函数名获取函数地址 MmGetSystemRoutineAddress

最新推荐文章于 2021-04-15 11:18:00 发布
转载 最新推荐文章于 2021-04-15 11:18:00 发布 · 4.1k 阅读 · 4

本文展示了一个简单的Windows驱动程序卸载函数实现示例。该示例通过使用`DriverUnLoad`函数来完成驱动程序的卸载过程,并打印一条消息以确认驱动已成功卸载。此外,还展示了如何获取系统例程地址。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >


#include<ntifs.h>


VOID DriverUnLoad(PDRIVER_OBJECT pDriverObject)
{
	DbgPrint("驱动已卸载...");
}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRING pRegPath)
{

	NTSTATUS Status;
	ULONG RetAddress;

	pDriverObject->DriverUnload = DriverUnLoad;
	UNICODE_STRING str1;
	RtlInitUnicodeString(&str1, L"PsSynchronizeWithThreadInsertion");
		ULONG PsSynchronizeWithThreadInsertion =(ULONG) MmGetSystemRoutineAddress(&str1);
		KdPrint(("PsSynchronizeWithThreadInsertion %x\n", PsSynchronizeWithThreadInsertion));
	
	return STATUS_SUCCESS;
}

 

MmGetSystemRoutineAddress函数获取内存地址
坦然
08-24 2491
#include "ntddk.h" ULONG GetCidAddr() { PUCHAR addr; PUCHAR p; UNICODE_STRING pslookup; ULONG cid; RtlInitUnicodeString (&pslookup, L"PsLookupProcessByProcessId"); //RtlInitU
读取SSDT原函数地址,读取SSDT当前函数地址,检查是否被HOOK
Windows内核学习笔记
02-27 269
读取SSDT原函数地址 #ifdef _cplusplus { #endif extern "C" #include <ntddk.h> #ifdef _cplusplus } #endif namespace Name2 { typedef struct _ServiceDescriptorTable { PVOID ServiceTableBase; //System Service Dispatch Table 的基地址 PVOID ServiceCounterTable;/
c#获得mac地址函数
03-19
函数 获得mac地址 c#获得mac地址函数
MmGetSystemRoutineAddress
DOTM的专栏
10-30 1921
MmGetSystemRoutineAddress这个函数也是比较有用的,是得到系统导出函数地址,不过网上都是写了一堆汇编代码在哪里,根本没有可读性,还不如用IDA看呢。 下面的函数是摘自ReactOS项目的代码: [cpp] view plaincopy PVOID   NTAPI   MmGetSystemRoutineAddre
MmGetSystemRoutineAddress routine
死胖子的博客
02-05 1452
MmGetSystemRoutineAddress routine MmGetSystemRoutineAddress 返回一个参数SystemRoutineName指定的函数指针。returns a pointer to a function specified by SystemRoutineName. Syntax   PVOID MmGetSystemRoutineAddress(
关于未导出函数与导出但是未文档化的函数
huobengle
11-10 343
未公开的函数(导出未文档化)是已经导出了,但是不能直接使用。 使用方法: 1。在驱动层使用MmGetSystemRoutineAddress函数名获取函数地址 2。在应用层使用Loadlibrary和GetProcessAddress(事先当然要先定义好原型) 未导出函数的使用比较麻烦,一般要先获取那个函数所在模块的基地址,然后再通过特征码去得到函数地址。或者在某个函数内部进行特征码...
获取函数当前和原地址
04-20
### 一、获取函数当前地址 在Windows内核模式编程中,有时我们需要获取某些系统服务例程(即系统调用)的地址,以便进行调试或Hook等操作。下面我们将详细分析如何获取函数当前地址,并对代码进行逐行解释。 #### ...
获取Ntoskrnl.exe导出函数地址的方法及应用
- 需要知道Windows内核API的命名约定和导出函数的存储结构,以便于使用正确的函数名获取地址。 综上所述,动态取得Ntoskrnl.exe导出函数地址是一个与Windows内核编程、系统安全和底层操作相关的高级话题。开发者在...
内核特征码搜索 获取未导出函数
zhuhuibeishadiao
06-19 3904
无聊写了下 有Bug 注意下就好啦~ #include "GetUndocumentFunctionAdress.h" #pragma warning(disable : 4047) PVOID GetCallPoint(PVOID pCallPoint) { ULONG dwOffset = 0; ULONG_PTR returnAddress = 0; LARGE
