ssdt函数索引号_XP取SSDT表中指定索引号的函数地址

最新推荐文章于 2022-07-17 15:38:17 发布
最新推荐文章于 2022-07-17 15:38:17 发布
阅读量124 收藏
点赞数
文章标签: ssdt函数索引号
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42361623/article/details/114000648
版权

SSDT.h头文件

#ifndef _SSDT_H_

#define _SSDT_H_

// NT操作系统有多张服务表,SSDT就是其中一张

// NT操作系统使用如下结构描述一张服务表

typedef struct _KSERVICE_TABLE_DESCRIPTOR {

PULONG_PTR Base; // 服务表地址

PULONG Count; // 服务表中服务被调用次数的计数器

ULONG Limit; // 服务个数,即有多少个函数了

PUCHAR Number; // 服务参数表

} KSERVICE_TABLE_DESCRIPTOR, *PKSERVICE_TABLE_DESCRIPTOR;

// 流传NT使用下面的代码在模块ntoskrnl.exe中导出KeServiceDescriptorTable

//#define NUMBER_SERVICE_TABLES 4

//extern KSERVICE_TABLE_DESCRIPTOR KeServiceDescriptorTable[NUMBER_SERVICE_TABLES];

//extern KSERVICE_TABLE_DESCRIPTOR KeServiceDescriptorTableShadow[NUMBER_SERVICE_TABLES];

// 根据流传,我们直接声明KeServiceDescriptorTable,就可使用它了

__declspec(dllimport) extern "C" PKSERVICE_TABLE_DESCRIPTORKeServiceDescriptorTable;

class CSSDT

{

public:

CSSDT(void);

~CSSDT(void);

void Show_SSDT(void);// 查看SSDT表

ULONG_PTR GetFunctionAddr(int iFunIndex);// 取SSDT表中指定索引号的函数地址

};

#endif// _SSDT_H_

-----------------------------------------

SSDT.cpp文件内容:

#include "stdafx.h"

#include "SSDT.h"

CSSDT::CSSDT(void)

{

}

CSSDT::~CSSDT(void)

{

}

/**

@Name: Show_SSDT

@Brief 查看SSDT表

@Param: void

@Return: void

*/

void CSSDT::Show_SSDT(void)

{

KSERVICE_TABLE_DESCRIPTOR ssdt = KeServiceDescriptorTable[0];

KdPrint(("[Show_SSDT] KeServiceDescriptorTable=0x%X \n", KeServiceDescriptorTable));

ssdt.Limit = ssdt.Limit > 0x11C ? 0x11C : ssdt.Limit;

for (int i = 0; i < ssdt.Limit; i++)

{

KdPrint(("[Show_SSDT %d] 0x%X \n", i, ssdt.Base[i]));

}

}

/**

@Name: GetFunctionAddr

@Brief 取SSDT表中指定索引号的函数地址

@Param: int iFunIndex

@Return: 成功返回指定索引号的函数地址,失败返回NULL

*/

ULONG_PTR CSSDT::GetFunctionAddr(int iFunIndex)

{

KSERVICE_TABLE_DESCRIPTOR ssdt = KeServiceDescriptorTable[0];

if (iFunIndex > ssdt.Limit)

{

KdPrint(("[GetFunctionAddr] failed: 索引超出范围 iFunIndex=%d > %d \n", iFunIndex, ssdt.Limit));

return NULL;

}

return ssdt.Base[iFunIndex];

}

---------------------------------------------------------------

// 驱动入口

#pragma INITCODE

NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath)

{

DriverObject->DriverUnload = DriverUnload;

KdPrint(("hello DriverEntry \r\n"));

CSSDT objSSDT;

//objSSDT.Show_SSDT();

KdPrint(("ssdt 0号函数地址:0x%X", objSSDT.GetFunctionAddr(0)));

KdPrint(("ssdt 122号函数地址:0x%X", objSSDT.GetFunctionAddr(122)));

KdPrint(("ssdt 123号函数地址:0x%X", objSSDT.GetFunctionAddr(123)));

return STATUS_SUCCESS;

}

-------------------------------------

效果截图:

