嵌入式点灯大师 2022-03-24 10:27 采纳率: 0%
浏览 26
已结题

win10 x64 获取shadow ssdt函数地址时蓝屏

能正确获取shadow ssdt的地址,也能打印出来函数shadow ssdt函数个数,但是运行到dwTemp = *(PLONG)qwTemp;会直接蓝屏

#include <ntddk.h>

typedef struct _SYSTEM_SERVICE_TABLE
{
    PVOID ServiceTableBase; //这个指向系统服务函数地址表

    PVOID ServiceCounterTableBase;

    ULONG64 NumberOfService; //服务函数的个数

    PVOID ParamTableBase;//参数表 

}SYSTEM_SERVICE_TABLE, * PSYSTEM_SERVICE_TABLE;
PSYSTEM_SERVICE_TABLE KeServiceDescriptorTableShadow = NULL;



ULONGLONG GetKeServiceDescriptorTableShadow64()
{
    PUCHAR StartSearchAddress = (PUCHAR)__readmsr(0xC0000082);
    PUCHAR EndSearchAddress = StartSearchAddress + 0x500;
    PUCHAR i = NULL;
    UCHAR b1 = 0, b2 = 0, b3 = 0;
    ULONG templong = 0;
    ULONGLONG addr = 0;
    for (i = StartSearchAddress; i < EndSearchAddress; i++)
    {
        if (MmIsAddressValid(i) && MmIsAddressValid(i + 1) && MmIsAddressValid(i + 2))
        {
            b1 = *i;
            b2 = *(i + 1);
            b3 = *(i + 2);
            if (b1 == 0x4c && b2 == 0x8d && b3 == 0x1d) //4c8d1d
            {
                memcpy(&templong, i + 3, 4);
                addr = (ULONGLONG)templong + (ULONGLONG)i + 7;
                return addr;
            }
        }
    }
    return 0;
}


ULONGLONG GetSSSDTFuncCurAddr64(ULONG64 Index)
{
    ULONGLONG                W32pServiceTable = 0, qwTemp = 0;
    LONG                 dwTemp = 0;
    PSYSTEM_SERVICE_TABLE    pWin32k;
    //DbgBreakPoint();
    KeServiceDescriptorTableShadow = (PSYSTEM_SERVICE_TABLE)GetKeServiceDescriptorTableShadow64();
    pWin32k = (PSYSTEM_SERVICE_TABLE)((ULONG64)KeServiceDescriptorTableShadow + sizeof(SYSTEM_SERVICE_TABLE));
    DbgPrint("(ULONG64)KeServiceDescriptorTableShadow is %p\n", KeServiceDescriptorTableShadow);
    DbgPrint("pWin32k->ServiceTableBase is %p\n", pWin32k->ServiceTableBase);
    DbgPrint("SSSDT函数个数:%d\n", pWin32k->NumberOfService);
    W32pServiceTable = (ULONGLONG)(pWin32k->ServiceTableBase);
    //ul64W32pServiceTable = W32pServiceTable;
    qwTemp = W32pServiceTable + 4 * (Index - 0x1000);    //这里是获得偏移地址的位置,要HOOK的话修改这里即可
    dwTemp = *(PLONG)qwTemp;
    dwTemp = dwTemp >> 4;
    qwTemp = W32pServiceTable + (LONG64)dwTemp;
    return qwTemp;
}


VOID DrvUnload(PDRIVER_OBJECT pdriver)
{
    DbgPrint("Unload\n");
}

NTSTATUS DriverEntry(PDRIVER_OBJECT driver, PUNICODE_STRING reg_path)
{
    NTSTATUS status = STATUS_SUCCESS; //定义一个返回值
    //GetSSSDTFuncCurAddr64(0x1011);
    DbgPrint("%p\n", GetSSSDTFuncCurAddr64(1));
    driver->DriverUnload = DrvUnload;

    return status;
}
  • 写回答

1条回答 默认 最新

  • CSDN专家-link 2022-03-24 10:40
    关注

    qwTemp是longlong类型,用PLONG转换不会溢出么?

