使用WinDbg获取SSDT函数表对应的索引再计算得出地址

最新推荐文章于 2023-02-26 22:38:24 发布

DragonWar%

最新推荐文章于 2023-02-26 22:38:24 发布

阅读量313

点赞数

CC 4.0 BY-SA版权

原文链接：http://www.cnblogs.com/L-Sunny/p/8385880.html

当从Ring3进入Ring0的时候会将所需要的SSDT索引放入到寄存器EAX中去，
所以我们这里通过EAX的内容得到函数在SSDT中的索引号，然后计算出它的地址
首先打开WinDbug，我们以函数ZwQueryObject为例：

从mov eax 0F8h,知道我们的索引号是0F8h.
来验证一下，看看是不是函数ZwQueryObject。

我们先获取到SSDT的地址：

第一个8488a43c是SSDT的基地址，我们知道函数的地址等于SSDT基地址
+4*索引号，算出函数指针地址为8488a81c

最后u 84a0e0b5得到反汇编看出我们正确得到了ZwQueryObject

这两天学习一个大神的SSDT Hook下次贴出来当作心得

转载于:https://www.cnblogs.com/L-Sunny/p/8385880.html

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

DragonWar%

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

windbg调试驱动学习总结

bcbobo21cn的专栏

03-19

4637

简单驱动编写与windbg调试 http://trustsec.blog.51cto.com/305338/64694/ 一．驱动编写随着对windows系统的深入研究，越来越多的内核方面的知识被挖掘出来了，今天我们讨论下如何写一个简单的驱动，并使用现在比较新的windbg调试器进行调试。首先写驱动要对驱动有一个比较全面的认识。一个简单的驱动一般有以下几

SSDT Hook

zhuhuibeishadiao

04-10

3350

看看大概的调用情况左边是2000有的,右边是xp后走的 Ntdll.dll 中的 API 是一个简单的包装函数。当 Kernel32.dll 中的 API 通过 Ntdll.dll 时，会完成参数的检查再调用一个中断(int 2Eh 或者 SysEnter 指令)，从而实现从 Ring3 进入 Ring0 层并且将所要调用的服务号(也就是在 S

参与评论您还未登录，请先登录后发表或查看评论

使用Windbg查看系统SSDT表与ShadowSSDT表

baggiowangyu的专栏

12-08

6983

x86操作系统 1. 查看当前系统是否已经载入win2k.sys的相关符号信息： kd> lm start end module name 80586000 8058f000 kdcom (deferred) 80e03000 81391000 nt (pdb symbols) d:\symb

Windbg 查看SSDT表

weixin_33910137的博客

12-21

196

SSDTHOOK的原理其实非常简单，我们先实际看看KeServiceDescriptorTable是什么样的。 lkd>ddKeServiceDescriptorTable 8055ab80804e3d20000000000000011c804d9f48 8055ab9000000000000000000000000...

使用WinDbg获取SSDT 系统服务描述表的函数服务号(索引)

whatday的专栏

10-10

2240

今天研究了一下午SSDT的东东，最尴尬的是起初我不知道如何获取到SSDT的函数服务号，而这个玩意儿在不同版本的windows是不一样的，后面经过研究还是找到了正确的方法.这里简单的分享一下. · 先用个图温习一下Win32API的调用流程吧这里以函数QuerySystemInformation为例子

windbg查看SSDT表

bcbobo21cn的专栏

09-05

1444

SSDT，System Services Descriptor Table，系统服务描述符表。见此 https://blog.youkuaiyun.com/bcbobo21cn/article/details/52083557 这个表就是一个把ring3的Win32 API和ring0的内核函数联系起来。SSDT包含一个庞大的地址索引表，它还包含着一些其它有用的信息，诸如地址索引的基地址、服务函数个数等。 SSDT定义为下面结构体； typedef struct _SYSTEM_SERVICE_T...

获得SSDT表函数名

cqyczj的专栏

04-18

1836

代码: ULONG GetSSDTName() { KdBreakPoint(); if (KeGetCurrentIrql() > PASSIVE_LEVEL) { return STATUS_UNSUCCESSFUL; } //设置NTDLL路径 UNICODE_STRING uniFileName; RtlInitUnicodeString(&uniFileName,