0818b9ca8b590ca3270a3433284dd417.png

椒盐皮皮鲲
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XPSSDT表
friendan的专栏
06-29 1574
SSDT表已经是老生常谈了,为了方便操作,我封装了一个类CSSDT。 SSDT.h头文件代码如下: #ifndef _SSDT_H_ #define _SSDT_H_ // NT操作系统有多张服务表,SSDT就是其中一张 // NT操作系统使用如下结构描述一张服务表 typedef struct _KSERVICE_TABLE_DESCRIPTOR { PULONG_PTR Base;
根据索引读出SSDT表当前函数地址
weixin_30321709的博客
01-10 131
公式: [[KeServiceDescriptorTable]+index(索引)*4] 例如要读 NtOpenProcess [[KeServiceDescriptorTable]+0x7A*4] 1. 纯汇编读 WinDbg推导公式 : dd poi[KeServiceDescriptorTable] + 0x7A*4L 1 mul是无符乘法imul是带符乘法 ....
XPSSDT表中指定索引函数地址
friendan的专栏
06-29 1392
SSDT.h头文件 #ifndef _SSDT_H_ #define _SSDT_H_ // NT操作系统有多张服务表,SSDT就是其中一张 // NT操作系统使用如下结构描述一张服务表 typedef struct _KSERVICE_TABLE_DESCRIPTOR { PULONG_PTR Base; // 服务表地址 PULONG Count; // 服务表中服务被调用次数
KiFastCallEntry逆向&_KiSystemService 逆向
weixin_45678798的博客
07-17 445
调用NTDLL下的系统服务存根函数时,会指定一个系统服务,在内核下,会通过_KeServiceDescriptorTable查找到指定的系统服务例程。这个过程就是系统服务分发,系统服务分发主要通过SDT表进行分发,系统可支持多个SDT表,根据传入的系统服务进行拆分,0-11位是索引,12位是表的索引。..................
【软考】解析直接地址索引和间接地址索引
安之ccy的博客
05-07 4385
  在软考中我们经常遇到关于索引方面的试题,今天就让小编来简单解答一下,解答中主要以讲解试题为主:   直接地址所以:顾名思义就是在计算机中采用最最直接的方式来存储数据块;   间接地址索引:它有几个分类,一级间接地址索引、二级间接地址索引、三级间接地址索引……,它的变现形式就是根据具体有几次间接索引来命名的。 2010年下半年真题: 27-28;某文件系统采用多级索引结构,若磁盘块的大小为512字节,每个...
精选_内核内存映射文件之获SSDT函数索引_源码打包
03-11
本文将深入探讨如何在Windows内核编程中获SSDT函数索引,并通过源码打包文件`get-ssdt-function-index`来展示具体的实现步骤和技术细节。 首先,我们需要理解SSDT的基本结构。在32位Windows系统中,SSDT是一个...
精选_64位系统上获SSDT表地址以及从中获指定SSDT函数地址_源码打包
03-10
本压缩包文件“精选_64位系统上获SSDT表地址以及从中获指定SSDT函数地址_源码打包”主要关注如何在64位Windows系统上查找SSDT表的地址,并从SSDT中获特定函数地址。 在64位系统中,由于处理器架构的不同...
R0层获ShadowSSDT函数原始地址实例
11-20
本实例由VS2008开发,在提供了一套驱动开发框架的同时,又演示了如何获Shadow SSDT表函数原始地址的办法。 主要函数:ULONG GetShadowSSDT_Function_OriAddr(ULONG index); 原理说明: 根据特征码搜索导出函数...
SSDT函数服务对照表
09-16
这个对照表提供了SSDT中每个函数在不同操作系统版本和Service Pack中的索引(Idx),这对于理解和分析Windows系统的内部工作原理,特别是进行驱动开发和系统安全研究时非常有用。 `HOOK`技术是一种在特定函数被调用...
ssdt-hook.rar_4 3 2 1_hook_hook ssdt_ssdt_ssdt hook
最新发布
09-19
1。获ssdt函数个数 2。获ssdt函数表中的所有函数 3。hook ZwQuerySystemInformation 4。unhook ZwQuerySystemInformation 5。根据用户给定的函数地址ssdt表中索引,修改ssdt表。
简单理解盘索引地址的表示原理
踏雪寻梅
08-31 6933
