RING3下SSDT原始地址的获取

最新推荐文章于 2019-01-14 19:18:39 发布
最新推荐文章于 2019-01-14 19:18:39 发布
阅读量2.5k 收藏 2
点赞数
CC 4.0 BY-SA版权
文章标签: header image module file system struct
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/KernelEx/article/details/4463827
本文介绍了一种在Windows操作系统上枚举系统服务描述表(SSDT)的方法,通过使用NtQuerySystemInformation API来获取内核模块信息,并进一步定位到KiServiceTable,最终遍历并打印出所有系统服务的地址。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >


#include "stdafx.h"
#include <windows.h>
#include <iostream>
using namespace std;

#define RVATOVA(base,offset)             ((PVOID)((DWORD)(base)+(DWORD)(offset)))
#define ibaseDD *(PDWORD)&ibase
#define STATUS_INFO_LENGTH_MISMATCH      ((NTSTATUS)0xC0000004L)
#define NT_SUCCESS(Status)               ((NTSTATUS)(Status) >= 0)


typedef struct {
    WORD    offset:12;
    WORD    type:4;
} IMAGE_FIXUP_ENTRY, *PIMAGE_FIXUP_ENTRY;


typedef LONG NTSTATUS;

long ( __stdcall *NtQuerySystemInformation )( DWORD, PVOID, DWORD, DWORD );

typedef struct _SYSTEM_MODULE_INFORMATION {//Information Class 11
    ULONG    Reserved[2];
    PVOID    Base;
    ULONG    Size;
    ULONG    Flags;
    USHORT    Index;
    USHORT    Unknown;
    USHORT    LoadCount;
    USHORT    ModuleNameOffset;
    CHAR    ImageName[256];
}SYSTEM_MODULE_INFORMATION,*PSYSTEM_MODULE_INFORMATION;

typedef struct {
    DWORD    dwNumberOfModules;
    SYSTEM_MODULE_INFORMATION    smi;
} MODULES, *PMODULES;

#define    SystemModuleInformation    11




DWORD GetHeaders(PCHAR ibase,
                 PIMAGE_FILE_HEADER *pfh,
                 PIMAGE_OPTIONAL_HEADER *poh,
                 PIMAGE_SECTION_HEADER *psh)
                 
{
    PIMAGE_DOS_HEADER mzhead=(PIMAGE_DOS_HEADER)ibase;
   
    if    ((mzhead->e_magic!=IMAGE_DOS_SIGNATURE) ||       
        (ibaseDD[mzhead->e_lfanew]!=IMAGE_NT_SIGNATURE))
        return FALSE;
   
    *pfh=(PIMAGE_FILE_HEADER)&ibase[mzhead->e_lfanew];
    if (((PIMAGE_NT_HEADERS)*pfh)->Signature!=IMAGE_NT_SIGNATURE)
        return FALSE;
    *pfh=(PIMAGE_FILE_HEADER)((PBYTE)*pfh+sizeof(IMAGE_NT_SIGNATURE));
   
    *poh=(PIMAGE_OPTIONAL_HEADER)((PBYTE)*pfh+sizeof(IMAGE_FILE_HEADER));
    if ((*poh)->Magic!=IMAGE_NT_OPTIONAL_HDR32_MAGIC)
        return FALSE;
   
    *psh=(PIMAGE_SECTION_HEADER)((PBYTE)*poh+sizeof(IMAGE_OPTIONAL_HEADER));
    return TRUE;
}


DWORD FindKiServiceTable(HMODULE hModule,DWORD dwKSDT)
{
    PIMAGE_FILE_HEADER    pfh;
    PIMAGE_OPTIONAL_HEADER    poh;
    PIMAGE_SECTION_HEADER    psh;
    PIMAGE_BASE_RELOCATION    pbr;
    PIMAGE_FIXUP_ENTRY    pfe;   
   
    DWORD    dwFixups=0,i,dwPointerRva,dwPointsToRva,dwKiServiceTable;
    BOOL    bFirstChunk;
   
    GetHeaders((char *)hModule,&pfh,&poh,&psh);
   
