win10 64位SSDT函数索引动态查找

最新推荐文章于 2023-06-22 21:49:59 发布
最新推荐文章于 2023-06-22 21:49:59 发布
阅读量808 收藏 2
点赞数
原文链接:http://blog.51cto.com/haidragon/2367466
版权

在win10 64位下SSDT是不导出的。同时如果你要hook某个函数时你要知道他的索引,以前都是调试或者网上找然后硬编码进去。这里动态找。
原理是上层调用的所有函数都经过ntdll 然后进入0环,进入0时ntdll模块里面很定有索引啊,因此去ntdll找到对应函数的代码,就能找到对应的索引。
第1步先把ntdll 读入内存。
win10 64位SSDT函数索引动态查找
查看内存
win10 64位SSDT函数索引动态查找
开始动态查找 进入GetFunctionAddress
win10 64位SSDT函数索引动态查找
先找到ssdt
win10 64位SSDT函数索引动态查找
进入GetExportSsdtIndex
win10 64位SSDT函数索引动态查找
进入GetExportOffset找到函数对应在ntdll中的偏移。(函数代码起始地址)
找到函数名
win10 64位SSDT函数索引动态查找
找到函数偏移
win10 64位SSDT函数索引动态查找
查看反汇编
win10 64位SSDT函数索引动态查找
通过汇编特征算出index
win10 64位SSDT函数索引动态查找
就可以找到索引了
win10 64位SSDT函数索引动态查找
算出地址
win10 64位SSDT函数索引动态查找
后面可以写个遍历ssdt !!!!!
源码:
https://github.com/haidragon/DriverInjectDll

