X64系统下的KeServiceDescriptionTable

最新推荐文章于 2021-11-23 03:54:40 发布
最新推荐文章于 2021-11-23 03:54:40 发布
阅读量3.2k 收藏 1
点赞数
分类专栏: Windows 驱动编程 文章标签: hook 微软
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whf727/article/details/5301355
版权

    最近在搞64位系统驱动,虽然在64位系统上不能在进行SSDT等Hook了。但是需要用到KeServiceDescriptorTable中的东西。用Windbg发现64下KeServiceDescriptionTable结构虽然是相似的,但是要获取index中的函数地址却不一样。u一样,完全不是什么函数地址。是一些很怪的数,刚开始有些怀疑是不是搞错了,于是转到32位下面按照查看服务的方式看了一边没有问题。在转到64位系统下,继续看看,有很多都是类似的数据,我想这个应该是没有错的。在dq几次之后,发现真正的地址是在这些奇怪的数据之后。看看网上有什么说明没有。下面是摘自http://www.langouster.com/HTML/92.html

  

在64位系统,内核函数开头地址的低四位一般是0,形如:xxxxxxxx`xxxxxxx0,这一特征在SSDT表中有很强大的引用,SSDT表在64位系统于32位系统有较大的差别。以下是在64位系统下的KeServiceDescriptorTable:

kd> dp KeServiceDescriptorTable
fffff800`0117bb80  fffff800`01076e00 00000000`00000000
fffff800`0117bb90  00000000`00000128 00000000`00000000

表的第二项于第四项都为0,这两项在32位系统下分别对应ServiceCounterTableBase与ParamTableBase。SSDT表还是同32位系统每4字节表示一项,由于函数的起始地址最低四位都是0,所以微软将SSDT中的低四位用来记录这个函数有多少个参数。并且由于表的每一项都为四个字节,保存的就不可能是绝对地址,而是相对KeServiceDescriptorTable表的地址。所以地址计算方法如下:

FuncAddr=([KeServiceDescriptortable+index*4]+KeServiceDescriptortable)&0xFFFFFFF0

 

 

 

