Windows驱动开发学习记录-Windbg打印SSDT脚本

最新推荐文章于 2023-07-22 11:38:06 发布
最新推荐文章于 2023-07-22 11:38:06 发布
阅读量209 收藏
点赞数
分类专栏: Windows内核 文章标签: 驱动程序 windbg c++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuting__xf/article/details/121140970
版权

一、脚本 

  • x86环境

aS ufLinkS "<u><col fg=\\\"emphfg\\\"><link name=\\\"%p\\\" cmd=\\\"uf 0x%p\\\">";
aS ufLinkE "</link></col></u>";
 
r $t1 = nt!KeServiceDescriptorTable;
r $t2 = poi(@$t1 + 0x8);
r $t1 = poi(@$t1);
 
.printf "\n\nKeServiceDescriptorTable->KiServiceTable:  %p\nKeServiceDescriptorTable->Count: %d\n", @$t1, @$t2;
.printf "\nOrd   Address   fnAddr   Symbols\n";
.printf "--------------------------------\n\n";
 
.for (r $t0 = 0; @$t0 != @$t2; r $t0 = @$t0 + 1)
{
    r @$t3 = (poi(@$t1 + @$t0 * 4)) 
 
       
    .printf /D "[%3d] ${ufLinkS}%p${ufLinkE} (%y)\n", @$t0, @$t3, @$t3, @$t3, @$t3;
}
 
.printf "\n- end -\n";

  •  x64环境

aS ufLinkS "<u><col fg=\\\"emphfg\\\"><link name=\\\"%p\\\" cmd=\\\"uf 0x%p\\\">";
aS ufLinkE "</link></col></u>";
 
r $t1 = nt!KeServiceDescriptorTable;
r $t2 = poi(@$t1 + 0x10);
r $t1 = poi(@$t1);
 
.printf "\n\nKeServiceDescriptorTable->KiServiceTable:  %p\nKeServiceDescriptorTable->Count: %d\n", @$t1, @$t2;
.printf "\nOrd   Address   fnAddr   Symbols\n";
.printf "--------------------------------\n\n";
 
.for (r $t0 = 0; @$t0 != @$t2; r $t0 = @$t0 + 1)
{
    r @$t3 = (poi(@$t1 + @$t0 * 4)) & 0x00000000`FFFFFFFF;
    $$.printf "2. %p\n", @$t3;
       
    .if ( @$t3 & 0x80000000 )
       {
               r @$t3 = (@$t3 >> 4) | 0xFFFFFFFF`F0000000;
               r @$t3 = 0 - @$t3;
               r @$t3 = @$t1 - @$t3;
       }
       .else
       {
           r @$t3 = (@$t3 >> 4);
               r @$t3 = (@$t1 + @$t3);
       }
       
    .printf /D "[%3d] ${ufLinkS}%p${ufLinkE} (%y)\n", @$t0, @$t3, @$t3, @$t3, @$t3;
}
 
.printf "\n- end -\n";

 二、测试效果

  • x86(Win7 x86)

 

  • x64(Win10 x64) 

 

 

 