#include "ntddk.h" /* 获取指定地址的数值 base:要获取地址 offset:偏移量 size:获取的大小 */ PVOID GetAddrValue(PVOID* base, INT offset, INT size) { PVOID Addr = *base; PVOID templong = 0; //复制内存,将指定位置的内存的值读取出来 RtlCopyMemory(&templong, (PUCHAR)Addr + offset, size); return templong; } VOID DriverUnload(IN PDRIVER_OBJECT DriverObject) { DbgPrint("卸载完成!\n"); } NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath) { //通过MmGetSystemRoutineAddress直接获取PsTerminateSystemThread地址 UNICODE_STRING s; CHAR* string = L"PsTerminateSystemThread"; RtlInitUnicodeString(&s, string); PVOID address = MmGetSystemRoutineAddress(&s); DbgPrint("PsTerminateSystemThread Address:%p\n", address); //将PsTerminateSystemThread作为起始地址 ULONG beginAdress =(ULONG) address; //搜索范围限制为0x1000 ULONG endAdress = beginAdress + 0x1000; //刚开始匹配地址为0,表示尚未匹配到 PVOID matchAdress = 0; //开始循环比较 搜索特征码 for (ULONG i=beginAdress;i< endAdress;i+=1) { PVOID value = GetAddrValue(&i, 0, 4); PVOID value2 = GetAddrValue(&i, 0, 3); //特征码为8b ff 55 8b ec 5d e9 小端存储 if (value == 0x8b55ff8b && value2 == 0xe95dec) { //匹配特征码后 赋值,终止循环 matchAdress = i; break; } } DbgPrint("PsTerminateProcess Address:%p\n", address); DriverObject->DriverUnload = DriverUnload; return STATUS_SUCCESS; }分析代码的特征码搜索原理
最新发布
07-19
a) 获取目标函数的起始地址(例如通过导出函数名获取PsTerminateSystemThread的地址)。 b) 读取目标函数的前N个字节(通常是一个合理的长度,比如32字节或64字节,具体根据特征码设计而定)。 c) 设计特征码:...
MmGetSystemRoutineAddress函数
record
05-14 1713
PVOID    MmGetSystemRoutineAddress(     IN PUNICODE_STRING  SystemRoutineName      );  获取内核导出函数地址 SystemRoutineName 为一个UNICODE字符串 如: RtlInitUnicodeString(&Old_NtOpenProcess,L"NtOpenProce
驱动下获取dll的函数地址
kuyz1的专栏
08-30 819
/************************************************************************ 获取baiDLL中的函数地址 lpFunctionName函数名称 pDllNameDLL文件名称 ************************************************************************/ /*******************************...
MmGetSystemRoutineAddress和MiFindExportedRoutineByName函数的实现代码
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
12-24 1480
MmGetSystemRoutineAddress这个函数也是比较有用的,是得到系统导出函数地址,不过网上都是写了一堆汇编代码在哪里,根本没有可读性,还不如用IDA看呢。 下面的函数是摘自ReactOS项目的代码: [cpp] view plaincopy     PVOID         NTAPI         MmGetSystem
C#如何取得当前路径的函数
lvzhqi的专栏
12-23 701
AppDomain.CurrentDomain.BaseDirectorySystem.Environment.CurrentDirectoryApplication.StartupPathSystem.Environment.CurrentDirectoryApplication.Path 
依据函数名字符串执行函数
aqr95022的博客
11-04 176
这个问题虽然不是很严重,但却困扰本人许久。曾经多方询问朋友、查阅资料均无法达到效果。 今日偶然查到一些东西,经实测的却可行,也算了却了一桩心愿。 不再废话直接贴DEMO代码 1 unit Unit2; 2 3 interface 4 5 uses 6 Vcl.Dialogs, Vcl.Forms, System.Generics.Collec...
MmGetSystemRoutineAddress 函数源码
创造神话,实现梦想!
02-12 2793
MmGetSystemRoutineAddress 函数源码 作者:阿国哥   发布于2007-3-29 20:34(星期四) 以下代码反编译自XP+SP2内核文件ntoskrnl.exe(5.1.2600.3051)的MmGetSystemRoutineAddress函数 函数功能:用来获取内核导出函数地址,与用户态的GetProcessAddress函数雷同功能
如何在驱动程序(SYS)中得到当前进程的完整路径和进程名?
xstudio的专栏
05-08 2275
 首先利用PsGetCurrentProcess或IoGetCurrentProcess函数得到当前进程的句柄,这个句柄是指向_EPROCESS结构的指针,_EPROCESS的结构如下:typedef struct _EPROCESS    {    KPROCESS                     Pcb;    NTSTATUS                    
[Windows 驱动开发] 驱动中获取函数地址
墨鱼菜鸡
04-15 281
跟ring3 GetProcAddress相似. PVOIDMmGetSystemRoutineAddress( PUNICODE_STRING SystemRoutineName ); 驱动程序可以使用这个例程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值