个结构体

UNICODE_STRING      DriverName;设备名

PUNICODE_STRING     HardwareDatabase;

PFAST_IO_DISPATCH   FastIoDispatch;

PDRIVER_INITIALIZE  DriverInit;

PDRIVER_STARTIO     DriverStartIo;

PDRIVER_UNLOAD      DriverUnload;// 卸载函数指向

PDRIVER_DISPATCH    MajorFunction[IRP_MJ_MAXIMUM_FUNCTION + 1];

} DRIVER_OBJECT;

typedef struct _DRIVER_OBJECT *PDRIVER_OBJECT;

-------------------------------------------------------PDRIVER_EXTENSION   DriverExtension; 参数的结构体

typedef struct _DEVICE_EXTENSION

{

PDEVICE_OBJECT fdo;                     //功能层设备对象

PDEVICE_OBJECT NextStackDevice;          //底层设备对象

UNICODE_STRING interfaceName;           //设备接口

UNICODE_STRING devName;               //设备名

PKINTERRUPT InterruptObject;                    // address of interrupt object

BOOLEAN mappedport;                                       //如果为真需要做IO端口映射

PVOID MemBar0;                                                //内存基地址0

ULONG nMem0;                                           //基地址BAR0占用字节数

ULONG DmaChannel;                       //DMA通道

PDMA_ADAPTER  DmaAdapter;               //DMA Adapter 对象

PALLOCATE_COMMON_BUFFER allocateCommonBuffer;  //分配连续的物理内存

//DMA函数

PFREE_COMMON_BUFFER freeCommonBuffer;  //释放连续的物理内存DMA函数

PPUT_DMA_ADAPTER putDmaAdapter;              //释放DMA Adapter对象

PHYSICAL_ADDRESS RegsPhyBase;           //寄存器物理地址首地址

PVOID RegsBase;                         //寄存器虚拟地址首地址

PHBA_REGS pHBARegs;

ULONG DmaPort;                          //设备DMA物理端口

}  DEVICE_EXTENSION, *PDEVICE_EXTENSION;

注:该设备扩展的定义针对了PCI驱动

----------------------------------------------------以上结构只需了解目前暂时用不上,可以不记,知道就行-------------------------------------------*/

NTSTATUS DriverEntry(PDRIVER_OBJECT pdriver, PUNICODE_STRING str)//动态库入口

{

LONG*SSDT_ADR, SSDT_ADDR, SSDT_Process;//创建了3个参数其中一个是指针   这三个变量将在后面的函数中被调用

SSDT_ADDR = (LONG)KeServiceDescriptorTable.ServiceTableBase;//取出服务描述表的基地址并且将其转为long赋值给SSDT_ADDR

KdPrint(("当前服务描述表的地址是=%x", SSDT_ADDR)); //打印出当前的服务描述表基地址

//关键的一步

SSDT_ADR = (PLONG)(SSDT_ADDR + 0x7a * 4);//0x表示16进制,16进制的7a的十进制是122,利用Kernel Detective工具能看到该函数NtProcess的编号,指针的地址是4所以这乘以4

//才能获取当前的地址

KdPrint(("当前的SSDT_ADR=%x", SSDT_ADR));//打印当前的地址

SSDT_Process = *SSDT_ADR;//将当前的地址赋给  SSDT-process

KdPrint(("ssdt_process=%x", SSDT_Process));//打印出该值

pdriver->DriverUnload = UnloadDriver;//卸载例程--该函数就是在PDRIVER_OBJECT结构的倒数2个参数   PDRIVER_UNLOAD      DriverUnload;// 卸载函数指向

}

a9081cca24a3446725b8a31b4462dcbf.gif

1.png (169.12 KB, 下载次数: 0)

