ssdt函数索引号_获得SSDT函数名和索引号的代码

最新推荐文章于 2022-04-28 09:29:00 发布
最新推荐文章于 2022-04-28 09:29:00 发布
阅读量219 收藏
点赞数
文章标签: ssdt函数索引号
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42298068/article/details/114470644
版权

代码:

/*++

Module Name:

Entry.c

Abstract:

A sample with ListSSDT.c .

--*/

#include "ListSSDT.h"

//

//  function declaration

//

DRIVER_UNLOAD UnloadMe;

DRIVER_INITIALIZE DriverEntry;

#ifdef ALLOC_PRAGMA

#pragma alloc_text(INIT, DriverEntry)

#pragma alloc_text(PAGE, UnloadMe)

#endif

NTSTATUS

DriverEntry(

IN PDRIVER_OBJECT DriverObject,

IN PUNICODE_STRING RegistryPath)

/*++

Routine Description:

Entry of driver.

Arguments:

DriverObject - Pointer to driver object created by system.

RegistryPath - Pointer to the Unicode name of the registry path

for this driver.

Return Value:

NT Status code

--*/

{

NTSTATUS Status;

ULONG NameLength;

ULONG AddrLength;

PVOID NameBuffer;

PVOID AddrBuffer;

PVOID AddrOrig;

ULONG i;

//

//

//Important Variables:

//

//  NameBuffer - Buffer to receive the function names of SSDT.

//  AddrBuffer - Buffer to receive the current function address of SSDT.

//  AddrOrig - Buffer to receive the original function address of SSDT.

//

//

UNREFERENCED_PARAMETER( RegistryPath );

//

//  driver initialization

//

DriverObject->DriverUnload = UnloadMe;

//

//  get the size of all information.

//

Status = GetNeedLength( &NameLength, &AddrLength);

if(!NT_SUCCESS(Status))

{

return Status;

}

//

//  allocate memory

//

NameBuffer = ExAllocatePoolWithTag(NonPagedPool, NameLength, 'name');

AddrBuffer = ExAllocatePoolWithTag(NonPagedPool, AddrLength, 'addr');

AddrOrig = ExAllocatePoolWithTag(NonPagedPool, AddrLength, 'orig');

if(NameBuffer == NULL)

{

return STATUS_UNSUCCESSFUL;

}

if(AddrBuffer == NULL)

{

ExFreePool(NameBuffer);

return STATUS_UNSUCCESSFUL;

}

if(AddrOrig == NULL)

{

ExFreePool(NameBuffer);

ExFreePool(AddrBuffer);

return STATUS_UNSUCCESSFUL;

}

//

//  get information

//

Status = GetSSDTInfo(NameBuffer, AddrBuffer, AddrOrig);

//

//  print result

//

if(NT_SUCCESS(Status))

{

for( i = 0; i 

{

DbgPrint("%3d\t\t%s\t\t\t0x%08x\t0x%08x\n",

i,

(ULONG)NameBuffer + i * 0x32,

*(PULONG)((ULONG)AddrOrig + i * 0x04),

*(PULONG)((ULONG)AddrBuffer + i * 0x04));

}

}

//

//  free memory

//

if(NameBuffer != NULL)

{

ExFreePool(NameBuffer);

NameBuffer = NULL;

}

if(AddrBuffer != NULL)

{

ExFreePool(AddrBuffer);

AddrBuffer = NULL;

}

if(AddrOrig != NULL)

{

ExFreePool(AddrOrig);

AddrBuffer = NULL;

}

return Status;

}

VOID

UnloadMe(

IN PDRIVER_OBJECT DriverObject)

{

UNREFERENCED_PARAMETER( DriverObject );

