内核层获取SSDT中函数原始地址

本文分享了一个内核层实现的工具,用于在Windows XP系统中获取SSDT(系统服务描述表)函数的原始地址,可用于检测和恢复被恶意软件篡改的SSDT hook。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

标 题:  【下载】内核层获取SSDT中函数原始地址
作 者: QEver
时 间: 2011-08-30,20:32:28
链 接: http://bbs.pediy.com/showthread.php?t=139524

昨天在看雪看到 《【下载】发个获得SSDT函数名和索引号的代码》 ,一时兴起整理了一份内核层根据ntdll.dll和nt模块文件来获取SSDT函数原始的地址的代码,可以用来检测和恢复SSDT hook。

没什么技术含量,不过这却是我第一次规规矩矩地写代码,花费了一下午的时间调整代码格式,填写注释。希望能够尽可能地使代码易读易用易维护,当然,现在依旧感觉有很多不如意的地方,包括安全性与函数的封装,都有很大的修改空间,不过还是选择了先贴出来,如果感觉不爽的,可以自己修改一下。

因为感觉中文混在代码中看起来很别扭,所以注释都使用的英文,这对一个六级没有通过的人来说,真不是件容易的事情( ),如果发现什么语法错误,请无视~~

最后,欢迎各位对代码的格式,注释的填写以及函数的封装等工程性的问题上提出建议~~


代码:
/*++

Module Name:

  Entry.c

Abstract:

  A sample with ListSSDT.c .

--*/

#include "ListSSDT.h"



//
//  function declaration
//

DRIVER_UNLOAD UnloadMe;
DRIVER_INITIALIZE DriverEntry;

#ifdef ALLOC_PRAGMA

#pragma alloc_text(INIT, DriverEntry)
#pragma alloc_text(PAGE, UnloadMe)

#endif

NTSTATUS 
DriverEntry(
  IN PDRIVER_OBJECT DriverObject,
  IN PUNICODE_STRING RegistryPath)
/*++

Routine Description:

  Entry of driver.

Arguments:

  DriverObject - Pointer to driver object created by system.
  RegistryPath - Pointer to the Unicode name of the registry path
    for this driver.

Return Value:

  NT Status code

--*/
{
  NTSTATUS Status;
  ULONG NameLength;
  ULONG AddrLength;
  PVOID NameBuffer;
  PVOID AddrBuffer;
  PVOID AddrOrig;
  ULONG i;
  
  //
  //
  //Important Variables:
  //
  //  NameBuffer - Buffer to receive the function names of SSDT.
  //  AddrBuffer - Buffer to receive the current function address of SSDT.
  //  AddrOrig - Buffer to receive the original function address of SSDT.
  //
  //
  
  UNREFERENCED_PARAMETER( RegistryPath );

  //
  //  driver initialization
  //

  DriverObject->DriverUnload = UnloadMe;


  //
  //  get the size of all information.
  //

  Status = GetNeedLength( &NameLength, &AddrLength);

  if(!NT_SUCCESS(Status))
  {
    return Status;
  }

  //
  //  allocate memory
  //

  NameBuffer = ExAllocatePoolWithTag(NonPagedPool, NameLength, 'name');
  AddrBuffer = ExAllocatePoolWithTag(NonPagedPool, AddrLength, 'addr');
  AddrOrig = ExAllocatePoolWithTag(NonPagedPool, AddrLength, 'orig');

  if(NameBuffer == NULL)
  {
    return STATUS_UNSUCCESSFUL;
  }

  if(AddrBuffer == NULL)
  {
    ExFreePool(NameBuffer);
    return STATUS_UNSUCCESSFUL;
  }
  
  if(AddrOrig == NULL)
  {
    ExFreePool(NameBuffer);
    ExFreePool(AddrBuffer);
    return STATUS_UNSUCCESSFUL;
  }

  //
  //  get information
  //

  Status = GetSSDTInfo(NameBuffer, AddrBuffer, AddrOrig);


  //
  //  print result
  //

  if(NT_SUCCESS(Status))
  {
    for( i = 0; i < AddrLength/4; i++)
    {
      DbgPrint("%3d\t\t%s\t\t\t0x%08x\t0x%08x\n", 
           i, 
           (ULONG)NameBuffer + i * 0x32, 
           *(PULONG)((ULONG)AddrOrig + i * 0x04),
           *(PULONG)((ULONG)AddrBuffer + i * 0x04));
    }
  }


  //
  //  free memory
  //

  if(NameBuffer != NULL)
  {
    ExFreePool(NameBuffer);
    NameBuffer = NULL;
  }

  if(AddrBuffer != NULL)
  {
    ExFreePool(AddrBuffer);
    AddrBuffer = NULL;
  }
  if(AddrOrig != NULL)
  {
    ExFreePool(AddrOrig);
    AddrBuffer = NULL;
  }

  return Status;
}

VOID 
UnloadMe(
  IN PDRIVER_OBJECT DriverObject)
{
  UNREFERENCED_PARAMETER( DriverObject ); 

  //
  //  nothing to do
  //
}

添加一张截图:
名称:  QQ截图20110830201507.jpg查看次数: 572文件大小:  176.4 KB

呃,最后说一句,这个程序只适合WinXp,Win7下不成功,没有调试,可能是由于用于定位的特征字节不对造成的~~~

ListSSDT.zip

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值