MmGetSystemRoutineAddress函数获取内存地址

最新推荐文章于 2022-10-14 13:05:49 发布
最新推荐文章于 2022-10-14 13:05:49 发布
阅读量2.4k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 驱动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cmdasm/article/details/10261517 
#include "ntddk.h"


ULONG GetCidAddr()
{

	PUCHAR addr;
	PUCHAR p;
	UNICODE_STRING pslookup;  
	ULONG cid;

	RtlInitUnicodeString (&pslookup, L"PsLookupProcessByProcessId");  
	//RtlInitUnicodeString (&pslookup, L"PsLookupProcessThreadbyCid");  
	addr = (PUCHAR) MmGetSystemRoutineAddress(&pslookup);//MmGetSystemRoutineAddress可以通过函数名获得函数地址
	KdPrint(("PsLookupProcessByProcessId addr=0x%x\r\n", addr));
	RtlInitUnicodeString (&pslookup, L"NtOpenProcess");
	addr = (PUCHAR) MmGetSystemRoutineAddress(&pslookup);//MmGetSystemRoutineAddress可以通过函数名获得函数地址
	KdPrint(("NtOpenProcess addr=0x%x\r\n", addr));
	for (p=addr;p<addr+PAGE_SIZE;p++)
	{
		if((*(PUSHORT)p==0x35ff)&&(*(p+6)==0xe8))
		{
			cid=*(PULONG)(p+2);
			return cid;
			//break;
		}
	}
	return 0;
}

VOID Uload(PDRIVER_OBJECT obj)
{
	KdPrint(("驱动被卸载咯\n"));
}


NTSTATUS DriverEntry( 
			IN PDRIVER_OBJECT  DriverObject, 
			IN PUNICODE_STRING  RegistryPath 
			)
{
	DriverObject->DriverUnload = Uload;
	GetCidAddr();
    

