SSDT结构

最新推荐文章于 2022-03-17 16:00:19 发布
最新推荐文章于 2022-03-17 16:00:19 发布
阅读量618 收藏
点赞数
分类专栏: 驱动学习 
SSDT的全称是System Services Descriptor Table,系统服务描述符表 在ntoskrnl.exe导出KeServiceDescriptorTable 这个表
typedef struct ServiceDescriptorTable {
   PVOID ServiceTableBase; //System Service Dispatch Table 的基地址
   PVOID ServiceCounterTable(0);
 //包含着 SSDT 中每个服务被调用次数的计数器。这个计数器一般由sysenter 更新。
   unsigned int NumberOfServices;//由 ServiceTableBase 描述的服务的数目。
   PVOID ParamTableBase; //包含每个系统服务参数字节数表的基地址-系统服务参数表
   } 
 
打开双击调试
dd KeServiceDescriptorTable 
 
80553fa0  80502b8c 00000000 0000011c 80503000
80553fb0  00000000 00000000 00000000 00000000
80553fc0  00000000 00000000 00000000 00000000
80553fd0  00000000 00000000 00000000 00000000
80553fe0  00002710 bf80c0b6 00000000 00000000
80553ff0  f8b97a80 f8339b60 8201ca90 806e2f40
80554000  00000000 00000000 00000000 00000000
80554010  3aeb00c0 01cd83a3 00000000 00000000
第一列显示的时内存地址,也就是KeServiceDescriptorTable在内存里面的地址,这个不管
加黑的那个就是这个结构体的第一个值,也就是ServiceTableBase的值,这里存放SSDT的表项
dd 80502b8c (当然也可以 dd poi[KeServiceDescriptorTable])
 
80502b8c  8059a948 805e7db6 805eb5fc 805e7de8
80502b9c  805eb636 805e7e1e 805eb67a 805eb6be
80502bac  8060cdfe 8060db50 805e31b4 805e2e0c
80502bbc  805cbde6 805cbd96 8060d424 805ac5ae
80502bcc  8060ca3c 8059edbe 805a6a00 805cd8c4
80502bdc  80500828 8060db42 8056ccd6 8053600e
80502bec  806060d4 805b2c3a 805ebb36 8061ae56
80502bfc  805f0028 8059b036 8061b0aa 8059a8e8
这里就是表项了..
命令dd poi[KeServiceDescriptorTable]+0n17*4 l 1
80502bd0  8059edbe
这个是查看序号17的值,0n表示17是十进制表示,l 1表示只列出一个

这个17嘛就是索引号了。。
如何获取每个函数的索引号?(一般来说XP系统的索引号都不会变)
1.使用KD工具直接查看。
2.使用OD查看传入EAX的值就是索引号。比如openprocess就是7A=122 ZwOpenProcess
3.windbg直接 u ZwOpenProcess
 
804ff720 b87a000000      mov     eax,7Ah
804ff725 8d542404        lea     edx,[esp+4]
804ff729 9c              pushfd
804ff72a 6a08            push    8
804ff72c e850ed0300      call    nt!KeReleaseInStackQueuedSpinLockFromDpcLevel+0x95d (8053e481)
804ff731 c21000          ret     10h
nt!ZwOpenProcessToken:
804ff734 b87b000000      mov     eax,7Bh
804ff739 8d542404        lea     edx,[esp+4]

如何通过API获取openprocess在系统中的原始地址?(上面查到的时当前的地址,如果被HOOK,跟起源地址可能不一样,所以可以比较这两个值来判断是不是被HOOK了)
NTKERNELAPI PVOID MmGetSystemRoutineAddress( IN PUNICODE_STRING SystemRoutineName ); 
代码
UNICODE_STRING Old_NtOpenProcess;
ULONG Old_Addr;
Old_Addr=(ULONG)MmGetSystemRoutineAddress(&Old_NtOpenProcess);//取得NtOpenProcess的地址
KdPrint(("取得原函数NtOpenProcess的值为 %x",Old_Addr));

如何获取当前的SSDT中的地址?
RtlInitUnicodeString(&Old_NtOpenProcess,L"NtOpenProcess");//当然 
NtOpenProcess一定是一个到处函数
代码
ULONG SSDT_NtOpenProcess_Cur_Addr;
 //读取SSDT表中 NtOpenProcess当前地址 KeServiceDescriptorTable
 // [[KeServiceDescriptorTable]+0x7A*4] 
__asm
{ 
push ebx
push eax
mov ebx,KeServiceDescriptorTable
mov ebx,[ebx] //表的基地址
mov eax,0x7a
shl eax,2//0x7A*4 //imul eax,eax,4//shl eax,2
add ebx,eax//[KeServiceDescriptorTable]+0x7A*4
mov ebx,[ebx]
        mov SSDT_NtOpenProcess_Cur_Addr,ebx
pop  eax
pop  ebx
}