遍历 SSDT ShadowSSDT 编号和函数名

小烟的博客

02-26

632

遍历 SSDT ShadowSSDT 编号和函数名

通过我给出的代码,分析它的作用BOOLEAN HookDbgkDebugObjectType() { //如果是不以原始DbgkDebugObjectType指针来操作，以启动方式时则需要替换PspInsertProcess中的DbgkDebugObjectType UNICODE_STRING ObjectTypeName; //获取原始DbgkDebugObjectType CKernelTable Ssdt; /*根据给定的函数名NtCreateDebugObject，在系统服务描述符表（SSDT）中查找对应的函数地址*/ PVOID NtCreateDebugObject = Ssdt.GetAddressFromName("NtCreateDebugObject"); if (!NtCreateDebugObject) { return FALSE; } ULONG templong = 0; /* 指令序列用于查找 DbgkDebugObjectType 地址*/ UCHAR tzm[] = { 0x48, 0x8B, 0x15, 0xEC, 0x85, 0x47, 0x00 }; ULONG64 addr = 0; for (PUCHAR i = (PUCHAR)NtCreateDebugObject; i < (PUCHAR)NtCreateDebugObject + 0x100; i++) { if (*i == 0x48 && *(i + 1) == 0x8B && *(i + 2) == 0x15 ) { // 复制相对偏移量 memcpy(&templong, i + 3, 4); addr = (ULONG64)((ULONG)templong + (ULONG64)i + 7);// 计算绝对地址 break; } } g_DbgkDebugObjectType = (POBJECT_TYPE*)addr; if (g_DbgkDebugObjectType == 0) { return FALSE; // 返回失败状态，无法获取 DbgkDebugObjectType 地址 } DbgPrint("fh:sys g_DbgkDebugObjectType:%p\n", g_DbgkDebugObjectType); RtlInitUnicodeString(&ObjectTypeName, L"styone"); // 初始化对象类型名称 OBJECT_TYPE_INITIALIZER_WIN10 ObjectTypeInitializer; POBJECT_TYPE* DbgkDebugObjectType = g_DbgkDebugObjectType; //参数构造 //memcpy(&ObjectTypeInitializer, &DbgkDebugObjectType->TypeInfo, sizeof(ObjectTypeInitializer)); // 复制对象类型信息 memcpy(&ObjectTypeInitializer, &(*DbgkDebugObjectType)->TypeInfo, sizeof(OBJECT_TYPE_INITIALIZER_WIN10)); //这里恢复调试权限 //ObjectTypeInitializer.DeleteProcedure = &DbgkpDeleteObject; //ObjectTypeInitializer.CloseProcedure = &DbgkpCloseObject; //ObjectTypeInitializer.DeleteProcedure = &proxyDbgkpDeleteObject; //ObjectTypeInitializer.CloseProcedure = &proxyDbgkpCloseObject; ObjectTypeInitializer.DeleteProcedure = NULL; // 设置删除过程为空 ObjectTypeInitializer.CloseProcedure = NULL;// 设置关闭过程为空 ObjectTypeInitializer.GenericMapping.GenericRead = 0x00020001;// 设置通用读权限 ObjectTypeInitializer.GenericMapping.GenericWrite = 0x00020002; // 设置通用写权限 ObjectTypeInitializer.GenericMapping.GenericExecute = 0x00120000;// 设置通用执行权限 ObjectTypeInitializer.GenericMapping.GenericAll = 0x001f000f;// 设置通用所有权限 ObjectTypeInitializer.ValidAccessMask = 0x001f000f; // 设置有效访问掩码 //创建调试对象类型 NTSTATUS status = ObCreateObjectType(&ObjectTypeName, &ObjectTypeInitializer, NULL, (PVOID*)g_DbgkDebugObjectType); //return FALSE; if (!NT_SUCCESS(status)) { if (status == STATUS_OBJECT_NAME_COLLISION) { //对象名已经存在 DbgPrint("ObCreateObjectType STATUS_OBJECT_NAME_COLLISION 对象名已经存在\n"); PUCHAR j_ObGetObjectType = (PUCHAR)GetKernelAddress("ObGetObjectType"); if (!j_ObGetObjectType) { DbgPrint("ObGetObjectType函数 failed\n"); // 获取 ObGetObjectType函数失败 return FALSE; } //ULONG uloffset = (ULONG)(*(PUINT32)(j_ObGetObjectType + 31)); //DbgPrint("uloffset:%x\n", uloffset); //ULONG64 baseAddr = (ULONG64)j_ObGetObjectType + 35; //DbgPrint("baseAddr:%p\n", baseAddr); //POBJECT_TYPE* ObTypeIndexTable = (POBJECT_TYPE*)(baseAddr + uloffset); // 获取对象类型索引表地址 POBJECT_TYPE* ObTypeIndexTable = (POBJECT_TYPE*)(*(PUINT32)(j_ObGetObjectType + 31) + (ULONG64)j_ObGetObjectType + 35); if (!ObTypeIndexTable) { DbgPrint("ObGetObjectType get failed\n"); // 获取对象类型索引表失败 return FALSE; } DbgPrint("ObTypeIndexTable:%p\n", ObTypeIndexTable); // 打印对象类型索引表地址 //DbgPrint("sizeof(_OBJECT_TYPE):%x\n", sizeof(_OBJECT_TYPE)); // 打印对象类型索引表第2个元素地址 DbgPrint("ObTypeIndexTable[2]:%p\n", ObTypeIndexTable[2]); ULONG Index = 2; while (ObTypeIndexTable[Index]) { // 打印当前对象类型地址 DbgPrint("ObTypeIndexTable[Index]:%p\n", ObTypeIndexTable[Index]); if (&ObTypeIndexTable[Index]->Name) { if (ObTypeIndexTable[Index]->Name.Buffer) { DbgPrint("RtlCompareUnicodeString:%ws %ws\n", ObTypeIndexTable[Index]->Name.Buffer, ObjectTypeName.Buffer); // 比较对象类型名称 if (RtlCompareUnicodeString(&ObTypeIndexTable[Index]->Name, &ObjectTypeName, FALSE) == 0) { // 设置 DbgkDebugObjectType 为找到的对象类型 *g_DbgkDebugObjectType = ObTypeIndexTable[Index]; // 打印已存在的 DbgkDebugObjectType 地址 DbgPrint("ObCreateObjectType already exist *g_DbgkDebugObjectType:%p\n", *g_DbgkDebugObjectType); return TRUE; } } } Index++; } } else { DbgPrint("ObCreateObjectType eeor!\n"); // 创建对象类型失败 return FALSE; } } // 打印创建成功的 DbgkDebugObjectType 地址 DbgPrint("ObCreateObjectType ok g_DbgkDebugObjectType:%p\n", g_DbgkDebugObjectType); return TRUE;// 返回成功状态 }