    // loop thru relocs to speed up the search
    if ((poh->DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress) &&
        (!((pfh->Characteristics)&IMAGE_FILE_RELOCS_STRIPPED))) {
       
        pbr=(PIMAGE_BASE_RELOCATION)RVATOVA(poh->DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress,hModule);
       
        bFirstChunk=TRUE;
        // 1st IMAGE_BASE_RELOCATION.VirtualAddress of ntoskrnl is 0
        while (bFirstChunk || pbr->VirtualAddress) {
            bFirstChunk=FALSE;
           
            pfe=(PIMAGE_FIXUP_ENTRY)((DWORD)pbr+sizeof(IMAGE_BASE_RELOCATION));
           
            for (i=0;i<(pbr->SizeOfBlock-sizeof(IMAGE_BASE_RELOCATION))>>1;i++,pfe++) {
                if (pfe->type==IMAGE_REL_BASED_HIGHLOW) {
                    dwFixups++;
                    dwPointerRva=pbr->VirtualAddress+pfe->offset;
                    // DONT_RESOLVE_DLL_REFERENCES flag means relocs aren't fixed
                    dwPointsToRva=*(PDWORD)((DWORD)hModule+dwPointerRva)-(DWORD)poh->ImageBase;
                   
                    // does this reloc point to KeServiceDescriptorTable.Base?
                    if (dwPointsToRva==dwKSDT) {
                        // check for mov [mem32],imm32. we are trying to find
                        // "mov ds:_KeServiceDescriptorTable.Base, offset _KiServiceTable"
                        // from the KiInitSystem.
                        if (*(PWORD)((DWORD)hModule+dwPointerRva-2)==0x05c7) {
                            // should check for a reloc presence on KiServiceTable here
                            // but forget it
                            dwKiServiceTable=*(PDWORD)((DWORD)hModule+dwPointerRva+4)-poh->ImageBase;
                            return dwKiServiceTable;
                        }
                    }
                   
                }
            }
            *(PDWORD)&pbr+=pbr->SizeOfBlock;
        }
    }   
   
   
   
    return 0;
}


int EnumSSDT()
{
    HMODULE  hKernel;
    DWORD    dwKSDT;                // rva of KeServiceDescriptorTable
    DWORD    dwKiServiceTable;    // rva of KiServiceTable
    PMODULES    pModules=(PMODULES)&pModules;
    DWORD    dwNeededSize,rc;
    DWORD    dwKernelBase,dwServices=0;
    PCHAR    pKernelName;
    PDWORD    pService;
    PIMAGE_FILE_HEADER    pfh;
    PIMAGE_OPTIONAL_HEADER    poh;
    PIMAGE_SECTION_HEADER    psh;
    NtQuerySystemInformation = (long(__stdcall*)(DWORD,PVOID,DWORD,DWORD))GetProcAddress( GetModuleHandle( "ntdll.dll" ),"NtQuerySystemInformation" );
    //通过NtQuerySystemInformation取得系统内核文件,判断为是ntoskrnl.exe ntkrnlmp.exe ntkrnlpa.exe
    rc=NtQuerySystemInformation(SystemModuleInformation,pModules,4,(ULONG)&dwNeededSize);
    if (rc==STATUS_INFO_LENGTH_MISMATCH) //如果内存不够
    {
        pModules=(PMODULES)GlobalAlloc(GPTR,dwNeededSize) ; //重新分配内存
        rc=NtQuerySystemInformation(SystemModuleInformation,pModules,dwNeededSize,NULL); //系统内核文件是总是在第一个,枚举1次
    }
   
    if (!NT_SUCCESS(rc))
    {
        cout << "NtQuerySystemInformation() Failed !/n"; //NtQuerySystemInformation执行失败,检查当前进程权限
        return 0;
    }
   
    dwKernelBase=(DWORD)pModules->smi.Base;   // imagebase
    pKernelName=pModules->smi.ModuleNameOffset+pModules->smi.ImageName;
    hKernel=LoadLibraryEx(pKernelName,0,DONT_RESOLVE_DLL_REFERENCES);     // 映射ntoskrnl //高
    if (!hKernel)
    {
        cout << "Failed to load /n";
        return 0;       
    }
    GlobalFree(pModules);
    if (!(dwKSDT=(DWORD)GetProcAddress(hKernel,"KeServiceDescriptorTable"))) //在内核文件中查找KeServiceDescriptorTable地址
    {
        cout << "Can't find KeServiceDescriptorTable/n";
        return 0;
    }
   
    dwKSDT-=(DWORD)hKernel;       // 获取 KeServiceDescriptorTable RVA
    if (!(dwKiServiceTable=FindKiServiceTable(hKernel,dwKSDT)))   // 获取KiServiceTable地址
    {
        cout << "Can't find KiServiceTable.../n";
        return 0;
    }
   
