获取未导出的内核函数地址

最新推荐文章于 2024-06-09 13:07:00 发布
最新推荐文章于 2024-06-09 13:07:00 发布
阅读量2k 收藏 2
点赞数
分类专栏: 其他 文章标签: 解决方案 算法 c 内核

函数如果没有导出,我们基本上来说是没办法使用的,  

但是,我们可以通过搜索系统模块内存的方式找出那些没导出的函数地址,  

当然,我们首先要知道函数的特征值,这是必须的。  

如果有了函数地址,我们再声明一下,就可以用了。  

首先我们要使用ZwQuerySystemInformation这个Nativ API  

当然,他在系统里是已经导出了的。声明一下就可以使用了。  

声明如下:

NTSYSAPI
NTSTATUS NTAPI
ZwQuerySystemInformation(
    IN SYSTEM_INFORMATION_CLASS SystemInformationClass,
    INOUT PVOID SystemInformation,
    IN ULONG SystemInformationLength,
    OUT PULONG ReturnLength OPTIONAL
); 

 

typedef struct _SYSTEM_MODULE_INFORMATION { // Information Class 11    
    ULONG Reserved[2];   
    PVOID Base;    
    ULONG Size;    
    ULONG Flags;    
    USHORT Index;    
    USHORT Unknown;
    USHORT LoadCount;   
    USHORT ModuleNameOffset;    
    CHAR ImageName[256];
} SYSTEM_MODULE_INFORMATION, *PSYSTEM_MODULE_INFORMATION;  

  

其中,我们使用 SystemModuleInformation 这个标识,来枚举系统模块。它的定义是 11 

然后,我们要知道,未导出函数的特征值,我们可以使用Windbg来找出函数的特征值。  

我们以PspExitThread 为例吧:  

Windbg中,我们键入 

dd pspexitthread lkd> dd pspexitthread 

805d30c2  3068786a e8804db9 fff69ac2 0124a164 

805d30d2  f08b0000 8bb87589 000220be b47d8900 

805d30e2  3b44468b 561274f8 658eb60f 51000001 

805d30f2  056a5750 00067ee9 ffc93200 4d903015 

805d3102  4c86f680 01000002 c0331074 56505050 

805d3112  0000e968 065de900 7e800000 087d1033 

805d3122  e856106a fff2b37e 02348e8d d1e80000 

805d3132  8d0003a3 0000dd86 a9e85000 33ffff58 

 

找到这个函数的特征值为 3068786a e8804db9 fff69ac2 0124a164 805d30d2 ...  

当然,搜索的越多,越准确。这里我们找到前16个特征值就OK了。  

所以我们就开始写函数了。  

 

// 
// Function:    GetFuncAddr() 
// Parameters:     FuncFeature1: 函数的特征码 
//                    FuncFeature2: 函数的特征码 
//                    FuncFeature3: 函数的特征码 
//                    FuncFeature4: 函数的特征码 
// Return:        正确返回未导出函数的地址 
//                错误返回 NULL 
// Description: 获取未导出函数的函数地址 
// Date:        2010-01-12  //   

VOID * GetFuncAddr( ULONG FuncFeature1, ULONG FuncFeature2, ULONG FuncFeature3, ULONG FuncFeature4 ) {
    ULONG size;   
    ULONG i;
    ULONG j;   
    PULONG p;
    NTSTATUS ntStatus;
    PSYSTEM_MODULE_INFORMATION pSystemModel;  
    ULONG ulModelAddrStart;     ULONG ulModelAddrEnd;  
    ZwQuerySystemInformation( SystemModuleInformation, &size, 0, &size ); 
    p = ExAllocatePool( NonPagedPool, size );   
     if (!p ){
         return p;    
     } 
    ntStatus = ZwQuerySystemInformation( SystemModuleInformation, p, size * sizeof(p), 0);
    if ( !NT_SUCCESS( ntStatus ) )     {
          DbgPrint( "ZwQuerySystemInformation Error!\n" );       
         return NULL;    
    } 
    pSystemModel = (PSYSTEM_MODULE_INFORMATION)( p + 1 ); 
    for ( i = 0; i < *p; i++ ){
           DbgPrint( "SystemMode,Base: %x\n", pSystemModel[i].Base );        
        DbgPrint( "SystemMode, ImageName,: %s\n", pSystemModel[i].ImageName );
        DbgPrint( "SystemMode, Size: %d\n", pSystemModel[i].Size ); 
        ulModelAddrStart = (ULONG)pSystemModel[i].Base;                
        ulModelAddrEnd = (ULONG)pSystemModel[i].Base + pSystemModel[i].Size; 
           for (j = ulModelAddrStart; j < ulModelAddrEnd; j++ ){
            // 如果 j + 12 已经大于 最大值,那就已经没有希望找到特征值了T_T 
            if ( j + 12 > ulModelAddrEnd )  {
                break;            
            } 
            if ( *((ULONG *)j) == FuncFeature1 &&  *((ULONG *)(j + 4) ) == FuncFeature2 &&                 *((ULONG *)(j + 8) ) == FuncFeature3 &&   *((ULONG *)(j + 12) ) == FuncFeature4 ) {
                DbgPrint( "Find the Function Addr: %x!\n", j ); 
                return j;            
            }        
        }    
    } 
    return NULL;