最新发布

08-05

- 因此，通过挂钩SSDT中的NtCreateDebugObject（即修改SSDT表中NtCreateDebugObject的入口地址）也可以拦截创建调试对象的请求，但这与挂钩对象类型的创建函数是不同的层次： - SSDT挂钩发生在系统调用分发时，而...

探索Hook NtCreateSection在SSDT中的实现

在不同的Windows系统版本中，NtCreateSection对应的SSDT索引可能不同，因此需要利用如WinDbg等调试工具对目标系统进行分析。定位到NtCreateSection函数的索引后，接下来就可以编写内核模式驱动来完成Hook操作。 ...

SSDT查看和恢复工具

07-01

SSDT查看和恢复，SSDT查看和恢复，SSDT查看和恢复,SSDT查看和恢复

(转)windbg查看ssdt的方法

weixin_30367169的博客

12-20

296

http://blog.sina.com.cn/s/blog_53e1b6e00100w4j6.html dp nt!KeServiceDescriptorTable 80553fa080502b8c 00000000 0000011c 8050300080553fb000000000 00000000 00000000 0000000080553fc000000000 ...

通过名字获得ssdt函数的序号

被遗弃的庸才博客

10-28

828

假设现在我们已经能够获得ssdt表的位置，能够实现对ssdt函数地址替换，那么现在又一个问题就是找到想要hook的ssdt函数。由于不同版本的操作系统下对应的函数调用号是不同的，所以这里可以通过ntdll得到当前系统下函数的调用号具体的代码如下所示 ULONG GetIndexByName(UCHAR *sdName) { NTSTATUS Status; HANDLE Fi...

x86下windbg查看SSDT表与SHDOWSSDT

kernweak的博客

05-23

2275

x64下这两个表是未导出的，不能用这种首先系统符号要加载 SSDT表： x nt!kes*des*table* kd> x nt!KeServiceDes* 83f74a00 nt!KeServiceDescriptorTableShadow = <no type information> 83f749c0 nt!KeServiceDescriptorTable = ...

ssdt函数索引号_BUG：SSDT函数名获取SSDT函数号

weixin_30200131的博客

12-28

197

ULONG GetFunctionId(char* FunctionName)/*++Routine Description:[已删除，请勿再提任何无理要求。]Arguments:FunctionName - 导出的函数名.Return Value:函数的服务号的地址.--*/{NTSTATUS ntstatus;HANDLE hFile = NULL;HANDLE hSection = NULL...

ssdt函数索引号_获得SSDT函数名和索引号的代码

weixin_42298068的博客

02-22

298

代码:/*++ModuleName:Entry.cAbstract:AsamplewithListSSDT.c.--*/#include"ListSSDT.h"////functiondeclaration//DRIVER_UNLOADUnloadMe;DRIVER_INITIALIZEDriverEntry;#ifdefALLOC_PRAGMA#pragmaalloc_...

发个获得SSDT函数名和索引号的代码

多媒体编程、网络编程、系统编程、网络安全编程、驱动编程

07-09

1920

通过枚举ntdll.dll的导出表，先是判断是不是Nt开头的，是的话再判断第一要语句是不是mov eax,是的话再取得索引号。具体见源码，没有什么技术含量。只是觉得前面有很多人写过了，但是后面可能还有很多人写，所以丢出来，供大家娱乐一下。引用: // 使用说明例子 #include "GetSSDTInformation.h" #include i

根据索引号读出SSDT表当前函数地址

weixin_30321709的博客

01-10

164

公式: [[KeServiceDescriptorTable]+index(索引)*4] 例如要读取 NtOpenProcess [[KeServiceDescriptorTable]+0x7A*4] 1. 纯汇编读取 WinDbg推导公式 : dd poi[KeServiceDescriptorTable] + 0x7A*4L 1 mul是无符号乘法imul是带符号乘法 ....

读取SSDT表和原函数地址

weixin_33826609的博客

01-21

227

今天的成果,读取了我的SSDT地址. 读取当前地址代码(NtOpenProcess): LONG *SSDT_Adr,t_addr,adr; t_addr=(LONG)KeServiceDescriptorTable->ServiceTableBase; SSDT_Adr=(PLONG)(t_addr+0x7a*4); adr=*SSDT_Adr; 读取起源地址(NtOpenPro...