转载于:https://blog.51cto.com/haidragon/2367466

【原创】WINDOWS 64SSDT思路
lziog的专栏
12-06 6108
在32Windows中我们有很多定SSDT的方法,最直接的就是利用导出符号来找到SSDT。再有就是通过在nt!KeAddSystemServiceTable函数中进行反汇编搜索。可是在64WINDOWS中这两种方法都行不通。在64Windows中不在导出SSDT了,同时nt!KeAddSystemServiceTable中也不再出SSDT了。这样要HOOK SSDT表就出现了第一个问题如何找到它?我想了三种思路。
遍历 SSDT ShadowSSDT 编号和函数
小烟的博客
02-26 585
遍历 SSDT ShadowSSDT 编号和函数
SSDT内核函数查询宝盒
12-02
编写驱动或过驱动保护时候方便查询内核函数名称的作用必备利器,内有2003.xp,win7,2008,2000 各种系统对应的内核函数索引
win10驱动开发20——SSDT
qq_41610493的博客
12-18 926
什么是SSDT        SSDT全称为System Services Descriptor Table,中文为系统服务描述符表,SSDT表就是把ring3的Win32 API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。        SSDT通过修改此表的函数地址可以对常用windo
ssdt函数索引号_一个获取系统服务索引号的小工具
weixin_28872105的博客
02-11 177
好久没写博客了,最近想抽点时间补上之前的东西,有些东西要记录下来,以后看了会觉得很有意思。这个小工具没有什么可以说的,直接vc编译连接就可以用了。下面附上代码:#include "stdio.h"#include int main(){printf("请输入要获得索引号的函数的名称:\n");CHAR apiName[256];scanf("%s",apiName);//获得函数地址FARPROC...
SSDT HOOK技术(1)——获得SSDT函数索引
苞米地里捉小鸡的博客
08-19 994
1.SSDT是什么? SSDT全程是System Services Discriptor Table 翻译过来就是系统服务描述符表,那么系统服务描述符是什么呢?根据官方的解释ssdt表就是把ring3的Win32 API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。 那么我们可以理解为SSDT就是一个很庞大的数组,它被用来保存windows系统服务地址。 比如我们在R3层调用了CreateFile这个A
实现win7 64系统进程保护的SSDT Hook技术
Windows 7 64系统中,NTOpenProcess是内核模式下打开进程对象的函数,标号35代表该函数SSDT表中的索引置。通过修改这个置上指向的函数指针,开发者可以实现对进程打开操作的拦截和监控。 4. 遍历SSDT表...
Win64 驱动内核编程-22.SHADOW SSDT HOOK(宋孖健)
墨鱼菜鸡
12-18 358
SHADOWSSDTHOOK HOOK和UNHOOKSHADOWSSDT跟之前的HOOK/UNHOOKSSDT类似,区别是查找SSSDT的特征码,以及根据索引计算函数地址的公式,还有一个就是吧跳转函数写在什么置,SSDT的时候是写在蓝屏函数里了。 一、获得wKeServ...
SSDT内核函数宝盒:驱动开发者的查询利器
综上所述,SSDT内核函数查询宝盒是针对Windows系统内核开发人员设计的一款专业查询工具,它通过提供详细的内核函数索引,极大地简化了内核函数查找和使用过程,使得开发过程更高效、更准确,同时也降低了因版本...
SSDT HOOK
最新发布
qq_45844442的博客
06-22 420
1.首先通过MmCreateSection、MmMapViewInSystemSpace将ntdll加载到内存中,然后进行导出表搜索找到目标函数的服务号。2.然后通过内核导出的变量KeServiceDescriptorTable进而找到SSDT表。3.最后通过在SSDT表修改目标函数地址为自定义地址即可。
ssdthook-hook
11-27
ssdthook
windows下通过更改SSDT表hook内核函数
10-02
通过更改SSDT表的内核函数跳转地址来实现对windows内核函数的hook,需要安装WDK来实现编译。 注:本例主要实现对内核函数ZwSetValueKey的hook,本程序仅用于学习用途,任何人不得利用该代码从事非法活动。
高版本Windows下SSDT函数获取例子完整工程
10-23
Windows10 高版本中 ,因为页表隔离补丁(?),__readmsr(0xC0000082) 返回KiSystemCall64Shadow,这玩意无法直接搜索到 KeServiceDescriptorTable,以前获取SystemServiceDescriptorTable的方法失效。
64驱动SSDTHOOK教程
10-02
完整的64驱动SSDTHOOK文档资料,学习win7 64驱动很好的
SSDt HOOK源码
11-20
SSDt HOOK的 源码 大家感兴趣的看看
winSSDT-Hook
weixin_34015336的博客
06-23 163
#include <ntifs.h> #pragma pack(1) //SSDTHook中,我们有2个关键问题: //1 怎么找到SSDT,这个表是导出的,所以直接声明就可以 //2 SSDT是只读的,怎么改 // 2.1 通过修改CR0 去掉内核层的页保护 // 2.2 可以通过MDL重映射的方式,去修改。 typedef struct _ServiceDesriptor...
win10 x64中inlineHook SSDT里面的函数
吾无法无天的博客
02-13 4897
inlineHook的原理: 为了方便好理解,一些变量名和函数名在这里使用中文命名,有些编译器不支持中文命名,在这里要注意(我的是VS2019) hook.h: #pragma once #include<ntifs.h> #include<ntddk.h> #pragma intrinsic(__readmsr) //SSDT表 typedef str...
SSDT Hook
zhuhuibeishadiao
04-10 3336
看看大概的调用情况 左边是2000有的,右边是xp后走的 Ntdll.dll 中的 API 是一个简单的包装函数。 当 Kernel32.dll 中的 API 通过 Ntdll.dll 时,会完成参数的检查再调用一个中断(int 2Eh 或者 SysEnter 指令),从而实现从 Ring3 进入 Ring0 层 并且将所要调用的服务号(也就是在 S
SSDT表的遍历(源码)
liujiayu2的专栏
06-08 1456
//VS2005创建的工程,系统xp sp2      //++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++      //stdafx.h文件   #ifndef _WIN32_WINNT        // Allow use of features speci
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值