64位内核开发第四讲,查看SSDT表与showSSDT表

最新推荐文章于 2020-12-28 21:38:10 发布
最新推荐文章于 2020-12-28 21:38:10 发布
阅读量348 收藏 1
点赞数
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/iBinary/p/10990673.html
本文深入探讨了SSDT(System Service Table)与ShadowSSDT表的概念及查看方法,详细介绍了通过Windbg调试工具如何定位和分析这两个关键内核数据结构,为理解操作系统内核与用户态交互提供技术指南。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

SSDt表与ShadowSSDT表的查看.

一丶SSDT表

1.什么是SSDT表

SSDT表示系统服务表,我们ring3调用的很多函数都会调用这个SSDT表

2.查看步骤

1.使用 x命令

前提需要加载好符号.

x nt!kes*des*table*

1197364-20190518230248580-1086410200.png

KeServiceDescriptorTableShadowShadowSSDT表
KeServiceDescriptorTableSSDT表.

2.查看地址的值

使用dd命令可以查看这个地址里面值.如下.
1197364-20190518230518082-1390993502.png

首先可以看选中的位置.这个是SSDT表的起始地址. 后面*0x11C
是这个表的个数

我们可以使用dds命令来查看这个表.
dds命令可以看第三讲.关于windbg调试命令

dds Address L11C

这个命令的意思就是显示地址里面值指向的地址. 以4个字节显示.
显示如下:
1197364-20190518230854704-1188373701.png
如果你有符号.则可以看到这些地址里面后面指向的函数名

可以使用 uf 来反汇编这个函数的所有汇编
1197364-20190518231027720-1415821107.png

二丶ShadowSSDT表

1.什么是ShadowSSDT表

ring3的所有GUI会调用的到这个表格中.

2.如何查看.

System系统进程是没有加载ShadowSSDT表的.所以我们必须切换到调用GUI的进程空间中查看.

1.在系统中运行 mspaint 画图工具
2.在windbg中中断.
3.输入命令.查看系统所有简要信息

!process 0 0

4.找到mspaint的EPROCESS结构.切换到这个进程上下文

.process /p EPROCESSADDRESS

5.使用x命令查找ShadowsSSDT

x nt!*kes*des*table*

如下:
1197364-20190518231654537-1375973621.png

6.查看shodowSSDT

1197364-20190518231733037-2025261202.png

shodowSSDT 跟SSDT挨着.上面查看SSDT的时候 shodowSSDT没有加载
所以没有.所以现在看一看下.如上图. 有起始地址.跟大小.

不管是SSDT还是shodowSSDT表.都是有这个表的大小.
在32位下.函数地址是4个字节. 所以用表的大小 / 4 = 函数个数.
1197364-20190518231953974-1428906195.png

这个表中的函数都是做绘图用的.

三丶工具介绍

Process Monitor
工具是进程监控工具.可以监视所有进程活动.
现在的火绒剑也是可以.
如下图;
微软下载地址:
https://docs.microsoft.com/zh-cn/sysinternals/downloads/procmon
工具界面

1197364-20190518232648139-481888352.png

可以设置过滤器.进行过滤.比如我只想看进程创建.如何操作.

Process Explorer

1197364-20190518232835912-1748693346.png

微软下载地址:
https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer

这个工具则可以实时查看进程.并且可以挂起进程.等操作进程.

