Windows驱动开发学习记录-Windbg打印Shadow SSDT 脚本

于 2021-11-20 16:34:58 发布
阅读量582 收藏
点赞数
分类专栏: Windows内核 文章标签: windows c++ 驱动程序
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuting__xf/article/details/121440844
版权

一、脚本 

  • X86环境

aS ufLinkS "<u><col fg=\\\"emphfg\\\"><link name=\\\"%p\\\" cmd=\\\"uf 0x%p\\\">";
aS ufLinkE "</link></col></u>";

r $t1 = nt!KeServiceDescriptorTableShadow;
r $t2 = @$t1 + 0x04*4;
r $t3 = poi(@$t2 + 0x8);
r $t2 = poi(@$t2);
 
.printf "\n\nKeServiceDescriptorTableShadow->W32pServiceTable:  %p\nKeServiceDescriptorTableShadow->Count: %d\n", @$t2, @$t3;
.printf "\nOrd   Address   fnAddr   Symbols\n";
.printf "--------------------------------\n\n";
 
.for (r $t0 = 0; @$t0 != @$t3; r $t0 = @$t0 + 1)
{
    r @$t4 = (poi(@$t2 + @$t0 * 4)) 
 
       
    .printf /D "[%3d] ${ufLinkS}%p${ufLinkE} (%y)\n", @$t0, @$t4, @$t4, @$t4, @$t4;
}
 
.printf "\n- end -\n";

x64环境

aS ufLinkS "<u><col fg=\\\"emphfg\\\"><link name=\\\"%p\\\" cmd=\\\"uf 0x%p\\\">";
aS ufLinkE "</link></col></u>";
 
r $t1 = nt!KeServiceDescriptorTableShadow;
r $t2 = @$t1 + 0x08*4;
r $t3 = poi(@$t2 + 0x10);
r $t2 = poi(@$t2);   
 
.printf "\n\nKeServiceDescriptorTableShadow->W32pServiceTable:  %p\nKeServiceDescriptorTableShadow->Count: %d\n", @$t2, @$t3;
.printf "\nOrd   Address         Symbols\n";
.printf "--------------------------------\n\n";
 
.for (r $t0 = 0; @$t0 != @$t3; r $t0 = @$t0 + 1)
{
    r @$t4 = (poi(@$t2 + @$t0 * 4)) & 0x00000000`FFFFFFFF;
    $$.printf "2. %p\n", @$t4;
       
    .if ( @$t4 & 0x80000000 )
       {
               r @$t4 = (@$t4 >> 4) | 0xFFFFFFFF`F0000000;
               r @$t4 = 0 - @$t4;
               r @$t4 = @$t2 - @$t4;
       }
       .else
       {
           r @$t4 = (@$t4 >> 4);
               r @$t4 = (@$t2 + @$t4);
       }
       
    .printf /D /os "[%3d] ${ufLinkS}%p${ufLinkE} (%y)\n", @$t0, @$t4, @$t4, @$t4, @$t4;
}
 
.printf "\n- end -\n";

二、使用方法

        因为Shadow SSDT 的W32pServiceTable表数据在系统进程是不可访问的,所以要先附加到可以访问该数据的进程,我这里选的是桌面进程explorer.exe。

        先执行 !process 0 0 explorer.exe,查找桌面进程的EPROCESS地址。

0: kd> !process 0 0 explorer.exe
Failed to get VadRoot
PROCESS 8a373b88  SessionId: 0  Cid: 05f8    Peb: 7ffd8000  ParentCid: 05d4
    DirBase: 0aac01c0  ObjectTable: e196cab0  HandleCount: 367.
    Image: explorer.exe

        然后附加到该进程,.process 8a373b88

0: kd> .process 8a373b88
ReadVirtual: 8a373ba0 not properly sign extended
Implicit process is now 8a373b88
WARNING: .cache forcedecodeuser is not enabled       

         之后再执行脚本, "$><"后边加上脚本路径

0: kd> $><E:\驱动代码\x86SSDTShadow.txt

三、测试效果

  • x86(WinXP x86)

  • x64(Win10 x64)