试题(27)、(28) 设文件索引节点中有8个地址项,每个地址项大小为4字节,其中5个地址项为直接地址索引,2个地址项是一级间接地址索引,1个地址项是二级间接地址索引,磁盘索引块和磁盘数据块大小均为1KB。若要访问文件的逻辑块分别为5和518,则系统应分别采用_(27)_;而且可表示的单个文件最大长度是__(28)____KB。(28)处填()。 A.517 B.1029 C.16513 ...
r0下进程保护
hongduilanjun的博客
03-07 1388
前言 SSDT 的全称是 System Services Descriptor Table,系统服务描述符表。这个表就是一个把 Ring3 的 Win32 API 和 Ring0 的内核 API 联系起来。SSDT 并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。通过修改此表的函数地址可以对常用 Windows 函数及 API 进行 Hook,从而实现对一些关心的系统动作进行过滤、监控的目的。一些 HIPS、防毒软件、系统监控、注册表监控软件往往会采用
SSDT(系统服务描述符表 system services descriptor table)
weixin_30832143的博客
03-02 1065
SSDT表介绍 ntdll.dll模块中的函数有些以nt或zw开头的函数为了完成相应的功能需要进入内核,调用内核中以nt开头的函数来完成相应的功能。ntdll.dll里的函数在进入内核层之前首先将系统服务传入eax寄存器中,然后调用KiSystemService函数进入内核层。进入内核后会根据eax值索引ssdt表里的函数进行执行相应地址函数SSDT的每一项是一个系统服务函数地址,可...
RMB系统调用4、SSDT
Windows内核学习笔记
07-06 271
一、回顾 前两篇博客,我逆向分析了 KiSystemService 和 KiFastCallEntry 填充_KTRAP_FRAME 结构体的代码,二者大同小异,主要的区别是 sysenter 只改了eip,cs,ss,虽然esp也改了,但是windows不使用,而是从TSS里esp0;另外sysenter并没有像中断门那样压栈,所以3环的 ss, esp, eflags, cs,eip都要在函数里依次保存到 _KTRAP_FRAME 。 这次课后作业是逆向 KiSystemService / KiFas
SSDT Hook底层原理介绍以及如何实现进程保护
linuxguitu的博客
12-03 939
目录 SSDT Hook效果图 SSDT简介 SSDT结构 SSDT HOOK原理 Hook前准备 如何获得SSDT中函数地址SSDT Hook流程 SSDT Hook实现进程保护 SSDT Hook效果图 加载驱动并成功Hook NtTerminateProcess函数: 当对 指定的进程进行保护后,尝试使用“任务管理器”结束进程的时候,会弹出“拒绝访问”的窗口,说明,我们的目的已经达到: SSDT简介 SSDT 的全称是 System Services Descr.
SSDT服务表数据
落笔飞花笑百生的博客
04-27 597
 #include  typedef struct _KSYSTEM_SERVICE_TABLE  {    PULONG  ServiceTableBase;        // SSDT (System Service Dispatch Table)的基地址     PULONG  ServiceCounterTableBase; // 包含 SSDT 中每个服务被调用
[原创]逆向追踪win10 SSDT
weixin_34071713的博客
08-20 1245
2019独角兽企业重金招聘Python工程师标准>>> ...
#define SYSTEMSERVICE(_func) KeServiceDescriptorTable.ServiceTableBase[ *(PULONG)((PUCHAR)_func+1) 这...
weixin_33804990的博客
08-17 149
这个跟KeServiceDescriptorTable的结构有关 下面是KeServiceDescriptorTable的结构定义 KeServiceDescriptorTabletypedef struct _KSERVICE_TABLE_DESCRIPTOR { PULONG_PTR Base; PULONG Count; ULONG Limit; PUCHAR Number;...
Anti SSDT Hooking技术解析
SSDT是Windows API实际函数地址存储的表,当内核需要执行特定API时,会通过Service Index从SSDT获函数的实际地址并调用。由于SSDT存在于内核内存中,并且所有应用程序共享同一表,因此修改SSDT可以实现全局性的API...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值