WinDbg x86下查看SSDT SSSDT

最新推荐文章于 2023-07-21 15:58:25 发布
最新推荐文章于 2023-07-21 15:58:25 发布
阅读量1.4k 收藏 3
点赞数
分类专栏: 驱动学习 调试 文章标签: 内核
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuhuibeishadiao/article/details/51027196
版权

  • 前提:设置好操作系统的符号表
    SSDT表的查看:

    kd> x nt!kes*des*table*
80553fe0 nt!KeServiceDescriptorTableShadow = 
80554020 nt!KeServiceDescriptorTable = 
kd> dd 80554020
80554020 80502b9c 00000000 0000011c 80503010
80554030 00000000 00000000 00000000 00000000
80554040 00000000 00000000 00000000 00000000
80554050 00000000 00000000 00000000 00000000
80554060 00002710 bf80c0a9 00000000 00000000
80554070 f7a58a80 f71feb60 82ec3a90 806e2f40
80554080 00000000 00000000 4422b408 00000000
80554090 08174448 01cd7c5e 00000000 00000000
kd> dds 80502b9c L11c
80502b9c 8059a9f4 nt!NtAcceptConnectPort
80502ba0 805e7e6e nt!NtAccessCheck
80502ba4 805eb6b4 nt!NtAccessCheckAndAuditAlarm

    SSSDT的查看
    SSSDT在没有GDI的进程中是无法加载显示的 所以要附加到一个GDI进程
    shadowSSDT查看
    1. 在虚拟机中运行mspaint.exe(GDI进程)
    2. !process 0 0
    3. .process /p mspaint的eprocess
    4. 

    kd > x nt!*kes*des*table*
80553fe0 nt!KeServiceDescriptorTableShadow = 
80554020 nt!KeServiceDescriptorTable = 
kd > dd 80553fe0
80553fe0 80502b9c 00000000 0000011c 80503010
80553ff0 bf99a100 00000000 0000029b bf99ae10
80554000 00000000 00000000 00000000 00000000
80554010 00000000 00000000 00000000 00000000
kd > dds bf99a100 L29b
bf99a100 bf93637f win32k!NtGdiAbortDoc