    GetHeaders((char *)hKernel,&pfh,&poh,&psh);
   
    int dwIndex=0;
    for (pService=(PDWORD)((DWORD)hKernel+dwKiServiceTable);
        *pService-poh->ImageBase<poh->SizeOfImage;
        pService++,dwServices++,dwIndex++)
    {
        printf("0x%03X-0x%08X/n",dwIndex,*pService-poh->ImageBase+dwKernelBase);   //SSDT索引和地址
    }
    FreeLibrary(hKernel);
    return 1;
}



int main()
{
    EnumSSDT();

    system("pause");
    return 0;
}

KernelEx
关注
SSDT获取原始服务地址的方法与原理(灯灯灯灯,我肥来了..)
GaA.Ra的自留地 in Csdn
11-18 7500
好吧,我胡汉三肥来了..(确实肥了- -),几个月没发什么文章.其实.我也只是一个新丁~欢迎大家交流,高手勿喷,谢谢合作^_^     对于SSDT,不知道的同学请自己百度,判断出SSDT被HOOK之后,如何恢复成原始服务地址?主要方法有两个,简单来说,一个Ring0,一个Ring3的方法(可能分类不够准确),我今天除了介绍方法之外,主要还是讲讲里面的原理吧,原理神马的才是最吸引人的对吧.
SSDT原始地址, 现在地址
Rootkit ﹏
09-28 716
<br />#include <windows.h> #include <winnt.h> #include <WindowsX.h> #include <commctrl.h> #include <stdio.h> #define ibaseDD *(PDWORD)&ibase HINSTANCE g_hInst; HWND hWinMain,hList; #define ID_LISTVIEW 104 #pragma comment(lib,"comctl32") typedef
ring3 下得到真实ssdt
11-03
某期黑防的东西 ring3下得到ssdt的真实地址 老东西了 可惜偶不会.
Shadow SSDT服务函数原始地址
12-01
可以獲取到Shadow SSDT服务函数原始地址,这更是大多数朋友所期待的。
读取SSDT表和原函数地址
weixin_33826609的博客
01-21 222
今天的成果,读取了我的SSDT地址. 读取当前地址代码(NtOpenProcess): LONG *SSDT_Adr,t_addr,adr; t_addr=(LONG)KeServiceDescriptorTable->ServiceTableBase; SSDT_Adr=(PLONG)(t_addr+0x7a*4); adr=*SSDT_Adr; 读取起源地址(NtOpenPro...
Ring3获取原始SSDT
11-28
Ring3获取原始SSDT // ssdt.cpp : Defines the class behaviors for the application. // #include "stdafx.h" #include "ssdt.h" #include "ssdtDlg.h" #ifdef _DEBUG #define new DEBUG_NEW #undef THIS_...
获取Shadow SSDT原始地址的驱动开发实例解析
在深入了解这些知识点时,我们应当意识到获取Shadow SSDT原始地址的操作是十分敏感和高风险的。这是因为: 1. 这些操作通常涉及到Windows内核级别的修改,可能会导致系统崩溃或不稳定。 2. 这种级别的操作通常需要...
RING3恢复SSDT完整VC源码
05-15
在某些安全或调试场景下,可能需要恢复SSDT到其原始状态,以消除可能的恶意篡改。 描述中提到“用VC编写”,这意味着该项目使用的是Microsoft Visual C++(VC++)作为开发环境和编译器。VC++是微软提供的一个集成...
SSDT 对抗 ring0 inline hook, 通过SSDT绕过inline Hook.zip
01-24
1. **获取SSDT地址**:在Windows系统中,SSDT地址并不是固定的,需要通过一定的手段(如枚举内存、使用调试工具等)找到它。 2. **备份SSDT**:在进行任何修改之前,应先备份SSDT原始状态,以防意外。 3. **...
RING0恢复SSDT
10-05
1. SSDT备份:在系统启动时,驱动会获取原始SSDT副本,以便在需要时进行恢复。 2. SSDT监控:实时检测SSDT的改动,如果发现异常修改,立即报警或阻止。 3. 进程管理:可能包含了对特定进程的控制逻辑,例如防止...
R0层获取ShadowSSDT函数原始地址实例
11-20