转载于:https://www.cnblogs.com/iBinary/p/10990673.html

驱动开发笔记3—SSDT详解
qq_42814021的博客
10-09 4124
SSDT SSDT的全称是"System Services Descriptor Table",即系统服务描述,在内核中的实际名称是KeServiceDescriptorTable,这个由ntoskrnl.exe导出(在x64里不导出)。 SSDT用于处理应用层通过Kernel32.dll下发的各个API操作请求。ntdll.dll中的API是一个简单的包装函数,当Kernel32.dll中的API通过Ntdll.dll时,会先完成对参数的检查,再调用一个中断(int 2Eh 或者 SysEnter指
SSDTFunction_64_Test_Windows编程_ssdthook_
10-02
hook function for windows 7
Windbg 查看SSDT
weixin_33910137的博客
12-21 197
SSDTHOOK的原理其实非常简单,我们先实际看看KeServiceDescriptorTable是什么样的。 lkd>ddKeServiceDescriptorTable 8055ab80804e3d20000000000000011c804d9f48 8055ab9000000000000000000000000...
ssdt
weixin_33908217的博客
03-08 187
https://j00ru.vexillium.org/syscalls/nt/64/?tdsourcetag=s_pcqq_aiomsg 转载于:https://blog.51cto.com/haidragon/2360064
windbg查看SSDT
bcbobo21cn的专栏
09-05 1444
SSDT,System Services Descriptor Table,系统服务描述符。 见此 https://blog.youkuaiyun.com/bcbobo21cn/article/details/52083557 这个就是一个把ring3的Win32 API和ring0的内核函数联系起来。SSDT包含一个庞大的地址索引,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。 SSDT定义为下面结构体; typedef struct _SYSTEM_SERVICE_T...
x86下windbg查看SSDTSHDOWSSDT
kernweak的博客
05-23 2277
x64下这两个是未导出的,不能用这种 首先系统符号要加载 SSDT: x nt!kes*des*table* kd> x nt!KeServiceDes* 83f74a00 nt!KeServiceDescriptorTableShadow = <no type information> 83f749c0 nt!KeServiceDescriptorTable = ...
SSDT概念及遍历
06-25
SSDT(System Service Dispatch Table,系统服务调度)是Windows操作系统内核中的一个重要组件,它在Windows NT架构中起着核心作用。SSDT是系统服务的入口点,它定义了系统如何响应用户模式应用程序调用的kernel32...
精选_64系统上获取SSDT地址以及从中获取指定SSDT函数的地址_源码打包
03-10
总之,这个压缩包提供了在64Windows系统下获取SSDT和函数地址的技术细节,这对于系统级编程、驱动开发或安全研究者来说具有很高的学习价值。但同时,也强调了正确、合法使用这些知识的重要性,避免滥用导致不必...
src_过pg_过windowspg_64SSDThook实现方法_过PG_
09-30
标题中的“src_过pg_过windowspg_64SSDThook实现方法_过PG_”似乎是指一个关于在64Windows系统下绕过Process Guard (PG)并通过修改System Service Dispatch Table (SSDT)实现hook的技术教程。描述中的“WINDOWS ...
掌握内核驱动开发:IDTSSDT的调试技巧
【描述】DebugDriver是一个深入学习和理解内核驱动开发的参考资料,该资源涵盖了对于系统核心部分的关键处理,例如中断描述符(IDT)和系统服务描述符SSDT)的实现和操作,同时提供了内核调试器(Debugger)等...
R0层获取ShadowSSDT函数原始地址实例
11-20
本实例由VS2008开发,在提供了一套驱动开发框架的同时,又演示了如何获取Shadow SSDT函数原始地址的办法。 主要函数:ULONG GetShadowSSDT_Function_OriAddr(ULONG index); 原理说明: 根据特征码搜索导出函数KeAddSystemServiceTable来获取Shadow SSDT基址,以及通过ZwQuerySystemInformation()函数获取win32k.sys基址,然后解析PE定到Shadow SSDT在win32k.sys的偏移地址,并通过进一步计算来得到Shadow SSDT函数的原始地址。 这里只测试了三个函数:(460)NtUserMessageCall、(475)NtUserPostMessage和(502)NtUserSendInput,具体使用时可以举一反三,网上完整的源代码实例并不太多,希望可以帮到真正有需要的朋友。 