zhuhuibeishadiao
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
windbg x86
10-27
Windbg x86是微软开发的一个强大的调试工具,主要用于对Windows操作系统进行低级别的系统调试。它在软件开发、故障排查和性能分析等方面扮演着至关重要的角色。作为一个专业的IT大师,我将详细介绍Windbg x86的功能...
windbg安装包x86_x64.rar
09-21
在提供的压缩包“windbg安装包x86_x64.rar”中,包含了两个msi安装文件:dbg_x86.msi(32位版本)和dbg_amd64.msi(64位版本)。根据你的操作系统架构,选择合适的版本进行安装。如果你的系统是32位的,那么你应该...
初探win10 x64 SSDT(驱动学习笔记五)
rep_Su的博客
10-11 3464
初探win10 x64 SSDT0x0 windbg查看SSDT背景介绍查看SSDT0x1 代码获取SSDT表中的函数获取SSDT的地址 0x0 windbg查看SSDT 背景介绍 学习驱动的过程中,由于涉及到SSDT HOOK相关的知识点,开始学习SSDT,关于SSDT的基本概念,这里省去,中文名是系统服务描述表,具体的理解可自行百度,由于是初步探讨,本篇只介绍方法。 查看SSDT x64系...
使用WinDbg获取SSDT 系统服务描述表的函数服务号(索引)
whatday的专栏
10-10 2143
今天研究了一下午SSDT的东东,最尴尬的是起初我不知道如何获取到SSDT的函数服务号,而这个玩意儿在不同版本的windows是不一样的,后面经过研究还是找到了正确的方法.这里简单的分享一下. ·    先用个图温习一下Win32API的调用流程吧 这里以函数QuerySystemInformation为例子                              
初探SSDT
hongduilanjun的博客
03-17 2439
SSDT 的全称是 System Services Descriptor Table,系统服务描述符表。这个表就是一个把 Ring3 的 Win32 API 和 Ring0 的内核 API 联系起来。SSDT 并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。通过修改此表的函数地址可以对常用 Windows 函数及 API 进行 Hook,从而实现对一些关心的系统动作进行过滤、监控的目的。一些 HIPS、防毒软件、系统监控、注册表监控软件往往会采用此接.
SSDT】SSDT hook技术
dr0op's blog
09-07 2211
通过修改此表的函数地址可以对常用Windows函数及API进行Hook,从而实现对一些关心的系统动作进行过滤、监控等目的。在NT4.0 以上的Windpws 操作系统中,默认存在两个系统服务描述表,两个调度表对应两类不同的系统服务。要Hook SSDT表,首选需要这个表是可写的,但是在XP之后的系统都是只读的,有三种方式修改内存保护机制。其中第1位叫做保护属性位,控制着页的读或写属性。如果为0,则只能读/执行。SSDT,IDT(中断描述符表)的页属性在默认情况下只读,可执行,但不能写。例如进程保护(驱动)
驱动保护:挂接SSDT内核钩子(1)
weixin_30790841的博客
09-20 500
SSDT 中文名称为系统服务描述符表,该表的作用是将Ring3应用层与Ring0内核层,两者的API函数连接起来,起到承上启下的作用,SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基址、服务函数个数等,SSDT 通过修改此表的函数地址可以对常用 Windows 函数进行内核级的Hook,从而实现对一些核心的系统动作进行过滤、监控的目的,接下来将演...
windbg x86+x64
03-10
windows 内核调试工具,用于对windows下程序进行分析,windbg x86+x64
WinDbg_X86调试工具
05-04
该资源为win32系统下WinDbg调试工具、支持win10及vs2007 Windbg的命令分为标准命令,原命令和扩展命令,输入问号(?)可以显示所有的标准命令的帮助信息; 元命令以一个点(.)开始,输入.help可以显示所有的原命令的帮助...
X86 Debuggers And Tools-x86_en-us WinDbg X86
06-14
X86 Debuggers and Tools:深入理解WinDbg X86》 在IT行业中,调试是解决问题的关键步骤,尤其在X86架构的系统上,掌握强大的调试工具至关重要。"X86 Debuggers And Tools-x86_en-us" 提供了关于X86平台调试工具...
SSDT查看和恢复工具
07-01
SSDT查看和恢复,SSDT查看和恢复,SSDT查看和恢复,SSDT查看和恢复
SSDTTime:SSDTDSDT热补丁尝试
04-29
SSDT时间 一个简单的工具,旨在简化创建SSDT的过程。 支持macOS,Linux和Windows 支持的SSDT: 固态硬盘操作系统感知的假EC SSDT-插头在CPU0 / PR00上设置plugin-type = 1 SSDT-HPET 修补IRQ冲突 此外,在Linux和Windows上,该工具可用于转储系统DSDT。 指示: Linux: 从终端窗口或通过正常运行文件,使用任何最新版本的Python启动SSDTTime.py。 苹果系统: 从终端窗口或双击文件启动SSDTTime.command。 视窗: 从终端窗口或双击文件启动SSDTTime.bat。 学分: 编写使用的脚本和库 脚本的一些小改进 修复者/英特尔-IASL
关于SSDT的详解.pdf
11-10
详细介绍了ssdt的原理,剖析了windows系统特权级别的切换。有助于windows内核的学习
城里城外看SSDT
马说@CSDN
07-05 6151
原文链接:http://www.titilima.cn/?action=show&id=201点这里下载本文的配套代码引子2006年,中国互联网上的斗争硝烟弥漫。这时的战场上,先前颇为流行的窗口挂钩、API挂钩、进程注入等技术已然成为昨日黄花,大有逐渐淡出之势;取而代之的,则是更狠毒、更为赤裸裸的词汇:驱动、隐藏进程、Rootkit……前不久,我不经意翻出自己2005年9月写下
windbg查看SSDT表
bcbobo21cn的专栏
09-05 1183
SSDT,System Services Descriptor Table,系统服务描述符表。 见此 https://blog.csdn.net/bcbobo21cn/article/details/52083557 这个表就是一个把ring3的Win32 API和ring0的内核函数联系起来。SSDT包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。 SSDT定义为下面结构体; typedef struct _SYSTEM_SERVICE_T...
驱动开发笔记3—SSDT表详解
qq_42814021的博客
10-09 3325
SSDT表 SSDT的全称是"System Services Descriptor Table",即系统服务描述表,在内核中的实际名称是KeServiceDescriptorTable,这个表由ntoskrnl.exe导出(在x64里不导出)。 SSDT用于处理应用层通过Kernel32.dll下发的各个API操作请求。ntdll.dll中的API是一个简单的包装函数,当Kernel32.dll中的API通过Ntdll.dll时,会先完成对参数的检查,再调用一个中断(int 2Eh 或者 SysEnter指
ssdt与shadowssdt区别
xuemao1230的专栏
02-28 734
(ring3)            (NtOpenProcess)      ssdt层                  实现OpenProcess->ntdll!ZwOpenProcess->ntos!ZwOpenProcess->ntos!NtOpenProcess(内核中有2套函数 ,zw,nt,nt才是真正的执行函数,zw只是一个过渡函数,可用ida察看ntoskrn...
WinDbg打印SSDT的参数个数脚本
最新发布
时空之中的灵魂
07-21 165
WinDbg打印SSDT的参数个数脚本
SSDT详解
02-23 1099
节选自《Undocumented Windows 2000 Secrets》: SSDT — System Services Descriptor Table ,系统服务描述符表(是一个整体的概念),共有四个表。(明确说是四个SST (System Server Table,系统服务表)类型的数组): typedef NTSTATUS (NTAPI*NTPROC)();typede
X86架构、汇编语言与WINDBG应用详解
X86架构及汇编语言 WINDBG应用 本文总结了X86架构和汇编语言的基本概念,并介绍了WINDBG的使用。主要涵盖了CPU架构、通用寄存器、寻址方式、栈机制、常用汇编指令和WINDBG的使用等方面。 一、CPU架构 X86架构是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值