VOID * PspExitThread = GetFuncAddr( 0x3068786a, 0xe8804db9, 0xfff69ac2, 0x0124a164);  

以后怎么使用就不用说了吧,呵呵。 

wenj91
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
内核特征码搜索 获取导出函数
zhuhuibeishadiao
06-19 3768
无聊写了下 有Bug 注意下就好啦~ #include "GetUndocumentFunctionAdress.h" #pragma warning(disable : 4047) PVOID GetCallPoint(PVOID pCallPoint) { ULONG dwOffset = 0; ULONG_PTR returnAddress = 0; LARGE
获取内核导出函数地址
 ̄Newly_Coder's | Notes
12-13 3550
ULONG GetFunctionAddress(IN ULONG FirstFeature,IN ULONG SecondFeature,IN ULONG ThirdFeature,IN ULONG FourthFeature) { NTSTATUS NtStatus=STATUS_SEVERITY_SUCCESS; ULONG SystemInformationLength=0; ULONG Index=0; ULONG Loop=0; ULONG ModuleBeginAddre
linux内核获取导出函数地址的两种方法
最新发布
qq_43147121的博客
06-09 266
第一种是借助于kprobe机制,通过kprobe机制中会调用kallsyms_lookup_name函数并设置到kprobe结构体中返回的原理找到我们需要的函数地址如上逻辑可以看到其实就是调用的kallsyms_lookup_name函数获取地址存到我们的addr中。
寻找导出函数函数地址
weixin_30433075的博客
04-19 432
今天读了一篇 如何寻找导出函数函数地址的文章,重在思路吧,万一以后用到了呢? why? 内核里有些函数直接导出了,那我们可以直接通过函数名调用它,导出函数也不是不可以调用,我们需要自己找到函数名称所对应的地址即可。 How? 文章涉及3个函数: PsTerminateSystemThread PspTerminateThreadByPointer PspExitThread 这3个函数的...
win10 x64获取导出内核函数地址
吾无法无天的博客
03-18 2003
用Sunday算法进行特征码匹配 .h文件: //系统信息类 typedef enum _SYSTEM_INFORMATION_CLASS { SystemBasicInformation = 0, //系统的基本信息 SystemProcessorInformation, // obsolete...delete SystemPerformanceI...
定位导出函数地址(SHCreateProcess)
myjisgreat的专栏
06-13 3298
定位导出函数地址(SHCreateProcess) 搬运自我的百度空间,文章基于windows7 64位   我们要Hook shell32.dll的SHCreateProcess这个函数,苦于他没有被导出,也无从知道地址。 其实我们还是有办法的。windbg有功能叫做栈回朔技术,可以看到函数的调用者,函数的调用者的调用者,函数的调用
驱动SSDT导出函数NtReadVirtualMemory.rtf
08-05
windows10获取SSDT导出函数NtReadVirtualMemory详细步骤和代码,其他导出函数同理
如何调用内核导出函数
weixin_36145588的博客
06-04 2389
如何获取内核导出函数地址从Linux内核的2.6某个版本开始,内核引入了导出符号的机制。只有在内核中使用EXPORT_SYMBOL或EXPORT_SYMBOL_GPL导出的符号才能在内核模块中直接使用。然而,内核并没有导出所有的符号。当我们写驱动时,如果想调用一个并导出函数时,我们可以使用如下办法:以get_request函数为例,该函数原型为:static struct request *
获取Linux内核导出符号的几种方式
01-20
从Linux内核的2.6某个版本开始,内核引入了导出符号的机制。只有在内核中使用EXPORT_SYMBOL或EXPORT_SYMBOL_GPL导出的符号才能在内核模块中直接使用。然而,内核并没有导出所有的符号。例如,在3.8.0的内核中,do_...
内核模块中使用导出函数
jasonLee的博客
10-16 3347
一般我们在编写内核模块时,可以直接使用内核中使用EXPORT_SYMBOL或者EXPORT_SYMBOL_GPL导出函数,没有导出内核函数不能直接使用。否则会报错定义: WARNING:“do_sys_open”[/home/tiany/paper/mod/mySdelNotEcrypt_success/hello.ko]undefined! 那么我们到底能不能使用内核中没有导出函数呢?答...
