windebug查看KeServiceDescriptorTable

最新推荐文章于 2021-07-06 19:09:54 发布

Ansbic

最新推荐文章于 2021-07-06 19:09:54 发布

阅读量850

点赞数

本文深入分析了内核代码中关于文件操作的流程，包括核心函数间的调用关系和参数传递，展示了从系统调用到内核内部处理的详细过程。通过解读具体的代码片段，如`kd>ddKeServiceDescriptorTable`、`nt!NtCreateFile`等，读者可以理解文件创建、读取和关闭的基本机制。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

kd> dd KeServiceDescriptorTable

8089f7e0 80831b20 00000000 00000128 80831fc4

8089f7f0 00000000 00000000 00000000 00000000

8089f800 8089f800 8089f800 7c9524b4 00000000

8089f810 00000000 00000000 00000000 00000000

8089f820 00000000 00000000 00000000 00000000

8089f830 00000000 00000000 00000000 00000000

8089f840 00000000 00000000 00000000 7c9524a5

8089f850 00000000 00000000 00000000 00000000

kd> dd 80831b20 + 0x27 * 4

80831bbc 808e50be 808e47d0 8093546e 809369dc

80831bcc 808acbc2 808e51c6 808d91f8 808e50f6

80831bdc 808f9d06 808f3d80 80931954 80931760

80831bec 808d88da 808f966e 808d708c 80929b1e

80831bfc 80931814 808d8ede 8091de7a 808f3da2

80831c0c 80990e98 8099101a 809919da 808d7f5c

80831c1c 8096968e 8096968e 808e4194 808acf1a

80831c2c 80919bbc 808ad090 808e527c 80949e0a

kd> u 808e50be

nt!NtCreateFile [d:\wrk\wrk\wrk\wrk\base\ntos\io\iomgr\create.c @ 92]:

808e50be 55 push ebp

808e50bf 8bec mov ebp,esp

808e50c1 33c0 xor eax,eax

808e50c3 50 push eax

808e50c4 50 push eax

808e50c5 50 push eax

808e50c6 ff7530 push dword ptr [ebp+30h]

808e50c9 ff752c push dword ptr [ebp+2Ch]

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Ansbic

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

Windows内核编程文件监控（ssdt hook）

u013032601的博客

06-23

3801

本文主要针为进行内核编程的一些初学者提供一些错误，如有错误，希望大家能够指出。这里先简单介绍一下概念。说到SSDT HOOK，可以从MEP技术说起，MEP（即执行路径修改）主旨就是拦截系统函数或相关处理例程，让它们转向我们自己的函数进行处理，这样就能实现过滤参数或者修改目标函数处理结果的目的。而SSDT（即系统服务描述符表），主要是将位于Ring3的应用API函数和Ring0

WinDBG windebug 可查看Minidump 蓝屏信息

12-01

WinDBG windebug 可查看Minidump 蓝屏信息

参与评论您还未登录，请先登录后发表或查看评论

关于windbg不能正确显示KeServiceDescriptorTableShadow的问题

u011019337的专栏

07-31

984

参考了一下网上的文档，其实就是符号的问题可以在symbol path里加入 srv*E:\WinDDK*http://msdl.microsoft.com/download/symbols E:\\WinDDK 是你的符号表要保存的硬盘路径在windbg命令行下输入： kd> !sym noisy //命令希望WinDBG在获得符号的时候取得更多的信息 kd>

windbg符号链接的问题.还有KeServiceDescriptorTableShadow内存块查找时问号的情况

yandaoming的专栏

10-15

1110

最近配置windbg比较郁闷,搞了几天才搞定，自己的经验希望能帮助大家.也方便自己以后查阅首先介绍几个命令： lm 列出加载模块信息如下 0: kd> lm start end module name 80800000 80a28000 nt (export symbols) ntkrnlmp.exe Unloaded m

KeServiceDescriptorTable64获取

weixin_34368949的博客

03-11

948

1 ULONGLONG GetKeServiceDescriptorTable64() //我的方法 { PUCHAR StartSearchAddress = (PUCHAR)__readmsr(0xC0000082); PUCHAR EndSearchAddress = StartSearchAddress + 0x500; PUCHAR i = NULL; U...

64位vista，win7中KeServiceDescriptorTable问题

Tommy(凌飞)的专栏

12-11

3249

最近在移植64位驱动，原本在32位驱动中使用到了KeServiceDescTable进行SSDT Hook等。但是在64位系统上是不允许进行SSDT HOOk的。在64位的XP系统上，使用到这个导出符号式没有问题的。但是在64位Vista和Win7下面，如果使用了这个符号，那么你在加载驱动的时候，返回的错误是找到不指定文件。在修这个bug真是有点吃力，只能一点点个跟进去，还好手边有WRK

WinDebug用法详解

09-19

WinDBG 是个非常强大的调试器，它设计了极其丰富的功能来支持各种调试任务，包括用户态调试、内核态调试、调试转储文件、远程调试等等。 WinDBG 具有非常大的灵活性和可扩展性，用来满足各种各样的调试需求，比如用户可以自由定义调试事件的处理方式，编写调试扩展模块来定制和补充 WinDBG 的调试功能。尽管 WinDBG 是个典型的窗口程序，但是它的大多数调试功能还是以手工输入命令的方式来工作的。目前版本的 WinDBG 共提供了 20 多条标准命令， 140 多条元命令（ Meta-commands），和难以计数的大量扩展命令。学习和灵活使用这些命令是学习 WinDBG 的关键，也是难点。上一章我们从设计的角度分析了 WinDBG ，本章将从使用（用户）的角度介绍 WinDBG 。我们先介绍工作空间的概念和用法（第 1 节），然后介绍命令的分类和不同种类的命令提示符（第 2 节）。第 3 节介绍不同的调试模式，也就是如何与不同特征的调试目标建立调试会话。第 4 节介绍上下文的概念和在调试时应该如何切换和控制上下文。第 5 节介绍调试事件和如何定制调试事件的处理方式。从第 6 节到第 9 节我们将分别介绍如何在 WinDBG 中完成典型的调试操作，比如控制调试目标（第 6 节）、设置断点（第 7 节）、观察栈（第 8 节）以及如何观察和修改数据（第 9 节）。