pandamac
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
易语言获取SSDT源地址
08-22
易语言获取SSDT源地址源码系统结构:GetOldSsdtAddress,GetApiAddress,GetDword,GetWord,FindKiServiceTable,GetSsdtAddress,NtQuerySystemInformation,LocalAlloc,LocalFree,LoadLibraryEx,LoadLibrary,FreeLibrary,...
使用Visual Studio SSDT+SQL Server 进行数据挖掘-决策树篇
Bradley_xu的博客
01-30 7951
使用Visual Studio SSDT+SQL Server 进行数据挖掘-决策树篇需要使用到的软件包使用SQL Server 创建本地数据库使用Visual Studio 2017 创建挖掘项目功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出
SSDT表概念详解
Fly20141201. 的专栏
06-25 5729
SSDT 的全称是 System Services Descriptor Table,系统服务描述符表。 这个表就是一个把 Ring3 的 Win32 API 和 Ring0 的内核 API 联系起来。Ring3下调用的所有函数最终都会先进入到ntdll里面的,比如ReadFile,就会进入ntdll的ZwReadFile   SSDT 并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它
SSDT表结构的深入学习
Fly20141201. 的专栏
11-10 1658
SSDT表的知识目录: A、了解SSDT结构 B、由SSDT索引号获取当前函数地址        C、如何获取索引号 D、获取起源地址-判断SSDT是否被HOOK E、如何向内核地址写入自己代码   A、了解SSDT结构 SSDT的全称是 System  ServicesDescriptor Table--系统服务描述符表,是由 ntoskrnl.exe 导出KeServic
解决由于ntoskrnl.exe导致的蓝屏(Win10)
热门推荐
【欢迎关注公众号:冬瓜白】
10-20 30万+
注:本文章中的方法并未解决我自己的这个问题,但是也算是一个思路,大家可以参考一下。 2019.09.25 虚拟机中的 Win10 又出现了这个问题: ------------------------------------------------ 在2018.10.30的那天又蓝屏了,看来下面的方法还是不能解决问题啊。 ---------------------------------...
EPROCESS和SSDT
04-22
基于EPROCESS结构的进程检测方法 基于SSDT的进程保护方法 编程实现NT式驱动的加载与卸载 驱动程序与应用程序的通信 API函数的应用
SSDT-Boilerplate:ssdt项目.net的代码结构和模式
05-10
SSDT样板基于.net的SSDT项目的种子项目代码结构和模式。 Wiki页面上的更多信息
易语言多进程保护工具-免SSDT源码,易语言多进程保护工具-高级版
08-22
恒云雨驱动易语言源码系统结构:发送指令,刷新进程_,取内存变量地址_,创建快照_,第一个_,下一个_,关闭对象_,OpenProcess,TerminateProcess,取当前进程标识符_,ShellExecuteA,发送指令,刷新进程_,取
初探SSDT
hongduilanjun的博客
03-17 2345
SSDT 的全称是 System Services Descriptor Table,系统服务描述符表。这个表就是一个把 Ring3 的 Win32 API 和 Ring0 的内核 API 联系起来。SSDT 并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。通过修改此表的函数地址可以对常用 Windows 函数及 API 进行 Hook,从而实现对一些关心的系统动作进行过滤、监控的目的。一些 HIPS、防毒软件、系统监控、注册表监控软件往往会采用此接.
SSDT结构简记
weixin_34186950的博客
07-20 102
SSDT的全称是System Services DescriptorTable,系统服务描述符表 在ntoskrnl.exe导出KeServiceDescriptorTable 这个表 typedefstructServiceDescriptorTable{ PVOID ServiceTableBase; //System Service Dispatc...
32位的SSDT表结构浅析
XboxMicro
02-26 1990
以win7 x86为例(x64就不是我等菜鸟玩的了)   预备资料:   本地系统服务的地址在内核结构中称为系统服务调度表(System Service Dispatch Table, SSDT)中列出。该表可以基于系统调用编号进行索引,以便定位函数的内存地址。还有一个系统服务参数表(System Service Parameter Table,SSPT)指定了每个系统服务的函数
ssdt 表结构及hook的一般理解
weixin_34121282的博客
12-06 91
1       Ssdt表的基本结构 KeServiceDescriptorTable 首地址:8055D700 0: kd> dd KeServiceDescriptorTable 8055d700  80505460 00000000 0000011c 805058d4 8055d710  00000000 00000000 00000000 00000000 8055d720...
SSDT hook技术中KeServiceDescriptorTable 结构及获取
namelcx的专栏
07-05 2009
KeServiceDescriptorTable 结构  KeServiceDescriptorTable:是由内核(Ntoskrnl.exe)导出的一个表,这个表是访问SSDT的关键,具体结构是    typedef struct ServiceDescriptorTable {    PVOID ServiceTableBase;    PVOID ServiceCounterTabl
SSDT 结构
weixin_34113237的博客
11-14 81
typedef struct _ServiceDescriptorTable { PVOID ServiceTableBase; //System Service Dispatch Table 的基地址 PVOID ServiceCounterTable; //包含着 SSDT 中每个服务被调用次数的计数器。这个计数器一般由sysen...
SSDT Hook技术详解与应用
flydragonhero的专栏
03-10 6210
SSDT Hook技术详解与应用SSDT Hook技术详解与应用 一SSDT简介 1什么是SSDT 2SSDT结构 3应用层调用 Win32 API 的完整执行流程 二SSDT Hook原理 1SSDT Hook原理简介 2进程隐藏与保护 3文件隐藏与保护 4端口隐藏一、SSDT简介1、什么是SSDT​ SSDT 的全称是 System Services Descriptor Table,系统服
SSDT Hook实现内核级的进程保护
曾是土木人
06-29 8200
SSDT Hook效果图 加载驱动并成功Hook  NtTerminateProcess函数: 当对 指定的进程进行保护后,尝试使用“任务管理器”结束进程的时候,会弹出“拒绝访问”的窗口,说明,我们的目的已经达到: SSDT简介 SSDT 的全称是 System Services Descriptor Table,系统服务描述符表。 这个表
delphi ssdt
最新发布
12-14
Delphi SSDT(System Service Dispatch Table)是指Delphi编程语言中的一种技术,用于修改或者通过HOOK方式来拦截Windows操作系统的系统服务。系统服务是操作系统提供给应用程序调用的功能模块,常见的系统服务包括...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值