内核特征码搜索 获取未导出函数

最新推荐文章于 2024-06-03 09:23:28 发布
最新推荐文章于 2024-06-03 09:23:28 发布
阅读量3.7k 收藏 7
点赞数 2
分类专栏: 驱动学习 文章标签: 特征码搜索 未导出函数 内核特征码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuhuibeishadiao/article/details/73468346
版权
本文介绍了如何进行内核特征码搜索,从而找到系统中未导出的函数,虽然过程中可能遇到一些Bug,但总体提供了一种探索内核功能的方法。
摘要由CSDN通过智能技术生成

无聊写了下

有Bug 注意下就好啦~

#include "GetUndocumentFunctionAdress.h"
#pragma warning(disable : 4047)

PVOID GetCallPoint(PVOID pCallPoint)
{
    ULONG dwOffset = 0;
    ULONG_PTR returnAddress = 0;
    LARGE_INTEGER returnAddressTemp = { 0 };
    PUCHAR pFunAddress = NULL;

    if (pCallPoint == NULL || !MmIsAddressValid(pCallPoint))
        return NULL;

    pFunAddress = pCallPoint;
    // 函数偏移
    RtlCopyMemory(&dwOffset, (PVOID)(pFunAddress + 1), sizeof(ULONG));

    // JMP向上跳转
    if ((dwOffset & 0x10000000) == 0x10000000)
    {
        dwOffset = dwOffset + 5 + pFunAddress;
        returnAddressTemp.QuadPart = (ULONG_PTR)pFunAddress & 0xFFFFFFFF00000000;
        returnAddressTemp.LowPart = dwOffset;
        returnAddress = returnAddressTemp.QuadPart;
        return (PVOID)returnAddress;
     }