获取windows导出函数地址标准方法
CoderAldrich的专栏
03-09 1925
http://www.4hou.com/system/10590.htmlhttps://msdn.microsoft.com/zh-cn/library/ms679291.aspxhttps://bbs.pediy.com/thread-188881.htmhttps://bbs.pediy.com/thread-189324.htm 
动态取得Ntoskrnl.exe导出函数地址
04-23
动态取得Ntoskrnl.exe导出函数地址
windows内核导出文档化函数源码
01-12
内核态中使用那些没有被导出函数,例如ntdll中的ZwShutdownSystem等等,已经封装成函数CallZwFunction,使用例子也写在文件中,在内核态里可以直接调用
native层函数没有导出时,如何获得相应函数地址
学海无涯
05-26 680
每次App重新运行后native函数加载的绝对地址是会变化的,唯一不变的是函数相对于基地址的偏移,因此我们可以在获取模块的基地址后加上固定的偏移地址获取相应函数地址,Frida中也正好提供了这种方式:先通过Module.findBaseAddress(name)或Module.getBaseAddress(name)两个API函数获取对应模块的基地址,然后通过add(offset)函数传入固定的偏移offset获取最后的函数绝对地址。以下使用中的作为具体案例讲解下思路和注意的点。
利用内核函数找出所有的内核导出符号 不用自己通过/proc/kallsyms来查询符号地址
yldfree的博客
06-11 2903
#include &lt;linux/module.h&gt;#include &lt;linux/init.h&gt;#include &lt;linux/kernel.h&gt;#include &lt;linux/syscalls.h&gt;#include &lt;linux/kallsyms.h&gt;int kallsymcall(void *data , const char *na...
根据特征码找到导出内核函数 PspTerminateProcess
pluginL的博客
09-13 974
使用的是一个UINT32数组来存放shellcode没有考虑全局变量的问题 #include <ntifs.h> typedef NTSTATUS(*pFunTerminateProcess)(IN PEPROCESS Process, IN NTSTATUS ExitStatus); typedef struct _LDR_DATA_TABLE_ENTRY { LIST_ENTRY InLoadOrderLinks; LIST_ENTRY InMemoryOrderLinks; LIS
利用PDB文件获取导出全局变量、函数等信息
0xC0000005
11-25 2166
方法来源于对Sysinternals的procexp的逆向。 在通过kernel的pdb获取导出的MmSizeOfPagedPoolInBytes和MmMaximumNonPagedPoolInBytes时,procexp执行了如下几个步骤: 1. 获取kernel的映像文件名称     调用IsProcessorFeaturePresent判断PAE是否开启,以确定使用ntoskrn
inline hook导出函数PspTerminateProcess
04-14 1600
之前inline Hook SSDT中的一些函数学,感觉比较容易,可是想hook一些导出函数时,却发现还有点难,开始是蓝了N次屏,最后HOOK成功了,用一些anti-rootkit的工具却查不出来,以为没成功.郁闷了好久,最后用windbg看,原来是成功,于是写下这篇文章,很多东西应该讲的不太好,还请矫正今天就是要inline hook PspTerminateProcess,这是一个没有被导
解析pdb文件得到导出变量地址(转)
07-31 655
程序要用到dbghelp.dll中的一些函数 http://msdn.microsoft.com/en-us/library/ms679291%28VS.85%29.aspx 要自己下载系统对应的符号文件 首先是一些初始化的东西: 设置符号选项,调用下面两个函数 DWORD Options = SymGetOptions(); Options = Options|SY...
知道什么是Windows内核导出函数
02-27
Windows内核导出函数指的是操作系统内核中的函数,但是它们并没有被包含在操作系统导出函数列表中。这些函数是在操作系统内部使用的,通常不能从外部访问。但是,这些导出函数可以通过内存中的偏移地址来调用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值