WIN7 X64 SSDT函数获得

多媒体编程、网络编程、系统编程、网络安全编程、驱动编程

07-14

2162

曾经在网上看到一片文章，在早期64位系统，内核函数开头地址的低四位一般是0，形如:xxxxxxxx`xxxxxxx0，这一特征在SSDT表中有很强大的引用，SSDT表在64位系统于32位系统有较大的差别。以下是在64位系统下的KeServiceDescriptorTable： kd> dp KeServiceDescriptorTable fffff800`0117bb80 fffff8

RMB系统调用4、SSDT

Windows内核学习笔记

07-06

315

一、回顾前两篇博客，我逆向分析了 KiSystemService 和 KiFastCallEntry 填充_KTRAP_FRAME 结构体的代码，二者大同小异，主要的区别是 sysenter 只改了eip,cs,ss，虽然esp也改了，但是windows不使用，而是从TSS里取esp0；另外sysenter并没有像中断门那样压栈，所以3环的 ss, esp, eflags, cs,eip都要在函数里依次保存到 _KTRAP_FRAME 。这次课后作业是逆向 KiSystemService / KiFas

系统服务描述符表

CPPLOVER_78的专栏

09-26

5741

大家都知道在WINNT 的内核中存在着两个变量，KeServiceDescriptorTable，KeServiceDescriptorTableShadow，我们可以使用KD 看到。kd> dd nt!KeServiceDescriptorTable8046e0c0 804746e8 00000000 000000f8 80474acc8046e0d0 00000000 0000000

城里城外看SSDT

马说@优快云

07-05

6200

原文链接：http://www.titilima.cn/?action=show&id=201点这里下载本文的配套代码引子2006年，中国互联网上的斗争硝烟弥漫。这时的战场上，先前颇为流行的窗口挂钩、API挂钩、进程注入等技术已然成为昨日黄花，大有逐渐淡出之势；取而代之的，则是更狠毒、更为赤裸裸的词汇：驱动、隐藏进程、Rootkit……前不久，我不经意翻出自己2005年9月写下

这可能是最详细的 Windows Debug 详解了

热门推荐

咸鱼的笔记

06-08

2万+

Debug概览 Debug是什么？ debug是Windows 16位或者32位机器上的一款调试工具。也就是说，在WindowsXP及以前的机器上都有debug，直接Win+X debug就可以调出；在之后的32位机也有；但是在之后的64位机器上不存在，即使有，也无法运行。不必尝试到底能不能运行，绝对不能相似的，微软的masm也无法在64位版本的系统上运行。可以通过安装dosbox来...

Windows调试工具入门 — 1

eqera的专栏

11-28

6592

一、引子 Debugging Tools for Windows是微软发布的一套用于软件调试的工具包(后面如果没有指明，那么我会使用WinDbg来作为这一套调试工具的简称)。我第一次接触是在三年前的一个内核驱动项目，由于进行了IDT中键盘鼠标中断的Hook，使用Softice调试时造成会造成影响，只得使用WinDbg通过串口进行双机调试。自此之后这个Windows平台下最为强大的调试工具一直

Windbg 查看SSDT表

weixin_33910137的博客

12-21

183

SSDTHOOK的原理其实非常简单，我们先实际看看KeServiceDescriptorTable是什么样的。 lkd>ddKeServiceDescriptorTable 8055ab80804e3d20000000000000011c804d9f48 8055ab9000000000000000000000000...

Windows下如何获得KeServiceDescriptorTableShadow地址

misterliwei的专栏

07-22

3085

Windows下如何获得KeServiceDescriptorTableShadow地址总结网上文章的观点，主要有下面几种：1.根据操作系统分类。在WIN2K下KeServiceDescriptorTableShadow接跟着keServiceDescriptorTable;而在XP下，顺序正好相反，KeServiceDescriptorTable紧跟着KeServiceDescri

#define SYSTEMSERVICE(_func) KeServiceDescriptorTable.ServiceTableBase[ *(PULONG)((PUCHAR)_func+1) 这...

weixin_33804990的博客

08-17

178

这个跟KeServiceDescriptorTable的结构有关下面是KeServiceDescriptorTable的结构定义 KeServiceDescriptorTabletypedef struct _KSERVICE_TABLE_DESCRIPTOR { PULONG_PTR Base; PULONG Count; ULONG Limit; PUCHAR Number;...

x64技术之SSDT_Hook

Hades的博客

05-10

5766

x64技术之SSDT_Hook测试环境:虚拟机: Windows 7 64bit过PG工具驱动加载工具PCHunter64系统自带的计算器和任务管理器等实现思路:实际思路与win32的思路一样.都是替换SSDT表里边的函数地址.不过微软被搞怕了,所以在x64上做了一些手脚.具体手脚就是x64通过SSDT得到的函数地址,不是真实的函数绝对地址了,而是加密了的.HOOK1.得到系统服务表基址2.保存需...