2020-2-27 11:52 上传

weixin_39902875
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
易语言获取SSDT源地址
08-22
易语言获取SSDT源地址源码系统结构:GetOldSsdtAddress,GetApiAddress,GetDword,GetWord,FindKiServiceTable,GetSsdtAddress,NtQuerySystemInformation,LocalAlloc,LocalFree,LoadLibraryEx,LoadLibrary,FreeLibrary,...
Linux内核printk适用范围和用法
Linux内核研究者
03-09 1102
Linux内核printk适用范围和用法
Linux:打印常量字符串指针数组和字符串指针数组和地址
katerdaisy的博客
02-27 560
Linux:打印常量字符串指针数组和字符串指针数组和地址
关于 -指针运行
Clear Code
05-27 518
指针 指针的基础 使程序简洁、紧凑、高效 有效地表示复杂的数据结构 动态分配内存 得到多于一个的函数返回 在计算机内部存储器(简称内存)中,每一个字节单元,都有一个编号,称为地址。 在C语言中,内存单元的地址称为指针,专门用来存放地址的变量,称为指针变量(pointer variable)。在不影响理解的情况中,有时对地址指针指针变量不区分,通称指针。 例如: 指针指向的内存区域中...
linux打印指针地址吗,我可以从指针地址(在Linux上的C中)获取NUMA节点吗?
weixin_42303112的博客
05-12 694
在-lnuma中有一个move_pages函数:http://linux.die.net/man/2/move_pages它可以向节点映射报告当前的地址状态(页面):nodes can also be NULL, in which case move_pages() does not move any pages but instead will return the node where eac...
Windows驱动开发学习记录-Windbg打印SSDT脚本
时空之中的灵魂
11-04 205
一、脚本 x86环境 aS ufLinkS "<u><col fg=\\\"emphfg\\\"><link name=\\\"%p\\\" cmd=\\\"uf 0x%p\\\">"; aS ufLinkE "</link></col></u>"; r $t1 = nt!KeServiceDescriptorTable; r $t2 = poi(@$t1 + 0x8); r $t1 = poi(@$t1); .p.
驱动级的隐藏进程代码,在驱动层通过替换ssdt地址表中的函数来隐藏进程...
06-26
驱动级的隐藏进程代码,在驱动层通过替换ssdt地址表中的函数来隐藏进程-Driver-class
R0层获取ShadowSSDT函数原始地址实例
11-20
本实例由VS2008开发,在提供了一套驱动开发框架的同时,又演示了如何获取Shadow SSDT表函数原始地址的办法。 主要函数:ULONG GetShadowSSDT_Function_OriAddr(ULONG index); 原理说明: 根据特征码搜索导出函数...
驱动SSDT未导出函数NtReadVirtualMemory.rtf
08-05
windows10获取SSDT未导出函数NtReadVirtualMemory详细步骤和代码,其他未导出函数同理
linux指针地址,解析Linux内核获取当前进程指针的方法
weixin_39923110的博客
05-13 409
解析Linux内核获取当前进程指针的方法一、内存数据表示: 推荐文章:《linux进程管理》我们在教材或阅读中,经常需要直观的用图示来展示数据在内存中的分布,那么数据是如何在内存中组织的呢?不同的机器有不同的表示法,我们以最常见的Intel X86系列计算机为例来说明这个问题。如上图示内存示意图:内存低在上。内存高在下,内存单位为16bit。对于基于inteli386架构的计算机,系统采用小端...
linux kernel 打印函数指针对应的函数名方法
09-15
下面小编就为大家带来一篇linux kernel 打印函数指针对应的函数名方法。小编觉得挺不错的。现在就分享给大家。也给大家做个参考。一起跟随小编过来看看吧
LinuxC指针
G1921140190的博客
05-03 1383
指针指针是一个为内存地址的变量。 int *p *p 表示所指向的内存空间的; p 是所指向内存空间的内存首地址; &p 是指p指针变量在内存中的地址; 指针的操作 指针偏移运算:p++、p+=1、p[n] 将指针位置移动所指向的位置,移动的步长与指针指向的具体数据类型有关,如在32 bit系统中,int型步长为4,64 bit系统中int型将是 8。 指针数组和数组指针的区别 数组指针 定义 int (*p)[n]; ()优先级高,首先说明p是一个指针,指向一个整型的一维数组。 指针
用C语言在linux获取鼠标指针的相对位置
你访问的页面已存在
01-03 8825
转载的代码: #include #include #include #include #include #include #include #include int main(int argc,char **argv) { int fd, retval; char buf[6]; fd_set readfds; struct timeval tv; // 打开鼠
linux c语言  open 获得当前指针位置
qq_41870875的博客
05-03 976
linux c语言 open 获得当前指针位置 //lseek的就是指针位置 啊.................. off_tcurrpos = lseek(fd, 0, SEEK_CUR); open与fopen的区别 前者(open)属于低级IO,后者(fopen)是高级IO。 前者返回一个文件描述符,后者返回一个文件指针。 前者无缓冲,后者有缓冲。 前者与 read, write,lseek 等配合使用, 备注:(lseek等同于fseek+ftell 等同于windos-c的open...
学习指针的笔记
weixin_39765961的博客
03-11 209
指针 在C语言中,内存单元的地址称为指针,专门用来存放地址的变量,称为指针变量 在不影响理解的情况中,有时对地址指针指针变量不区分,通称指针 指针的基本用法 指针变量的说明 一般形式如下: <存储类型> <数据类型> * <指针变量名>; 例如, char *pName ; 指针的存储类型是指针变量本身的存储类型。 指针说明时指定的数据类型不是指针变量本身的数据类型,而是指针目标的数据类型。简称为指针的数据类型。 指针在说明的同时, 也可以被赋予初
C语言打印指针地址)的
热门推荐
qq_32173603的博客
10-25 7万+
#include /*打印指针地址)的*/ int main() { int i=0; int *p=&i; printf("指针地址)的为:OX%p\n",p); printf("变量的为:%d\n",i); return 0; }
LinuxC——指针
技术小白的博客
06-30 1206
指针在C语言中的应用是非常多的,而且也是很重要的。一、什么是指针指针是一个为内存地址的变量。就像char类型变量的为字符,int类型变量的为整数。在使用指针的时候,一定会用到这两个符号‘*’和 ‘&amp;’,下面就首先介绍这两个运算符间接运算符*这个运算符也被称为解引用运算符,我们通过间接运算符找出存储在指针指向的某个内存中的。我们用一个例子来说明ptr = &amp;bah; var ...
Linux——C语言之指针基础复习】
qq_51197244的博客
06-19 257
Linux操作系统,对C语言的指针内容进行基础的复习。
delphi ssdt
最新发布
12-14
Delphi SSDT(System Service Dispatch Table)是指Delphi编程语言中的一种技术,用于修改或者通过HOOK方式来拦截Windows操作系统的系统服务。系统服务是操作系统提供给应用程序调用的功能模块,常见的系统服务包括...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值