//

//  nothing to do

//

}

易千吠
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
通过获得ssdt函数的序
被遗弃的庸才博客
10-28 696
假设现在我们已经能够获得ssdt表的位置,能够实现对ssdt函数地址替换,那么现在又一个问题就是找到想要hook的ssdt函数。 由于不同版本的操作系统下对应的函数调用是不同的,所以这里可以通过ntdll得到当前系统下函数的调用 具体的代码如下所示 ULONG GetIndexByName(UCHAR *sdName) { NTSTATUS Status; HANDLE Fi...
高版本Windows下SSDT函数获取例子完整工程
10-23
在Windows10 高版本中 ,因为页表隔离补丁(?),__readmsr(0xC0000082) 返回KiSystemCall64Shadow,这玩意无法直接搜索到 KeServiceDescriptorTable,以前获取SystemServiceDescriptorTable的方法失效。
获得SSDT表函数
cqyczj的专栏
04-18 1742
代码:  ULONG GetSSDTName() {  KdBreakPoint();  if (KeGetCurrentIrql() > PASSIVE_LEVEL)  {   return STATUS_UNSUCCESSFUL;  }  //设置NTDLL路径  UNICODE_STRING uniFileName;  RtlInitUnicodeString(&uniFileName, 
发个获得SSDT函数索引代码
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-09 1870
通过枚举ntdll.dll的导出表,先是判断是不是Nt开头的,是的话再判断第一要语句是不是mov eax,是的话再取得索引。 具体见源码,没有什么技术含量。 只是觉得前面有很多人写过了,但是后面可能还有很多人写,所以丢出来,供大家娱乐一下。 引用: // 使用说明例子 #include "GetSSDTInformation.h" #include  i
内核层获取SSDT中函数原始地址
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-09 1454
标 题: 【下载】内核层获取SSDT中函数原始地址 作 者: QEver 时 间: 2011-08-30,20:32:28 链 接: http://bbs.pediy.com/showthread.php?t=139524 昨天在看雪看到《【下载】发个获得SSDT函数索引代码》,一时兴起整理了一份内核层根据ntdll.dll和nt模块文件来获取SSDT函数原始的地址的代码,可以
ssdt函数索引_BUG:SSDT函数获取SSDT函数
weixin_30200131的博客
12-28 141
ULONG GetFunctionId(char* FunctionName)/*++Routine Description:[已删除,请勿再提任何无理要求。]Arguments:FunctionName - 导出的函数.Return Value:函数的服务的地址.--*/{NTSTATUS ntstatus;HANDLE hFile = NULL;HANDLE hSection = NULL...
精选_内核内存映射文件之获取SSDT函数索引_源码打包
03-11
总结来说,获取SSDT函数索引是Windows内核编程中的一项关键技术,它涉及对内核内存结构的理解、KPCR和SSDT的访问以及系统服务的识别。通过源码学习,开发者可以深化对Windows内核工作原理的理解,并提升系统级编程...
ssdt_hook.rar_ssdt_ssdt hook_ssdt_hook_struct.h
09-21
标题“ssdt_hook.rar_ssdt_ssdt hook_ssdt_hook_struct.h”中提到了几个关键点: 1. **ssdt_hook.rar**:这是一个压缩包文件,可能包含了关于SSDT Hook的相关代码和资源。 2. **ssdt**:这是SSDT的缩写,表示我们要...
SSDTHook_ssdt_SSDTHook_
10-01
标题“SSDTHook_ssdt_SSDTHook_”暗示了这个压缩包可能包含了一个关于SSDT Hooking的工具或者教程。这个工具或教程可能是为了帮助用户理解和实践如何在Windows内核层面上进行系统服务的挂钩。 描述“ssdt hooking ...
SSDT.rar_WINDOWS ssdt_hook_ssdt_ssdt hook_windows xp hook ss
09-21
标题中的"SSDT.rar_WINDOWS ssdt_hook_ssdt_ssdt hook_windows xp hook ss"指的是在Windows XP操作系统中关于System Service Dispatch Table (SSDT)的Hook技术。SSDT是Windows内核中一个关键的数据结构,它存储了...
SSDT Hook_内核_x86_ssdthook_驱动_
10-03
内核_x86_ssdthook_驱动_"显然是一个针对32位(x86架构)系统的SSDT Hook实现示例,通过提供的文件如"SSDT Hook.sln",我们可以推断这可能是一个Visual Studio解决方案文件,包含了项目的源代码、编译配置等信息。...
根据索引读出SSDT表当前函数地址
weixin_30321709的博客
01-10 126
公式: [[KeServiceDescriptorTable]+index(索引)*4] 例如要读取 NtOpenProcess [[KeServiceDescriptorTable]+0x7A*4] 1. 纯汇编读取 WinDbg推导公式 : dd poi[KeServiceDescriptorTable] + 0x7A*4L 1 mul是无符乘法imul是带符乘法 ....
初探win10 x64 SSDT(驱动学习笔记五)
rep_Su的博客
10-11 3373
初探win10 x64 SSDT0x0 windbg中查看SSDT背景介绍查看SSDT0x1 代码获取SSDT表中的函数获取SSDT的地址 0x0 windbg中查看SSDT 背景介绍 学习驱动的过程中,由于涉及到SSDT HOOK相关的知识点,开始学习SSDT,关于SSDT的基本概念,这里省去,中文是系统服务描述表,具体的理解可自行百度,由于是初步探讨,本篇只介绍方法。 查看SSDT x64系...
SSDT表的遍历(源码)
liujiayu2的专栏
06-08 1390
//VS2005创建的工程,系统xp sp2      //++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++      //stdafx.h文件   #ifndef _WIN32_WINNT        // Allow use of features speci
读取SSDT表和原函数地址
weixin_33826609的博客
01-21 183
今天的成果,读取了我的SSDT地址. 读取当前地址代码(NtOpenProcess): LONG *SSDT_Adr,t_addr,adr; t_addr=(LONG)KeServiceDescriptorTable->ServiceTableBase; SSDT_Adr=(PLONG)(t_addr+0x7a*4); adr=*SSDT_Adr; 读取起源地址(NtOpenPro...
驱动开发:Win10中如何枚举所有SSDT
热门推荐
CSDN
04-28 1万+
SSDT表通过以前的文章可以找到,找到后我们可根据序获取到该SSDT的地址,如果需要输出所有SSDT表信息,则可以定义字符串列表,以此循环得到,这个列表我已经提取出来了。这里提取出所有的SSDT表函数名称,并循环枚举所有SSDT表。
SSDT 结构体
weixin_34248705的博客
11-14 134
typedef struct _ServiceDescriptorTable { PVOID ServiceTableBase; //System Service Dispatch Table 的基地址 PVOID ServiceCounterTable; //包含着 SSDT 中每个服务被调用次数的计数器。这个计数器一般由sysen...
枚举SSDT 系统服务表中的函数地址
qinqin772的博客
01-02 1908
网上关于SSDT的有很多的博客可以参考,我就不啰嗦了直接上码 #include //SSDT服务表中,各项对应的函数名称,@num 代表参数*4的大小 char* funcName[] = { "NtAcceptConnectPort@24 ", "NtAccessCheck@32 ",
alter table p_part_version Add column `ssdt_child_type_id` int(11) DEFAULT NULL after `is_get_sapno`;
最新发布
06-12
这是一条 MySQL 数据库的语句,用于在表 `p_part_version` 中添加一个为 `ssdt_child_type_id` 的列,其类型为 `int(11)`,默认值为 `NULL`,并且该列将会在 `is_get_sapno` 列后添加。这条语句的作用是修改数据库...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值