用虾窝中的公式,尝试了一下,果然找到了正确的地址。

less@more
关注
专栏目录
Winodws x64系统服务调用的那头4个参数
muy的专栏
07-03 4246
前几天有朋友遇到一个问题来问我。他有一个Windows 7 x64下的minidump文件,经过初步分析,知道系统崩溃最初是因用户态调用了NtDeviceIoControlFile造成的,KeBugCheckEx调用已经位于多重函数调用的深处,问如何找到最初NtDeviceIoControlFile的参数,尤其是头4个参数。经过一番努力,我总算是把问题解决了,其中得到一些领悟,想趁热记录。
Win64 驱动内核编程-18.SSDT
天使也掉毛
03-19 2227
SSDT  学习资料:http://blog.csdn.net/zfdyq0/article/details/26515019  学习资料:WIN64内核编程基础 胡文亮      SSDT(系统服务描述表),刚开始接触什么进程保护XXX啥的,都是看到在说SSDT(虽然说目前很多杀软都已经采用稳定简单的回调姿势了)。这次就弄清楚两个问题:     如何在内核里动态获得 SSDT 的基址;
KeServiceDescriptorTable64获取
weixin_34368949的博客
03-11 915
1 ULONGLONG GetKeServiceDescriptorTable64() //我的方法 { PUCHAR StartSearchAddress = (PUCHAR)__readmsr(0xC0000082); PUCHAR EndSearchAddress = StartSearchAddress + 0x500; PUCHAR i = NULL; U...
64位vista,win7中KeServiceDescriptorTable问题
Tommy(凌飞)的专栏
12-11 3209
     最近在移植64位驱动,原本在32位驱动中使用到了KeServiceDescTable进行SSDT Hook等。但是在64位系统上是不允许进行SSDT HOOk的。在64位的XP系统上,使用到这个导出符号式没有问题的。但是在64位Vista和Win7下面,如果使用了这个符号,那么你在加载驱动的时候,返回的错误是找到不指定文件。在修这个bug真是有点吃力,只能一点点个跟进去,还好手边有WRK
x64技术之SSDT_Hook
Hades的博客
05-10 5658
x64技术之SSDT_Hook测试环境:虚拟机: Windows 7 64bit过PG工具驱动加载工具PCHunter64系统自带的计算器和任务管理器等实现思路:实际思路与win32的思路一样.都是替换SSDT表里边的函数地址.不过微软被搞怕了,所以在x64上做了一些手脚.具体手脚就是x64通过SSDT得到的函数地址,不是真实的函数绝对地址了,而是加密了的.HOOK1.得到系统服务表基址2.保存需...
Win64 驱动内核编程-22.SHADOW SSDT HOOK(宋孖健)
天使也掉毛
03-26 4817
SHADOWSSDTHOOK HOOK和UNHOOKSHADOWSSDT跟之前的HOOK/UNHOOKSSDT类似,区别是查找SSSDT的特征码,以及根据索引计算函数地址的公式,还有一个就是吧跳转函数写在什么位置,SSDT的时候是写在蓝屏函数里了。 一、获得wKeServiceDescriptorTableShadow的地址 这个跟获得KeServi...
WIN7 X64 SSDT函数获得
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-14 2128
曾经在网上看到一片文章, 在早期64位系统,内核函数开头地址的低四位一般是0,形如:xxxxxxxx`xxxxxxx0,这一特征在SSDT表中有很强大的引用,SSDT表在64位系统于32位系统有较大的差别。以下是在64位系统下的KeServiceDescriptorTable: kd> dp KeServiceDescriptorTable fffff800`0117bb80  fffff8
使用WinDbg调试Windows内核(二)
stonesharp的专栏
03-25 1567
使用WinDbg调试Windows内核(二) 上篇文章介绍了windbg调试内核的基本环境设置以及一些基础调试技巧,这篇文章介绍一些windbg的高级调试技巧。 0×01使用断点跟踪数据 断点通常用在暂停某个我们感兴趣的执行代码,例如当某个函数被调用时,我们还可以使用WinDbg断点命令字符串跟踪一些信息。在这里,我们将着眼于跟踪特定用户模式进程的有趣信息,即特定数据NO
Windbg 查看SSDT表
weixin_33910137的博客
12-21 164
SSDTHOOK的原理其实非常简单,我们先实际看看KeServiceDescriptorTable是什么样的。 lkd>ddKeServiceDescriptorTable 8055ab80804e3d20000000000000011c804d9f48 8055ab9000000000000000000000000...
Windows下如何获得KeServiceDescriptorTableShadow地址
misterliwei的专栏
07-22 3059
Windows下如何获得KeServiceDescriptorTableShadow地址 总结网上文章的观点,主要有下面几种:1.根据操作系统分类。在WIN2K下KeServiceDescriptorTableShadow接跟着keServiceDescriptorTable;而在XP下,顺序正好相反,KeServiceDescriptorTable紧跟着KeServiceDescri
遍历WIN7 64位SSDT表
qq_41490873的博客
08-26 1042
在64位系统里面,KeServiceDescriptorTable并未导出。 可以通过函数KiSystemCall64来找到服务表的地址,而KiSystemCall64也是未导出的。 找到KiSystemCall64函数的方法是读取kd> rdmsr c0000082 msr寄存器的值 。这样就可以找到服务表地址了 typedef struct _KSYSTEM_SERVICE_TABLE { PLONG ServiceTableBase;
CPU漏洞补丁修复导致KeServiceDescriptorTable获取变更
weixin_30784501的博客
01-11 656
  一、前言   2018年元旦,出现的cpu的漏洞,可以在windows环三直接读取内核数据,windows对该漏洞提供补丁,补丁增加了一个页表,对应的内核处理也增加了,接下来我们看下补丁修复的表象以及对KeServiceDescriptorTable获取的变更。   可参考https://bbs.kafan.cn/thread-2112833-1-1.html   二、补丁修...
读出SSDT表当前函数地址
crkres9527
09-16 650
        A、引用KeServiceDescriptorTable表         B、通过ServiceTableBase+偏移读出当前函数地址         C、用windbg测试读取的值 系统服务描述符表 在ntoskrnl.exe导出KeServiceDescriptorTable 这个表 typedef struct _ServiceDescriptorTable { ...
另一种获取系统服务描述表入口地址的方法
07-11 2673
 在《自动获取 NT 系统服务描述表与函数名映射表》一文中我使用MS提供的DbgHelp库,从符号库文件中查找KeServiceDescriptorTableKeServiceDescriptorTableShadow符号,以获取系统服务描述表入口地址。这种方法逻辑简单,但是对不同操作系统版本的调试符号文件有依赖性,不适用于作为工具被散发出去的程序。因此这儿给出另外一种从线程本身的特性着手获
【PSI/SI学习系列】2.PSI/SI深入学习3——SI信息解析2(SDT, EIT, TDT,TOT)
热门推荐
Destiny的专栏
10-24 1万+
SDT 解析 PARSING OF SDT "SDT描述了业务内容及信息,连接了NIT与EIT和PMT(PSI)"         SDT即服务描述表(Service Description Table),它描述了一个业务中的内容以及信息,它承上启下,以transport_stream_ID连接了NIT和EIT;SDT的servicID必须与PMT中的Program_no一致,因此,SD
Win10 x64 KeServiceDescriptorTable SSDT 偏移计算理解
Doub1's Blog
11-23 1741
Win10 x64 KeServiceDescriptorTable SSDT 偏移计算理解引言站在巨人的肩膀上实现代码通用的偏移计算方法 引言 很久没写博客了,水个博客,KeServiceDescriptorTableKeServiceDescriptorTableShadow的原理我就不写了,百度很多,主要这篇写如何定位x64下未导出的KeServiceDescriptorTable。 站在巨人的肩膀上 前辈们在之前已经找到了一个计算公式,通过读取msr寄存器的0xC0000082读取到
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值