禁锢在时空之中的灵魂
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windbg查看Shadow SSDT
debugge的专栏
06-02 1680
关于SSDT即系统描述符表,《SSDT Hook的妙用-对抗ring0 inline hook》这篇文章描述的已经很清楚了。引用文章中的一段话: “内核中有两个系统服务描述符表,一个是KeServiceDescriptorTable(由ntoskrnl.exe导出),一个是KeServieDescriptorTableShadow(没有导出)。两者的区别是,KeServiceDescript
Windows驱动开发技术详解-EPUB 格式
最新发布
01-16
通过阅读《Windows驱动开发技术详解》,开发者可以系统学习以上知识,并掌握如何编写、调试和优化Windows驱动程序,从而提升系统性能,实现更高效的硬件利用。EPUB格式的电子书方便在多种设备上阅读,也可以转换成...
shadow ssdt
lionzl的专栏
07-11 1102
假设.有一个目标进程A.. 在驱动中首先获取其EPROCESS.. 然后用这个PsGetNextProcessThread取出其线程.. 然后取出ETHREAD...也等同于KTHREAD..(是第一个字段). 然后关键就是这个ServiceTable..字段.. 关于这个指针..ShadowSSDT Hook系列的文章会说.如果其不是GUI进程则此字段不会指向Sha
shadow ssdt学习笔记
sea
01-04 2175
1。取得shadow ssdt真实地址系统只提供了KeServiceDescriptorTable导出KeServiceDescriptorTableShadow是个未导出结构定义Copy code    typedef struct _SYSTEM_SERVICE_TABLE    {          PNTPROC  ServiceTable;  // array of entry
win 64 Shadow ssdt hook
weixin_30709929的博客
10-02 417
以下参考黑客防线2012合订本 339页 //下午调代码 搞了这个一天,总是蓝屏,不断检查代码,后来发现了很怪的现象. 自己写的代码不能读取shadow ssdt的偏移内容,但是通过和调试作者的代码输出发现地址确实是一模一样的,但是自己的读不出来,而作者的能 读出来,当直接使用windbg调试时也读不出来. 后来将作者的代码完全复制过来,发现能读取了, ,但是又找不到原因, 只能等以后再...
两种方法获取shadow ssdt
kedebug
12-22 1905
<br />ULONG GetShadowSsdtCurrentAddresses( PSSDT_ADDRESS AddressInfo, PULONG Length ) { PSYSTEM_SERVICE_TABLE KeServiceDescriptorTableShadow = NULL; ULONG NumberOfService = 0; ULONG ServiceId = 0; PKAPC_STA
Windows驱动开发技术详解-带标签
03-15
在IT行业中,Windows驱动开发是一项复杂且至关重要的技术工作,它涉及到操作系统内核与硬件设备之间的交互。本文将深入探讨Windows驱动开发的核心概念、技术细节以及相关知识点。 首先,驱动程序是操作系统与硬件...
windows-windbg
10-31
Windows调试工具Windbg详解》 Windbg,全称Windows Debugger,是微软提供的一款强大的调试工具,主要用于对Windows操作系统及应用程序进行调试。它在软件开发、系统分析、故障排除等领域有着广泛的应用,尤其在...
windows软件调试-windbg
10-31
- **驱动开发**:开发Windows驱动时,内核模式调试功能尤为关键,能精确追踪驱动运行过程。 - **性能优化**:监控CPU和内存使用,分析瓶颈,提高软件性能。 - **安全研究**:分析恶意软件行为,识别病毒和木马的...
Windows 驱动开发技术 - 详解
10-14
本篇文章将深入探讨Windows驱动开发技术,涵盖其原理、结构、开发流程以及常见问题。 一、驱动程序类型 Windows驱动程序主要分为三类:系统驱动、用户模式驱动和内核模式驱动。系统驱动通常由微软提供,如网络驱动...
R0层获取ShadowSSDT函数原始地址实例
11-20
本实例由VS2008开发,在提供了一套驱动开发框架的同时,又演示了如何获取Shadow SSDT表函数原始地址的办法。 主要函数:ULONG GetShadowSSDT_Function_OriAddr(ULONG index); 原理说明: 根据特征码搜索导出函数KeAddSystemServiceTable来获取Shadow SSDT基址,以及通过ZwQuerySystemInformation()函数获取win32k.sys基址,然后解析PE定位到Shadow SSDT在win32k.sys的偏移地址,并通过进一步计算来得到Shadow SSDT表函数的原始地址。 这里只测试了三个函数:(460)NtUserMessageCall、(475)NtUserPostMessage和(502)NtUserSendInput,具体使用时可以举一反三,网上完整的源代码实例并不太多,希望可以帮到真正有需要的朋友。 