}

内核特征码搜索 获取未导出函数
zhuhuibeishadiao
06-19 3903
无聊写了下 有Bug 注意下就好啦~ #include "GetUndocumentFunctionAdress.h" #pragma warning(disable : 4047) PVOID GetCallPoint(PVOID pCallPoint) { ULONG dwOffset = 0; ULONG_PTR returnAddress = 0; LARGE
SSDT获取原始服务地址的方法与原理(灯灯灯灯,我肥来了..)
GaA.Ra的自留地 in Csdn
11-18 7508
好吧,我胡汉三肥来了..(确实肥了- -),几个月没发什么文章.其实.我也只是一个新丁~欢迎大家交流,高手勿喷,谢谢合作^_^     对于SSDT,不知道的同学请自己百度,判断出SSDT被HOOK之后,如何恢复成原始服务地址?主要方法有两个,简单来说,一个Ring0,一个Ring3的方法(可能分类不够准确),我今天除了介绍方法之外,主要还是讲讲里面的原理吧,原理神马的才是最吸引人的对吧.
从Keil的map file中快速找出内存地址对应的函数
03-03
简单实用的一个小工具: 从Keil的map file中快速找出内存地址对应的函数名,快速定位出问题的函数,加速debug的进程。
MmGetSystemRoutineAddress
DOTM的专栏
10-30 1918
MmGetSystemRoutineAddress这个函数也是比较有用的,是得到系统导出函数的地址,不过网上都是写了一堆汇编代码在哪里,根本没有可读性,还不如用IDA看呢。 下面的函数是摘自ReactOS项目的代码: [cpp] view plaincopy PVOID   NTAPI   MmGetSystemRoutineAddre
MmGetSystemRoutineAddress函数
record
05-14 1713
PVOID    MmGetSystemRoutineAddress(     IN PUNICODE_STRING  SystemRoutineName      );  获取内核导出函数的地址 SystemRoutineName 为一个UNICODE字符串 如: RtlInitUnicodeString(&Old_NtOpenProcess,L"NtOpenProce
MmGetSystemRoutineAddress routine
死胖子的博客
02-05 1451
MmGetSystemRoutineAddress routine MmGetSystemRoutineAddress 返回一个参数SystemRoutineName指定的函数指针。returns a pointer to a function specified by SystemRoutineName. Syntax   PVOID MmGetSystemRoutineAddress(
函数获取函数地址 MmGetSystemRoutineAddress
08-04 4126
#include&lt;ntifs.h&gt; VOID DriverUnLoad(PDRIVER_OBJECT pDriverObject) { DbgPrint("驱动已卸载..."); } NTSTATUS DriverEntry(IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRING pRegPath) { NTSTATUS ...
获取Ntoskrnl.exe导出函数地址的方法及应用
- 在Windows内核编程中,因为处于内核模式,需要使用MmLoadSystemImage()来加载Ntoskrnl.exe,而获取地址时,需要使用MmGetSystemRoutineAddress()。 4. **使用IoFile、libs、SOURCES文件** - IoFile: 在驱动开发...
#include "ntddk.h" /* 获取指定地址的数值 base:要获取的地址 offset:偏移量 size:获取的大小 */ PVOID GetAddrValue(PVOID* base, INT offset, INT size) { PVOID Addr = *base; PVOID templong = 0; //复制内存,将指定位置的内存的值读取出来 RtlCopyMemory(&templong, (PUCHAR)Addr + offset, size); return templong; } VOID DriverUnload(IN PDRIVER_OBJECT DriverObject) { DbgPrint("卸载完成!\n"); } NTSTATUS DriverEntry(PDRIVER_OBJECT DriverObject, PUNICODE_STRING RegistryPath) { //通过MmGetSystemRoutineAddress直接获取PsTerminateSystemThread地址 UNICODE_STRING s; CHAR* string = L"PsTerminateSystemThread"; RtlInitUnicodeString(&s, string); PVOID address = MmGetSystemRoutineAddress(&s); DbgPrint("PsTerminateSystemThread Address:%p\n", address); //将PsTerminateSystemThread作为起始地址 ULONG beginAdress =(ULONG) address; //搜索范围限制为0x1000 ULONG endAdress = beginAdress + 0x1000; //刚开始匹配地址为0,表示尚未匹配到 PVOID matchAdress = 0; //开始循环比较 搜索特征码 for (ULONG i=beginAdress;i< endAdress;i+=1) { PVOID value = GetAddrValue(&i, 0, 4); PVOID value2 = GetAddrValue(&i, 0, 3); //特征码为8b ff 55 8b ec 5d e9 小端存储 if (value == 0x8b55ff8b && value2 == 0xe95dec) { //匹配特征码后 赋值,终止循环 matchAdress = i; break; } } DbgPrint("PsTerminateProcess Address:%p\n", address); DriverObject->DriverUnload = DriverUnload; return STATUS_SUCCESS; }分析代码的特征码搜索原理