本实例由VS2008开发,在提供了一套驱动开发框架的同时,又演示了如何获取Shadow SSDT表函数原始地址的办法。 主要函数:ULONG GetShadowSSDT_Function_OriAddr(ULONG index); 原理说明: 根据特征码搜索导出函数KeAddSystemServiceTable来获取Shadow SSDT基址,以及通过ZwQuerySystemInformation()函数获取win32k.sys基址,然后解析PE定位到Shadow SSDT在win32k.sys的偏移地址,并通过进一步计算来得到Shadow SSDT表函数的原始地址。 这里只测试了三个函数:(460)NtUserMessageCall、(475)NtUserPostMessage和(502)NtUserSendInput,具体使用时可以举一反三,网上完整的源代码实例并不太多,希望可以帮到真正有需要的朋友。 系统环境: 在WinXP SP3系统 + 瑞星杀毒软件 打印输出: [ LemonInfo : Loading Shadow SSDT Original Address Driver... ] [ LemonInfo : 创建“设备”值为:0 ] [ LemonInfo : 创建“设备”成功... ] [ LemonInfo : 创建“符号链接”状态值为:0 ] [ LemonInfo : 创建“符号链接”成功... ] [ LemonInfo : 驱动加载成功... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP 开始... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP Enter IRP_MJ_DEVICE_CONTROL... ] [ LemonInfo : 获取ShadowSSDT表 (460)NtUserMessageCall 函数的“当前地址”为:0xB83ECFC4,“起源地址”为:0xBF80EE6B ] [ LemonInfo : 获取ShadowSSDT表 (475)NtUserPostMessage 函数的“当前地址”为:0xB83ECFA3,“起源地址”为:0xBF8089B4 ] [ LemonInfo : 获取ShadowSSDT表 (502)NtUserSendInput 函数的“当前地址”为:0xBF8C31E7,“起源地址”为:0xBF8C31E7 ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP_MJ_DEVICE_CONTROL 成功执行... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP 结束... ] [ LemonInfo : UnLoading Shadow SSDT Original Address Driver... ] [ LemonInfo : 删除“符号链接”成功... ] [ LemonInfo : 删除“设备”成功... ] [ LemonInfo : 驱动卸载成功... ]
e语言-易语言实现64位全系统获取SSDT地址
08-23
获取ssdt地址 当然是用驱动编写的啦  驱动支持全系统获取(x64)位 易源码是有bug的  win7 获取真实的地址可以没啥问题  win10的就有问题实在没时间去修了  驱动没啥问题 反复测试没蓝屏 (驱动已签名)其他的问题后期在看着弄吧   提示驱动获取ssdt地址是没问题的原始地址是要从ntoskrnl.exe获取 (驱动源码不开源)
易语言获取R0级SSDT列表源码
10-10
易语言获取R0级SSDT列表源码,SSDT系统服务描述表
SSDT_Helper for Delphi v1(Ring3下查看SSDT HOOK的Delphi版)
zbc_vc的专栏
12-07 981
SSDT(System Services Descriptor Table) 这几年被讲烂了,各大论坛、Blog相关文章都是成堆成堆的。检测SSDT HOOK的代码也相当多,只不过放眼望去都是C的。实在不忍自己苦苦捍卫的Delphi就此末落(D2009倒是让人振奋了一把),于是把自己感兴趣的几个代码都给翻成了Delphi的,现在拿来共享。 不会驱动,这方面涉水也比较浅,只能写个查看S
读取SSDT当前函数地址
record
05-14 811
#include "ntddk.h" VOID DriverUnload(PDRIVER_OBJECT driver) { DbgPrint("卸载成功\n\r"); } typedef struct _ServiceDescriptorTable { PVOID ServiceTableBase; PVOID ServiceCounterTable; unsigned int Nu
寻找SSDT地址
09-04 313
#include"ntifs.h" #include"intsafe.h" #include"ntimage.h" #define out #define in ULONG_PTR dizhi_zwclose = 0; ULONG_PTR dizhi_KiServiceInternal = 0; ULONG_PTR dizhi_KiSystemServiceStart = 0; ULONG_P
X64ssdt 枚举函数偏移地址
qq_41071646的博客
01-14 645
emmmmm 这个其实  和Windows x86差不多~~~~~ 这里参考了 看雪论坛分享的 资料  作者是 Tesla.Angela(GDUT.HWL)  下面是代码  #include &lt;ntddk.h&gt; #include &lt;windef.h&gt; #pragma intrinsic(__readmsr) typedef struct _SYSTEM_SERVIC...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值