禁锢在时空之中的灵魂
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用Windbg查看系统SSDT表与ShadowSSDT表
baggiowangyu的专栏
12-08 6804
x86操作系统 1. 查看当前系统是否已经载入win2k.sys的相关符号信息: kd> lm start end module name 80586000 8058f000 kdcom (deferred) 80e03000 81391000 nt (pdb symbols) d:\symb
windbg查看SSDT表
bcbobo21cn的专栏
09-05 1154
SSDT,System Services Descriptor Table,系统服务描述符表。 见此 https://blog.csdn.net/bcbobo21cn/article/details/52083557 这个表就是一个把ring3的Win32 API和ring0的内核函数联系起来。SSDT包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。 SSDT定义为下面结构体; typedef struct _SYSTEM_SERVICE_T...
75.windbg-.printf(打印字符串)
hgy413的专栏
06-05 2124
.printf(打印字符串)
使用WinDbg获取SSDT函数表对应的索引再计算得出地址
weixin_33748818的博客
01-30 257
当从Ring3进入Ring0的时候会将所需要的SSDT索引放入到寄存器EAX中去,所以我们这里通过EAX的内容得到函数在SSDT中的索引号,然后计算出它的地址首先打开WinDbug,我们以函数ZwQueryObject为例: 从mov eax 0F8h,知道我们的索引号是0F8h.来验证一下,看看是不是函数ZwQueryObject。 我们先获取到SSDT的地址: 第一个848...
(转)windbg查看ssdt的方法
weixin_30367169的博客
12-20 251
http://blog.sina.com.cn/s/blog_53e1b6e00100w4j6.html dp nt!KeServiceDescriptorTable 80553fa080502b8c 00000000 0000011c 8050300080553fb000000000 00000000 00000000 0000000080553fc000000000 ...
精通Windows.API-函数、接口、编程实例.pdf
01-27
仅收录该书籍以供学习和讨论 包含pdf书籍及经过验证的示例 执行demo中的示例方式 在编译环境下进入demo目录,执行nmake命令在bin目录下生成可执行文件 注:demo无注释,对应书本中部分示例。 目录 第1章 Windows...
精通WindowsAPI.pdf
09-22
第1章 Windows应用程序开发入门..........................................................................................16 1.1 第一个实例程序...............................................................
x86下windbg查看SSDT表与SHDOWSSDT
kernweak的博客
05-23 1919
x64下这两个表是未导出的,不能用这种 首先系统符号要加载 SSDT表: x nt!kes*des*table* kd> x nt!KeServiceDes* 83f74a00 nt!KeServiceDescriptorTableShadow = <no type information> 83f749c0 nt!KeServiceDescriptorTable = ...
windows ssdt
不会写代码的丝丽
01-23 818
我们ring 3跳转ring0另一种方式使用命令。相比起jmp,int xx方式相比速度更快,因为sysenter指令大量的使用了MSR寄存器 存储跳转地址等。MSR寄存器相关读/写命令其中xxx是msr寄存器的编号比如174h等为方便记忆我们约定了一些编号的名字上面上个寄存器就是sysenter指令会涉及的msr寄存器。
使用WinDbg获取SSDT 系统服务描述表的函数服务号(索引)
whatday的专栏
10-10 2134
今天研究了一下午SSDT的东东,最尴尬的是起初我不知道如何获取到SSDT的函数服务号,而这个玩意儿在不同版本的windows是不一样的,后面经过研究还是找到了正确的方法.这里简单的分享一下. ·    先用个图温习一下Win32API的调用流程吧 这里以函数QuerySystemInformation为例子                              
Windbug双机调试 驱动时KDPrint、DbgPrint不能打印的问题解决
最新发布
a756598009的博客
07-22 730
新建key,名字为Debug Print Filter ,然后在此key下新建一个DWORD value ,名字为DEFAULT,然后设置值为0x00000008,我使用的是双机调试方式,开始以为调试起来会很方便,环境很快搭好,但问题来了windbg 上怎么也打印不出来。后来通过查找资料,看到有人介绍修改注册表的办法来解决。(从网上找了一个工具(SetDbgPrintFiltering.exe)设置内核打印级别,其原理和前面设置注册表一样)下载:设置数据库打印过滤 (osronline.com)
WinDBG实时打印Windows驱动或者内核信息的方法
热门推荐
wing的专栏
07-11 1万+
当我们用WinDBG调试Windows驱动或者内核时,总是需要查看相关Log信息,那么如何在WinDBG中实时打印Windows驱动或者内核信息呢? Windows驱动包提供了驱动或者内核打印接口:DbgPrintEx. 对于KMDF驱动,对应的打印接口是KdPrint或者KdPrintEx,其实这两个接口是DbgPrintEx的特殊类型或者特殊定义而已。 对于UMDF驱动,没有专门的打
windbg获取打印
weixin_30454481的博客
09-25 244
经常有QT MFC程序调用动态库无法查看内部打印 解决办法: 文件头部定义: #define UseDebugView #ifdef UseDebugView char g_Debug[256]; #endif 在需要打印的地方使用: #ifdef UseDebugView sprintf_s(g_Debug, 256, "啊啊啊啊啊啊啊啊啊啊啊啊啊啊\n"); Ou...
WinDbgWinDbg的命令
qq_36308972的博客
03-26 704
一、 WinDbg命令 WinDbg共支持三类命令:标准命令、元命令和扩展命令 1. 标准命令 标准命令(standard command)用来提供适用于所有调试目标的基本调试功能.标准命令通常是一两个字符(version除外)或者符号,只有version等少数命令除外。标准命令的第一个字符是不分大小写的, 第二个字符可能区分大小写。所有标准命令都是实现在WinDBG内部的, 执行这些命令时不需要...
Windbg调试记录
sxr__nc的博客
08-19 197
事情发生在一个万恶的周三,本来心情高高兴兴,熟料在调试hole的时候,要下断点输出相关的一些信息,然后打印换行符的时候,让我整个人一天都很抑郁。 正常打印换行符的操作:调用printf .printf "%p.%p\n",eax,edi 下断点的同时想要打印断点处的对应寄存器的值,同时换行: bp kernel32!CreateProcess .printf \"%p.%p\\n\",eax,edi 单纯记录,别让自己蠢忘了 ...
linux vc打印指针地址,今日一贴!驱动下的SSDT基地址获取
weixin_39902875的博客
05-13 180
本帖最后由 wl1383838438 于 2020-2-27 12:14 编辑#include //驱动的头文件//-------------------------------------------------------------------该代码测试在x86平台,x64未经测试,,,,,,,,//只是入门入门 而已#pragmapack(1)//内存按1字节对齐//typedef...
WinDbg打印SSDT的参数个数脚本
时空之中的灵魂
07-21 134
WinDbg打印SSDT的参数个数脚本
读出SSDT表当前函数地址
crkres9527
09-16 624
        A、引用KeServiceDescriptorTable表         B、通过ServiceTableBase+偏移读出当前函数地址         C、用windbg测试读取的值 系统服务描述符表 在ntoskrnl.exe导出KeServiceDescriptorTable 这个表 typedef struct _ServiceDescriptorTable { ...
Windows驱动开发详解:WDF框架与实战
"《深入浅出windows驱动开发(竹林蹊径)》是一本由张佩、马勇、董鉴源编著的关于Windows驱动开发的专业书籍,详细介绍了Windows驱动框架(WDF)以及音视频驱动和设备驱动安装的相关知识。这本书特别适合初学者和有...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值