最新发布
07-19
a) 获取目标函数的起始地址(例如通过导出函数获取PsTerminateSystemThread的地址)。 b) 读取目标函数的前N个字节(通常是一个合理的长度,比如32字节或64字节,具体根据特征码设计而定)。 c) 设计特征码:...
使用Inline Hook修改KiInsertQueueApc函数
`GetFunctionAddr`函数通过`MmGetSystemRoutineAddress`获取指定函数的地址,这里是`KeInsertQueueApc`。`FindKiInsertQueueApcAddress`函数则遍历内存寻找`KeInsertQueueApc`的调用指令(特征码`0xE8cccc290000`)...
MmGetSystemRoutineAddress 函数源码
创造神话,实现梦想!
02-12 2793
MmGetSystemRoutineAddress 函数源码 作者:阿国哥   发布于2007-3-29 20:34(星期四) 以下代码反编译自XP+SP2内核文件ntoskrnl.exe(5.1.2600.3051)的MmGetSystemRoutineAddress函数 函数功能:用来获取内核导出函数的地址,与用户态的GetProcessAddress函数雷同功能
MmGetSystemRoutineAddress和MiFindExportedRoutineByName函数的实现代码
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
12-24 1480
MmGetSystemRoutineAddress这个函数也是比较有用的,是得到系统导出函数的地址,不过网上都是写了一堆汇编代码在哪里,根本没有可读性,还不如用IDA看呢。 下面的函数是摘自ReactOS项目的代码: [cpp] view plaincopy     PVOID         NTAPI         MmGetSystem
关于未导出函数与导出但是未文档化的函数
huobengle
11-10 343
未公开的函数(导出未文档化)是已经导出了,但是不能直接使用。 使用方法: 1。在驱动层使用MmGetSystemRoutineAddress函数名去获取函数的地址 2。在应用层使用Loadlibrary和GetProcessAddress(事先当然要先定义好原型) 未导出函数的使用比较麻烦,一般要先获取那个函数所在模块的基地址,然后再通过特征码去得到函数地址。或者在某个函数内部进行特征码...
如何根据地址获取函数
小小小小的专栏
08-31 762
https://blog.youkuaiyun.com/Chasing_Chasing/article/details/96750109?utm_medium=distribute.pc_relevant.none-task-blog-2%7Edefault%7EBlogCommendFromMachineLearnPai2%7Edefault-3.control&depth_1-utm_source=distribute.pc_relevant.none-task-blog-2%7Edefault%7EBlo
c程序如何根据地址获取函数名(addr2line)
赵凯月的博客
01-16 3757
38.1 前言 之前有做过一个通过截取内核信号,获取程序出错所在函数位置信息(如段错误),然后进行栈回溯的功能(之前的blog有写),那个虽然成功了,但仍有一些不合人意的地方。就是手动回溯结果显示的只是函数地址,如果要看是哪个函数,那还要用objdump或addrline工具用地址找到是哪个函数,比较麻烦。最近折腾了两天时间,终于搞定了根据地址自动获取函数名称的功能。 不管gdb还readelf或addrline工具,可以简单轻松的敲一下命令就可以把函数名及地址整齐地打印展现出来,那么它们是怎么实现的呢??
zz: 设备读写 之 直接方式(Direct I/O)MmGetMdlByteCount/MmGetMdlByteOffset/MmGetMdlVirtualAddress
jtujtujtu的专栏
12-31 2627
最近一直在看WDM的驱动,在memory方面有一些不是很清楚,譬如 MDL 的具体结构、使用方法等等。 在网络上搜刮一番,了解了MDL的具体使用,主要是MmGetMdlByteOffset这个宏的意义。之前一直认为这个值应该是0。事实并非如此,这个值是一个相对于page start addrss的offset,也就是说Va转为Pa时,并没有从page start address开始,而是从其中的
驱动开发:如何枚举所有SSDT表地址
优快云
10-14 9777
中已经教大家如何寻找SSDT表基地址了,找到后我们可根据序号获取到该SSDT的地址,如果需要输出所有SSDT表信息,则可以定义字符串列表,以此循环调用。函数依次获取,SSDT列表我已经提取出来了,该办法虽然笨但也是可以正常使用的。
《Windows内核安全与驱动编程》-第十一章文件系统的过滤与监控-day3
WocW的博客
05-08 484
文件系统的过滤与监控 11.3 设备的绑定前期工作 11.3.1 动态地选择绑定函数 ​ sfilter 有一个有趣的地方是,使用了动态加载的方法来使用内核函数。只有高版本的Windows系统上才有IoAttachDeviceToDeviceStackSafe 这个函数。如果我们直接使用这个函数,那么在低版本的Windows系统上就会直接加载失败。因此,使用动态加载此类函数的好处就是,即使在低版本的Windows上也能成功加载。 ​ 在动态加载该函数时,如果失败则会使指针为NULL,而此时即使为NULL,我
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值