MmGetSystemRoutineAddress函数

最新推荐文章于 2022-10-19 14:03:37 发布
原创 最新推荐文章于 2022-10-19 14:03:37 发布 · 1.7k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了如何使用MmGetSystemRoutineAddress函数获取内核导出函数的地址,通过UNICODE字符串指定系统调用名称,并提供了一个实际应用示例。

PVOID 

  MmGetSystemRoutineAddress(
    IN PUNICODE_STRING  SystemRoutineName 

    ); 

获取内核导出函数的地址

SystemRoutineName 为一个UNICODE字符串


如:

RtlInitUnicodeString(&Old_NtOpenProcess,L"NtOpenProcess");

addr=(ULONG)MmGetSystemRoutineAddress(&Old_NtOpenProcess);

《Windows内核安全与驱动编程》-第十一章文件系统的过滤与监控-day3
WocW的博客
05-08 516
文件系统的过滤与监控 11.3 设备的绑定前期工作 11.3.1 动态地选择绑定函数 ​ sfilter 有一个有趣的地方是,使用了动态加载的方法来使用内核函数。只有高版本的Windows系统上才有IoAttachDeviceToDeviceStackSafe 这个函数。如果我们直接使用这个函数,那么在低版本的Windows系统上就会直接加载失败。因此,使用动态加载此类函数的好处就是,即使在低版本的Windows上也能成功加载。 ​ 在动态加载该函数时,如果失败则会使指针为NULL,而此时即使为NULL,我
MmGetSystemRoutineAddress
DOTM的专栏
10-30 1965
MmGetSystemRoutineAddress这个函数也是比较有用的,是得到系统导出函数地址,不过网上都是写了一堆汇编代码在哪里,根本没有可读性,还不如用IDA看呢。 下面的函数是摘自ReactOS项目的代码: [cpp] view plaincopy PVOID   NTAPI   MmGetSystemRoutineAddre
MmGetSystemRoutineAddress函数获取内存地址
坦然
08-24 2581
#include "ntddk.h" ULONG GetCidAddr() { PUCHAR addr; PUCHAR p; UNICODE_STRING pslookup; ULONG cid; RtlInitUnicodeString (&pslookup, L"PsLookupProcessByProcessId"); //RtlInitU
驱动开发:如何枚举所有SSDT表地址
LYSHARK
10-14 9833
中已经教大家如何寻找SSDT表基地址了,找到后我们可根据序号获取到该SSDT的地址,如果需要输出所有SSDT表信息,则可以定义字符串列表,以此循环调用。函数依次获取,SSDT列表我已经提取出来了,该办法虽然笨但也是可以正常使用的。
MmGetSystemRoutineAddress 函数源码
创造神话,实现梦想!
02-12 2825
MmGetSystemRoutineAddress 函数源码 作者:阿国哥   发布于2007-3-29 20:34(星期四) 以下代码反编译自XP+SP2内核文件ntoskrnl.exe(5.1.2600.3051)的MmGetSystemRoutineAddress函数 函数功能:用来获取内核导出函数地址,与用户态的GetProcessAddress函数雷同功能
MmGetSystemRoutineAddress routine
死胖子的博客
02-05 1489
MmGetSystemRoutineAddress routine MmGetSystemRoutineAddress 返回一个参数SystemRoutineName指定的函数指针。returns a pointer to a function specified by SystemRoutineName. Syntax   PVOID MmGetSystemRoutineAddress(
如何通过Windows未导出函数加载驱动
02-27
4. 在内核模式下,通过使用MmGetSystemRoutineAddress函数获取驱动程序中未导出函数地址,并将地址保存到指针变量中。 5. 使用指针变量来调用未导出函数。 需要注意的是,加载未导出函数的驱动是一项非常危险的...
一种获取Shadow SSDT服务函数原始地址的实现方法
- **使用MmGetSystemRoutineAddress函数**:该函数可以获取内核或系统模块中导出函数地址。虽然 Win32k.sys 并不完全导出所有函数,但对于部分公开函数,可以使用此方法进行地址获取。 - **内存比较与特征匹配**:...
写一段获取CmpTraceRoutine函数的代码
06-02
以下是获取CmpTraceRoutine函数的...这段代码使用MmGetSystemRoutineAddress函数获取CmpTraceRoutine函数地址,并将其存储在传递给函数的cmpTraceRoutine指针中。如果获取函数地址失败,则返回STATUS_NOT_FOUND。
获取函数当前和原地址
04-20
使用`MmGetSystemRoutineAddress`函数获取由`Old_NtProcess`指定的服务例程的地址,并将其转换为`ULONG`类型赋值给`Old_Addr`变量。 #### 1.2 Hook函数实现 接下来,我们来看如何通过调用`GetFunctionAddr`函数...
MmGetSystemRoutineAddress和MiFindExportedRoutineByName函数的实现代码
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
12-24 1517
MmGetSystemRoutineAddress这个函数也是比较有用的,是得到系统导出函数地址,不过网上都是写了一堆汇编代码在哪里,根本没有可读性,还不如用IDA看呢。 下面的函数是摘自ReactOS项目的代码: [cpp] view plaincopy     PVOID         NTAPI         MmGetSystem
函数获取函数地址 MmGetSystemRoutineAddress
08-04 4157
#include<ntifs.h> VOID DriverUnLoad(PDRIVER_OBJECT pDriverObject) { DbgPrint("驱动已卸载..."); } NTSTATUS DriverEntry(IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRING pRegPath) { NTSTATUS ...
关于未导出函数与导出但是未文档化的函数
huobengle
11-10 359
未公开的函数(导出未文档化)是已经导出了,但是不能直接使用。 使用方法: 1。在驱动层使用MmGetSystemRoutineAddress函数名去获取函数地址 2。在应用层使用Loadlibrary和GetProcessAddress(事先当然要先定义好原型) 未导出函数的使用比较麻烦,一般要先获取那个函数所在模块的基地址,然后再通过特征码去得到函数地址。或者在某个函数内部进行特征码...
驱动开发:Win10枚举完整SSDT地址
热门推荐
LYSHARK
10-19 2万+
在WinDBG中可看到完整的输出内容,当然有些函数没有被导出,起源地址是拿不到的。函数顺便把当前地址拿到,并通过循环方式得到完整的SSDT列表。根据上一章节的内容扩展,枚举完整SSDT表我们可以这样来实现。我们运行这段程序,即可得到整个系统中所有的SSDT表地址信息;得到当前地址很容易实现,只需要将函数名字符串通过。表基地址了,找到后我们可根据序号获取到指定。表信息,则可以定义字符串列表,以此循环调用。函数得到,当然在此之间也可以调用系统提供的。函数的原始地址,而如果需要输出所有。中已经教大家如何寻找。
SSDT表结构的深入学习
Fly20141201. 的专栏
11-10 1907
SSDT表的知识目录: A、了解SSDT结构 B、由SSDT索引号获取当前函数地址        C、如何获取索引号 D、获取起源地址-判断SSDT是否被HOOK E、如何向内核地址写入自己代码   A、了解SSDT结构 SSDT的全称是 System  ServicesDescriptor Table--系统服务描述符表,是由 ntoskrnl.exe 导出KeServic
Windows 远程内核漏洞注入
03-16 6194
Windows 远程内核漏洞注入作者:Barnaby Jack译:北极星2003EMAIL:zhangjingsheng_nbu@yahoo.com.cn说明:只翻译原资料的所有技术相关部分, 忽略了一小部分冗余信息。-------------------------------------------------------------------------------------------
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值