菜鸟之驱动开发3

最新推荐文章于 2025-07-21 14:39:48 发布
原创 最新推荐文章于 2025-07-21 14:39:48 发布 · 2.1k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#hook #service #struct #汇编 #google #string

本文介绍了通过两种方法读取SSDT表中的NtOpenProcess函数地址:使用C语言结构体指针和内联汇编。同时展示了如何获取该函数的原始地址。
 

今天我们接上第二课继续加新功能:读取SSDT。 什么是ssdt? 我不作过多解释,因为我解释不清楚,GOOGLE一下有大把的资料,向大家介绍一篇好文章:http://blog.titilima.com/ssdt.html。我的理解就是建立ring0与ring3的映射关系。  操作SSDT表,我们会用到ntdll.dll中导出的KeServiceDescriptorTable这个结构体。

首先声明KeServiceDescriptorTable结构

typedef struct _ServiceDescriptorTable {
	PVOID ServiceTableBase; //System Service Dispatch Table 的基地址  
	PVOID ServiceCounterTable;
	//包含着 SSDT 中每个服务被调用次数的计数器。这个计数器一般由sysenter 更新。 
	unsigned int NumberOfServices;//由 ServiceTableBase 描述的服务的数目。  
	PVOID ParamTableBase; //包含每个系统服务参数字节数表的基地址-系统服务参数表 
}*PServiceDescriptorTable;  
extern PServiceDescriptorTable KeServiceDescriptorTable;


有了这个结构,我们就可以在我们的驱动中读取ring0级函数的执行地址,代码如下:

 

ULONG cReadSSDT()
{
	LONG *SSDT_Adr,SSDT_NtOpenProcess_Cur_Addr,t_addr; 
	//读取SSDT表中索引值为0x7A的函数
	//poi(poi(KeServiceDescriptorTable)+0x7a*4)
	t_addr=(LONG)KeServiceDescriptorTable->ServiceTableBase;
	KdPrint(("当前ServiceTableBase地址为%x \n",t_addr));
	SSDT_Adr=(PLONG)(t_addr+0x7A*4);
	KdPrint(("当前t_addr+0x7A*4=%x \n",SSDT_Adr)); 
	SSDT_NtOpenProcess_Cur_Addr=*SSDT_Adr;	
	KdPrint(("当前SSDT_NtOpenProcess_Cur_Addr地址为%x \n",SSDT_NtOpenProcess_Cur_Addr));
	
	return SSDT_NtOpenProcess_Cur_Addr;
}


还有一种方法是用内联汇编的方式读取

ULONG asmReadSSDT()
{

	ULONG SSDT_NtOpenProcess_Cur_Addr;
__asm
{
	push eax
	push ebx
	mov eax,KeServiceDescriptorTable
	mov eax,[eax] //表的基地址
	//[[KeServiceDescriptorTable]+0x7A*4]
	mov ebx, 0x7A
	shl ebx, 2
	add eax, ebx
	mov eax, [eax]
	mov SSDT_NtOpenProcess_Cur_Addr, eax
	pop ebx
	pop eax
}
	KdPrint(("NtOpenProcess Current address is:%x", SSDT_NtOpenProcess_Cur_Addr));
	
	return SSDT_NtOpenProcess_Cur_Addr;
}


上面两个方法读取出的是NtOpenProcess函数的当前执行地址,下面我们读取它的原始地址。

ULONG getSystemCallAddr()
{
	UNICODE_STRING Old_NtOpenProcess;
    ULONG Old_Addr;
	RtlInitUnicodeString(&Old_NtOpenProcess,L"NtOpenProcess");
	Old_Addr=(ULONG)MmGetSystemRoutineAddress(&Old_NtOpenProcess);//取得NtOpenProcess的地址
	KdPrint(("取得原函数NtOpenProcess的值为 %x",Old_Addr));
	