    评论

报告相同问题?

  • SSDT报表预览总是报错,未定义字段 sql
    2020-08-08 17:21
    回答 2 已采纳 你的报表中的字段和你的数据库的表中的字段不匹配,你检查并且修改其中之一,使之匹配起来。
  • SSDT报错无权访问数据库 sql
    2020-08-01 16:14
    回答 2 已采纳 1. 看下数据库服务启动没有 2. 检查数据源连接配置是否正确 数据库地址:(下面两行合并成一行,不拆分提交不了,提示包含非法词组) ``` https://docs.microsof
  • VS2013中自带的Sql Server的问题 sql visual studio
    2016-01-13 19:28
    回答 4 已采纳 你安装VS2013的候,有选择安装SQL Server Data Tools吗?
  • 关于Win7 x64 Shadow SSDT 的探索和 Inline HOOK
    2017-05-15 10:01
    天经地义之经的博客 } else { DbgPrintEx(DPFLTR_IHVDRIVER_ID, 2, "获取ShadowSSDT内核表基址失败!\n"); } } ULONGLONG GetSSSDTFuncCurAddr64(ULONG64 Index) { ULONGLONG W32pServiceTable=0, qwTemp=0; LONG dwTemp=0; PSYSTEM_...
  • Win64 驱动内核编程-22.SHADOW SSDT HOOK(宋孖健)
    2017-03-26 11:51
    TK13的博客 HOOK和UNHOOKSHADOWSSDT跟之前的HOOK/UNHOOKSSDT类似,区别是查找SSSDT的特征码,以及根据索引计算函数地址的公式,还有一个就是吧跳转函数写在什么位置,SSDT的候是写在蓝屏函数里了。 一、获得...
  • win7 x64 inline hook的尝试
    2018-07-11 18:21
    Jaylon88的博客 最近因为虚机性能问题,需要验证下是不是因为内核态加锁间过长导致,所以需要在内核态hook两个内核函数:KeAcquireSpinLockAtDpcLevel和KeReleaseSpinLock,虚机的操作系统是win7 64位。所以在内核态hook,我采用...
  • win 64 Shadow ssdt hook
    2017-10-02 22:31
    weixin_30709929的博客 自己写的代码不能读取shadow ssdt的偏移内容,但是通过和调试作者的代码输出发现地址确实是一模一样的,但是自己的读不出来,而作者的能 读出来,当直接使用windbg调试也读不出来. 后来将作者的代码完全复制过来,发现...
  • 驱动开发:恢复SSDT内核钩子
    2022-10-15 12:45
    微软技术分享的博客 SSDT 中文名称为系统服务描述符表,该表的作用是将Ring3应用层与Ring0内核层,两者的API函数连接起来,起到承上启下的作用,SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的...
  • Win64 驱动内核编程-18.SSDT
    2019-12-18 20:04
    「已注销」的博客 SSDT 学习资料:...学习资料:WIN64内核编程基础胡文亮 SSDT(系统服务描述表),刚开始接触什么进程保护XXX啥的,都是看到在说SSDT(虽然说目前很多杀软都已经采用稳定简单的回调姿...
  • X64 shadow SSDT HOOK引擎那些事儿~~
    2015-09-23 22:59
    qq_18942885的博客 废话不多少 我做HOOK引擎遇到的事儿~~~ ...先看一下代码 ,里面有详细地址 .text:FFFFF97FFF072744 NtUserGetForegroundWindow proc near ; DATA XREF: .text:FFFFF97FFF0D20E0 o .text:FFFFF97FFF072744 
  • x64内核hook
    2020-01-07 10:32
    liuhaidon1992的博客 x64中系统提供了api帮助我们进行hook,主要是如下三个函数 PsSetCreateProcessNotifyRoutineEx,这个函数的作用就是当进程创建的候会通知你., PsSetCreateThreadNotifyRoutine,这个函数的作用是 当线程创建的...