系统环境: 在WinXP SP3系统 + 瑞星杀毒软件 打印输出: [ LemonInfo : Loading Shadow SSDT Original Address Driver... ] [ LemonInfo : 创建“设备”值为:0 ] [ LemonInfo : 创建“设备”成功... ] [ LemonInfo : 创建“符号链接”状态值为:0 ] [ LemonInfo : 创建“符号链接”成功... ] [ LemonInfo : 驱动加载成功... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP 开始... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP Enter IRP_MJ_DEVICE_CONTROL... ] [ LemonInfo : 获取ShadowSSDT (460)NtUserMessageCall 函数的“当前地址”为:0xB83ECFC4,“起源地址”为:0xBF80EE6B ] [ LemonInfo : 获取ShadowSSDT (475)NtUserPostMessage 函数的“当前地址”为:0xB83ECFA3,“起源地址”为:0xBF8089B4 ] [ LemonInfo : 获取ShadowSSDT (502)NtUserSendInput 函数的“当前地址”为:0xBF8C31E7,“起源地址”为:0xBF8C31E7 ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP_MJ_DEVICE_CONTROL 成功执行... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP 结束... ] [ LemonInfo : UnLoading Shadow SSDT Original Address Driver... ] [ LemonInfo : 删除“符号链接”成功... ] [ LemonInfo : 删除“设备”成功... ] [ LemonInfo : 驱动卸载成功... ]
SSDT查看和恢复工具
07-01
SSDT查看和恢复,SSDT查看和恢复,SSDT查看和恢复,SSDT查看和恢复
SSDT概念详解
weixin_34419326的博客
08-20 318
2019独角兽企业重金招聘Python工程师标准>>> ...
SSDT概念具体解释
weixin_30924239的博客
04-19 268
SSDT的全称是SystemServicesDescriptorTable,系统服务描写叙述符。 这个就是一个把Ring3的Win32API和Ring0的内核API联系起来。Ring3下调用的全部函数终于都会先进入到ntdll里面的,比方ReadFile。就会进入ntdll的ZwReadFile SSDT并不只只包括一个庞大的地址索...
关于Win7 x64 Shadow SSDT 的探索和 Inline HOOK
fyfy
05-15 4293
http://bbs.pediy.com/thread-210481.htm 来看雪一年了,在这里面学到了很多知识,非常感谢各前辈对知识的分享和不懈的研究,也非常感谢各大神对我们这些小白的照顾,特别要感谢MaMy、hksoobe、luolinlove等大神的指导。我也一直非常希望能为看雪贡献一点什么,但是小白的理解估计大神也看不上,这次也是注册看雪一周年,冲着这个也来发一点自己的理
查看SSDTHOOK其修改
trents的专栏
02-29 1574
#define SYSTEMSERVICE(_function) KeServiceDescriptorTable.ServiceTableBase[ *(PULONG)((PUCHAR)_function+1)] typedef unsigned long DWORD; typedef unsigned long *PDWORD; typedef unsigned short WORD;
ssdt函数索引号_BUG:SSDT函数名获取SSDT函数号
weixin_30200131的博客
12-28 198
ULONG GetFunctionId(char* FunctionName)/*++Routine Description:[已删除,请勿再提任何无理要求。]Arguments:FunctionName - 导出的函数名.Return Value:函数的服务号的地址.--*/{NTSTATUS ntstatus;HANDLE hFile = NULL;HANDLE hSection = NULL...
Win7 64SSDTHOOK(2)---64SSDT hook的实现
whatday的专栏
09-14 4074
Hook之前要干掉PG:http://www.m5home.com/bbs/thread-5893-1-1.html 上篇文章知道了寻找SSDT的方法,这篇记录一下如何实现SSDT的Hook。 下面以Hook NtOpenProcess为例,之前我查SSDT发现NtOpenProcess函数的标号为35,用XT等工具也能查看。 废话不多说,上代码。 [
Win64 驱动内核编程-22.SHADOW SSDT HOOK(宋孖健)
天使也掉毛
03-26 4996
SHADOWSSDTHOOK HOOK和UNHOOKSHADOWSSDT跟之前的HOOK/UNHOOKSSDT类似,区别是查找SSSDT的特征码,以及根据索引计算函数地址的公式,还有一个就是吧跳转函数写在什么置,SSDT的时候是写在蓝屏函数里了。 一、获得wKeServiceDescriptorTableShadow的地址 这个跟获得KeServi...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值