	return Old_Addr;
}


 当前地址与原始地址在干净的SSDT中是相等的,但是函数被inline hook后就不相等。

具体参看完整源码

System Service Descriptor Table" kernel-mode address finder
02-14
从用户层获取方法,欢迎下载学习!
VS2012菜鸟WDF驱动开发系列
01-26
VS2012菜鸟WDF驱动开发系列 本篇文章讲述了VS2012菜鸟WDF驱动开发系列的第一个部分,即搭建VM+Windbg调试平台。作者以新手的身份,记录了驱动开发的学习过程,并分享了自己的经验。 知识点1:WDF驱动开发 WDF...
SSDT hook技术中KeServiceDescriptorTable 结构及获取
namelcx的专栏
07-05 2248
KeServiceDescriptorTable 结构  KeServiceDescriptorTable:是由内核(Ntoskrnl.exe)导出的一个表,这个表是访问SSDT的关键,具体结构是    typedef struct ServiceDescriptorTable {    PVOID ServiceTableBase;    PVOID ServiceCounterTabl
YJX_Driver_011_驱动保护原理实战__IDA
weixin_30651273的博客
03-24 352
1、 【00:28】认识Win32子系统   【02:02】WinAPI 一般分为3类:USER函数、GDI函数、Kernel函数     【02:38】GDI --> 物理设备上执行绘图操作 --> win32k.sys     【02:55】win32k.sys 一般我们很少用到,常用的是 ntkrnlpa.exe 和 ntkrnlpa.lib (kernel32.dll)...
嵌入式驱动开发学习路线整理
2401_87991300的博客
10-12 1391
嵌入式驱动开发学习路线整理 1、学习路线 1.1 知乎:菜鸟分享嵌入式Linux驱动开发学习路线与心得(一) 嵌入式方向:嵌入式Linux系统中,往上有应用程序功能开发和界面设计,往下有内核编程相关的驱动开发; 学习嵌入式Linux需要的基础知识: C语言基础知识; 基础知识:操作系统相关知识、Linux系统基本使用、虚拟机使用; Linux内核编程:Linux驱动开发的重要基础,包括各种锁、同步与异步操作、中断与时钟、内存操作等; Linux驱动正文: Linux内核模块相关;
Linux驱动开发入门
m0_49476241的博客
06-28 2122
本篇文章将带大家学习如何去编写Linux的驱动程序。(文中一些资源将取自百问网)单片机程序和Linux程序都可以被分成应用程序和驱动程序,但是单片机的驱动程序和应用程序没有严格的界限,而在Linux中驱动程序和应用程序有严格的界限。 能力强的人将单片机程序分为应用程序和驱动程序,驱动程序就是去操作寄存器的。能力较弱的人会将它们都放在一起。 Linux程序中应用程序和驱动程序是必须分开的,这是强制要求的。驱动程序主要是和硬件打交道的,如果有心思坏的人就可以通过代码去操作硬件将硬件损坏,所以在Linux中是绝对
Linux驱动开发——(零)入门实验框架
wJen的博客
04-09 2996
面向Linux设备驱动开发新手的最简单的第一个实验
Linux下platform设备驱动开发
weixin_64581379的博客
07-17 1737
第一种是采用设备树的匹配方式,of_driver_match_device 函数定义在文件 include/linux/of_device.h 中,此函数会比较device_driver中的变量的of_match_table成员变量,里面保存着驱动的compatible属性,与设备树中的compatible属性做对比,如果有的话设备与驱动会进行匹配,驱动的probe函数会执行。同样的,当向系统中注册一个设备的时候,总线就会在左侧的驱动中查找看有没有与之匹配的设备,有的话也联系起来。
Linux下SPI设备驱动开发
weixin_64581379的博客
07-21 1877
引脚含义: DO(MOSI):Master Output, Slave Input,SPI主控用来发出数据,SPI从设备用来接收数据。 DI(MISO):Master Input, Slave Output,SPI主控用来发出数据,SPI从设备用来接收数据。 SCK:Serial Clock,时钟。 CS:Chip Select,芯片选择引脚。 设现在主控芯片要传输一个0x56数据给SPI FLASH,时序如下: 首先我们要
W3Cschool菜鸟教程(离线版)
最新发布
10-08
作为.NET平台的主要开发语言之一,C#具备了面向对象、事件驱动和类型安全等特性,是构建Windows应用程序和Web服务的重要工具。 整个教程的设计以实际应用为导向,强调通过实例和练习来巩固所学知识,使学习者能够将...
基于beego的菜鸟级快速开发框架工具集.zip
05-31
基于beego的菜鸟级快速开发框架工具集。实现了:数据库设计在代码中完成和维护;api自动生成;数据读取通过配置文件方式以保证上线后维护的简便性;以事件为驱动的权限阻断系统、数据预处理后处理,最大程度上保证...
W3SCHOOL 菜鸟教程chm
06-14
总结起来,《W3School 菜鸟教程CHM》是Web开发初学者的宝典,它提供了丰富的实例和实践练习,使得学习过程既系统又实用。离线版的CHM格式使得在无网络环境下也能随时查阅,对于提升编程技能和解决实际问题具有极大的...
深入理解Linux内核:学习与驱动开发之道
‘内核学习的方法论’和‘驱动开发的方法论’两节则是全书精髓所在,前者可能涵盖如何选择切入点(如从proc文件系统入手)、如何使用工具链(如QEMU+GDB调试内核)、如何跟踪函数调用栈、如何借助文档...
Windows7+WDK+VS2010+VisualDDK驱动开发环境搭建(菜鸟的经验)
热门推荐
Care iOS技术团队
08-12 3万+
自己在研究驱动开发,第一步就是开发环境的搭建,网上已有很多的教程一,我也是按着教程一步一步搭建的,但在搭建过程的过程当中遇到一些问题,也花了我不少时间。 第一个难题就是,我是Windows7+VS2010+WDK的开发环境。 首先我参考了网上的一篇文章:http://www.
菜鸟驱动开发9
Care iOS技术团队
08-23 9887
在上两节,我们分别介绍了驱动与应用程序通信的缓冲区与直接访问模式,今天介绍第三种方式。我们在上一节的代码上做修改即可。 首先修改ctl_code.h为 #ifndef CTL_CODE #pragma message("\n \n-----------EXEģʽ . In
菜鸟驱动开发1
Care iOS技术团队
08-14 4281
在之前一篇文章里介绍驱动开发环境搭建过程,现在就开始写驱动了。我是照着郁金香的视频教程学习驱动开发的。那驱动有些课时比较多余,我在学习的过程当中会终合考虑合并一些课时。今天这一课是学着写一个驱动的helloworld,并用WDK环境编译成sys文件。为了对驱动开发有一个更深入的了
菜鸟驱动开发13
Care iOS技术团队
08-28 3029
在本节,我们将学习在内核模式下操作文件,包括:创建,打开,读取,修改,文件属性读取与修改。 相关的API有:ZwCreateFile, ZwOpenFile, ZwReadFile, ZwWriteFile, ZwQueryInformationFile,ZwSetInform
Linux平台下飞凌2440开发板LED驱动开发
本篇知识点将详细介绍如何基于飞凌2440开发板(使用S3C2440处理器)编写LED灯驱动程序,涵盖了驱动开发的必要步骤和关键概念。 ### Linux驱动开发基础 Linux驱动是操作系统与硬件通信的桥梁,它负责初始化硬件设备...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值