  • X86驱动:恢复SSDT内核钩子
    2019-09-21 17:21
    微软技术分享的博客 SSDT 中文名称为系统服务描述符表,该表的作用是将Ring3应用层与Ring0内核层,两者的API函数连接起来,起到承上启下的作用,SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的...
  • ShadowSSdt HOOK
    2016-04-10 19:06
    zhuhuibeishadiao的博客 system进程并没有载入win32k.sys,所以,要访问shadowssdt表,必须KeStackAttackProces到一个有GUI线程的进程中,而csrss.exe就是这样的一个合适的进程(管理Windows图形相关任务) Index?硬编码 挂钩NtGdiBitBlt...
  • [原创]逆向追踪win10 SSDT
    2018-08-20 10:54
    weixin_34071713的博客 x64如下: 计算公式如下: Ssdt为KeServiceDescriptorTable地址,Index为索引值 FunAddr =ssdt+(ssdt+4 * Index)>>4 0: kd> uf nt!zwopenprocess Flow analysis was incomplete, some code may be missing nt!...
  • win 64 SSDT HOOK
    2017-10-01 20:36
    weixin_30815469的博客 ssdt的结构,和win32差不多,但是要注意这里的指针类型不能用ULONG替代,如果要非要替代应该用ULONGLONG,原因就不说了. //SSDT的结构 typedef struct _SystemServiceDescriptorTable { PVOID ServiceT...
  • SSDT Hook实现内核级的进程保护
    2017-10-19 22:07
    YHJunE的博客 SSDT Hook效果图SSDT简介SSDT结构SSDT HOOK原理Hook前准备如何获得SSDT中函数地址SSDT Hook流程SSDT Hook实现进程保护Ring3与Ring0的通信如何安装启动停止卸载服务参考文献源码附件版权 SSDT Hook效果图 ...
  • SSDT】SSDT hook技术
    2022-09-07 16:19
    dr0op的博客 通过修改此表的函数地址可以对常用Windows函数及API进行Hook,从而实现对一些关心的系统动作进行过滤、监控等目的。在NT4.0 以上的Windpws 操作系统中,默认存在两个系统服务描述表,两个调度表对应两类不同的系统...
  • ShadowSSDT Hook
    2013-12-26 00:49
    l0g1n的博客 ShadowSSDT表的获取 这里的ShadowSSDT表的获取是通过函数...2、这个函数里面使用了ShadowSSDT,包含了ShadowSSDT的地址。 可以使用WinDbg查看该函数代码,如下: kd> u KeAddSystemServiceTabl
  • Windows内核工具Win64AST初步使用
    2020-10-01 07:58
    bcbobo21cn的博客 简介 Win64AST专用于64位 Windows 的 ARK 类工具,能够查看并管理64位 Windows 系统的各种内核信息,可用于手工杀毒、辅助...Win64AST 全称 Win64 Advanced System Tool,支持 Windows 7 x64、Windows 8 x64 和 Window
  • 没有解决我的问题, 去提问

问题事件

  • 已结题 (查看结题原因) 3月26日
  • 创建了问题 3月24日

悬赏问题

  • ¥15 基于pso参数优化的LightGBM分类模型
  • ¥15 安装Paddleocr时报错无法解决
  • ¥15 python中transformers可以正常下载,但是没有办法使用pipeline
  • ¥50 分布式追踪trace异常问题
  • ¥15 人在外地出差,速帮一点点
  • ¥15 如何使用canvas在图片上进行如下的标注,以下代码不起作用,如何修改
  • ¥15 Windows 系统cmd后提示“加载用户设置时遇到错误”
  • ¥50 vue router 动态路由问题
  • ¥15 关于#.net#的问题:End Function
  • ¥15 无法import pycausal