系统环境: 在WinXP SP3系统 + 瑞星杀毒软件 打印输出: [ LemonInfo : Loading Shadow SSDT Original Address Driver... ] [ LemonInfo : 创建“设备”值为:0 ] [ LemonInfo : 创建“设备”成功... ] [ LemonInfo : 创建“符号链接”状态值为:0 ] [ LemonInfo : 创建“符号链接”成功... ] [ LemonInfo : 驱动加载成功... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP 开始... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP Enter IRP_MJ_DEVICE_CONTROL... ] [ LemonInfo : 获取ShadowSSDT表 (460)NtUserMessageCall 函数的“当前地址”为:0xB83ECFC4,“起源地址”为:0xBF80EE6B ] [ LemonInfo : 获取ShadowSSDT表 (475)NtUserPostMessage 函数的“当前地址”为:0xB83ECFA3,“起源地址”为:0xBF8089B4 ] [ LemonInfo : 获取ShadowSSDT表 (502)NtUserSendInput 函数的“当前地址”为:0xBF8C31E7,“起源地址”为:0xBF8C31E7 ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP_MJ_DEVICE_CONTROL 成功执行... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP 结束... ] [ LemonInfo : UnLoading Shadow SSDT Original Address Driver... ] [ LemonInfo : 删除“符号链接”成功... ] [ LemonInfo : 删除“设备”成功... ] [ LemonInfo : 驱动卸载成功... ]
WINDOWS内核学习笔记1—Shadow SSDT表
rosykee的专栏
10-09 850
近期学习内核的
Shadow SSDT详解、WinDbg查看Shadow SSDT
08-11 389
一、获取ShadowSSDT 好吧,我们已经在R3获取SSDT的原始地址及SDT、SST、KiServiceTbale的关系里面提到:所有的SST都保存在系统服务描述表(SDT)中。系统中一共有两个SDT,一个是ServiceDescriptorTable,另一个是ServiceDescriptorTableShadow。ServiceDescriptor中只有指向KiServic...
Shadow SSDT
crkres9527
09-28 446
 A、Shadow SSDT表基址定位    B、Shadow SSDT表结构    C、Shadow SSDT HOOK KeServiceDescriptorTable //系统描述符表 extern KeServiceDescriptorTableShadow //影子系统描述符表  win32k.sys bp win32k!NtUserPostMessage bp win32k...
windows之 访问控制模型
点点灵犀
06-10 2230
当一个线程使用Open*打开一个内核对象时,会发生什么? 有两种可能: 1. 打开成功,拿到句柄 2. 打开失败 这不是废话么?!为啥打开失败呢?有两种可能: 1. 当前线程不具有指定的特权 2.  权限不足(由dwDesiredAccess参数指定权限) 这个时候就引入了今天的主题:令牌(包含特权列表)和安全描述符(描述用户权限)。 Token token是什么?对
简单实现了下SSDT SHADOW HOOK
huobengle
11-03 683
介绍: SSDT SHADOW HOOK可用于安全软件窗口保护、安全输入、截屏保护等。例如:挂钩NtUserFindWindowEx、NtUserGetForegroundWindow、NtUserBuildHwndList、NtUserQueryWindow、NtUserWindowFromPoint、NtUserSetParent、NtUserPostMessage、NtUserMes...
shadow ssdt学习笔记(一)(二)
05-06 1130
作 者: zhuwg时 间: 2007-12-22,22:01链 接: http://bbs.pediy.com/showthread.php?t=569551。取得shadow ssdt真实地址系统只提供了KeServiceDescriptorTable导出KeServiceDescriptorTableShadow是个未导出结构定义Copy code    typedef struct _SY
深入浅出windows驱动开发(竹林蹊径)
01-08
经典wdf驱动书,非常有用

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值