     returnAddress = (ULONG_PTR)dwOffset + 5 
最低0.47元/天 解锁文章
zhuhuibeishadiao
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Sunday算法特征搜索极速定位基址和call地址C++(支持通配符)
11-11
Sunday算法特征搜索极速定位基址和call地址C++(支持通配符),绝对可以用的特征搜索基址,call的地址。上传备用。
C++搜索内存特征 支持模糊匹配
wtujoxk的博客
04-06 347
【代】C++搜索内存特征 支持模糊匹配。
驱动开发:内核特征搜索函数封装
最新发布
100编程朱老师的博客
06-03 246
集,总体来说这种方式只能定位特征较小的指令如果特征值扩展到5位以上那么就需要写很多无用的代,本章内容中将重点分析,并实现一个。链表头部地址为案例进行讲解,如果你忘记了如何寻找链表头部可以去前面的文章中学习,这里只给出实现流程。如上图可以看到,这个特征定位函数返回的是内存地址,而我们需要得到地址内的数据,此时就需要提取以下。如下是一段特征搜索片段,可以看到其实仅仅只是将上章中的搜索方式变成了一个。以及搜索特征的字节数组,即可完成搜索工作,具体的参数定义如下。函数,如下函数,用户传入一个。
Sunday算法实现内存快速搜索特征(支持带问号)
吾无法无天的博客
10-07 9101
效果图: 代: #include<Windows.h> #include<iostream> #include<vector> #include<time.h> using namespace std; #define BLOCKMAXSIZE 409600//每次读取内存的最大大小 BYTE* MemoryData;//每次将读取的...
32位/64位WINDOWS驱动之遍历Process,Thread Object勾子遍历驱动模块
a756598009的博客
07-09 477
遍历成功拿到了线程回调对象。
寻找导出函数函数地址
weixin_30433075的博客
04-19 422
今天读了一篇 如何寻找导出函数函数地址的文章,重在思路吧,万一以后用到了呢? why? 内核里有些函数直接导出了,那我们可以直接通过函数名调用它,导出函数也不是不可以调用,我们需要自己找到函数名称所对应的地址即可。 How? 文章涉及3个函数: PsTerminateSystemThread PspTerminateThreadByPointer PspExitThread 这3个函数的...
获取导出内核函数地址
09-10 2065
使用导出内核函数 (2010-01-12 17:40)    函数如果没有导出,我们基本上来说是没办法使用的,   但是,我们可以通过搜索系统模块内存的方式找出那些没导出函数地址,   当然,我们首先要知道函数特征值,这是必须的。   如果有了函数地址,我们再声明一下,就可以用了。   首先我们要使用ZwQuerySystemInformation这个Nativ API。  
驱动SSDT导出函数NtReadVirtualMemory.rtf
08-05
windows10获取SSDT导出函数NtReadVirtualMemory详细步骤和代,其他导出函数同理
获取Linux内核导出符号的几种方式
01-20
从Linux内核的2.6某个版本开始,内核引入了导出符号的机制。只有在内核中使用EXPORT_SYMBOL或EXPORT_SYMBOL_GPL导出的符号才能在内核模块中直接使用。然而,内核并没有导出所有的符号。例如,在3.8.0的内核中,do_...
windows内核导出文档化函数
01-12
内核态中使用那些没有被导出函数,例如ntdll中的ZwShutdownSystem等等,已经封装成函数CallZwFunction,使用例子也写在文件中,在内核态里可以直接调用
创建有导出函数内核驱动程序
12-01
1. 安全性:导出内核函数增加了攻击面,因此必须确保所有导出函数都是安全的,避免内存泄漏、权限提升等风险。 2. 性能:频繁的用户空间与内核空间切换会降低系统性能,应尽量减少不必要的交互。 总结,创建有...
C++ 进程内存搜索特征极速定位,方便找Call找地址!
04-29
C++ 进程内存搜索特征极速定位,方便找Call 找地址!!
ntoskrnl.exe.c 导出函数 常用2000 个内核函数
05-14
//CmRegisterCallback 监控注册表 //CmRegisterCallbackEx 监控注册表 //PsRemoveCreateThreadNotifyRoutine //取消线程拦截 取消线程监控 //PsRemoveLoadImageNotifyRoutine //取消模块拦截 取消模块监控 ...
定位导出函数地址(SHCreateProcess)
myjisgreat的专栏
06-13 3276
定位导出函数地址(SHCreateProcess) 搬运自我的百度空间,文章基于windows7 64位   我们要Hook shell32.dll的SHCreateProcess这个函数,苦于他没有被导出,也无从知道地址。 其实我们还是有办法的。windbg有功能叫做栈回朔技术,可以看到函数的调用者,函数的调用者的调用者,函数的调用
Sunday算法特征搜索C++(支持通配符)
jinwei29的博客
11-11 3291
感谢论坛sunday算法和特征搜索的参考,在原来基础上增加功能进行了少许的修改。 主要参考了以下2位大神的代: C++ sunday算法,极速定位指定进程内存特征!_独爱秋季的博客-CSDN博客 Sunday算法实现内存快速搜索特征(支持带问号)_吾无法无天的博客-CSDN博客 DWORD aobScan(HANDLE hProcess, HMODULE hModule, string 特征,int CallOffset=0,DWORD* outCallAddre=0,int B.
C++实现仿CE工具-快速内存搜索-内存特征定位快速实现-代很精妙
追逐光芒,追随内心
07-10 3296
第一步 进行内存属性过滤,第二步 就是拷贝内存到自身进程进行for循环遍历,这样速度不快才怪!搜索内存底层没用API函数,直接是纯汇编了。
C/C++ 内存遍历与KMP特征搜索
热门推荐
CSDN
06-08 1万+
KMP(Knuth-Morris-Pratt)算法是一种字符串匹配算法,用于在一个文本串中查找一个模式串的出现位置。它利用了模式串自身的特性,避免了不必要的回溯操作,从而提高了匹配效率。KMP算法的核心思想是利用模式串中已经匹配过的信息,避免在文本串中进行无效的比较。它通过预处理模式串,构建一个部分匹配表(也称为next数组),用于指导匹配过程。部分匹配表记录了模式串中每个位置之前的最长公共前缀和后缀的长度。
C++ sunday算法,极速定位指定进程内存特征
qq_22723497的博客
04-29 5236
#include <windows.h> #include <time.h> #include <iostream> using namespace std; /* findMatchingCode() 参数说明: 1) hProcess 要打开的进程句柄 2) markCode 特征,支持通配符(??),如: 55 8b ec ?? 56 83 ec...
你知道什么是Windows内核导出函数
02-27
Windows内核导出函数指的是操作系统内核中的函数,但是它们并没有被包含在操作系统导出函数列表中。这些函数是在操作系统内部使用的,通常不能从外部访问。但是,这些导出函数可以通过内存中的偏移地址来调用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值