SSDT中几个函数的原型和用处

最新推荐文章于 2022-03-17 16:00:19 发布
原创 最新推荐文章于 2022-03-17 16:00:19 发布 · 917 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文探讨了在系统服务调度表(SSDT)中两个重要的函数——NtQuerySystemInformation和NtCreateThread。NtQuerySystemInformation用于获取系统信息,涉及SYSTEM_INFORMATION_CLASS枚举类型,而NtCreateThread则涉及线程创建的过程,对于理解操作系统内核行为至关重要。
1. Rpc
NtConnectPort  PortName: "\\Rpc Control\\DNSResolver" 
NtRequestWaitReplyPort  获得DNS解析的内容。
 
2.监控注册表操作
NtCreateKey
NtEnumrateKey
NtSetValueKey
 
3.监控文件操作
NtCreateFile
NtQueryDirectoryFile
 
4.监控驱动加载等
NtDeviceIoControlFile

NtTerminateProcess
 
5.监控远线程注入:

NtCreateThread

 

http://bbs.pediy.com/showthread.php?t=63228
在NtCreateProcess之流函数创建进程后,排除第一个LZ说的情况后,NtCreateThread的ProcessHandle句柄表示的pid & 0xfffffffc不等于PsGetCurrentProcessId() & 0xfffffffc都是远线程

0902horn
关注
windows 内核原理与实现读书笔记之LPC
maomao171314的专栏
11-24 2898
LPC(本地过程调用)服务 本地过程调用(LPC,Local Procedure Call),主要用于操作系统各个组件之间进行通信,或者用户模式程序与系统组件之间通信。 LPC工作方式时消息传递,允许两个进程进行双向通信,在Windows的主要应用如下: Windows 应用程序与系统进程,包括Windows环境子系统之间的通信。 用户模式程序与内核模式组件之间的通信。 当RPC(远程过程调用,Remote Procecure Call)的两端在同一个系统时,RPC通信转化位LPC通信。 8.2.
内核重载-让所有的SSDT函数全部走自己的路!过任何驱动保护
07-31
内核重载-让所有的SSDT函数全部走自己的路!过任何驱动保护 一份 非常不错的源码。。 内核重载了,让所有的SSDT函数全部走自己的路 。爆发式的驱动源码公开。代表了我国民间驱动技术已逐渐成熟,韩国棒子的NP技术终将被完结! 内核重载:内核重载后指定某个程序使用你重载的内核,可以绕过原有内核上面的所有hook
R0层获取ShadowSSDT函数原始地址实例
11-20
本实例由VS2008开发,在提供了一套驱动开发框架的同时,又演示了如何获取Shadow SSDT函数原始地址的办法。 主要函数:ULONG GetShadowSSDT_Function_OriAddr(ULONG index); 原理说明: 根据特征码搜索导出函数KeAddSystemServiceTable来获取Shadow SSDT基址,以及通过ZwQuerySystemInformation()函数获取win32k.sys基址,然后解析PE定位到Shadow SSDT在win32k.sys的偏移地址,并通过进一步计算来得到Shadow SSDT函数的原始地址。 这里只测试了三个函数:(460)NtUserMessageCall、(475)NtUserPostMessage(502)NtUserSendInput,具体使用时可以举一反三,网上完整的源代码实例并不太多,希望可以帮到真正有需要的朋友。 系统环境: 在WinXP SP3系统 + 瑞星杀毒软件 打印输出: [ LemonInfo : Loading Shadow SSDT Original Address Driver... ] [ LemonInfo : 创建“设备”值为:0 ] [ LemonInfo : 创建“设备”成功... ] [ LemonInfo : 创建“符号链接”状态值为:0 ] [ LemonInfo : 创建“符号链接”成功... ] [ LemonInfo : 驱动加载成功... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP 开始... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP Enter IRP_MJ_DEVICE_CONTROL... ] [ LemonInfo : 获取ShadowSSDT表 (460)NtUserMessageCall 函数的“当前地址”为:0xB83ECFC4,“起源地址”为:0xBF80EE6B ] [ LemonInfo : 获取ShadowSSDT表 (475)NtUserPostMessage 函数的“当前地址”为:0xB83ECFA3,“起源地址”为:0xBF8089B4 ] [ LemonInfo : 获取ShadowSSDT表 (502)NtUserSendInput 函数的“当前地址”为:0xBF8C31E7,“起源地址”为:0xBF8C31E7 ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP_MJ_DEVICE_CONTROL 成功执行... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP 结束... ] [ LemonInfo : UnLoading Shadow SSDT Original Address Driver... ] [ LemonInfo : 删除“符号链接”成功... ] [ LemonInfo : 删除“设备”成功... ] [ LemonInfo : 驱动卸载成功... ]
LPC 函数
Sunny_wwc的专栏
10-28 6489
微软设计本地过程调用是为了能有效地 Windows NT 子系统进行通讯。 尽管在理解 LPC 机制之前并不需要知道关于子系统的东西,当然能知道一点还是会觉得有意思的,也是我们所建议的。在这一章里,我们讨论了子系统,之后讲了一点未公开的 LPC 机制。 THE ORIGIN OF THE SUBSYSTEMS 尽管微软从未指出“NT”到底是什么意思,一个普遍的说法就是它是“New
c++ 编写函数返回两个值最小值_SQL基础知识(3)—常见函数(最全!)
weixin_39814454的博客
11-21 328
一、函数是什么:概念:将一组逻辑语句封装在方法体内,对外暴露方法名好处:隐藏实际细节;提高代码重用性(即:不用重新写逻辑语句,调用函数就行)调用:select 函数名(实参列表) from 表;特点:1.叫什么(函数名);2.干什么(函数功能)分类:二、文本处理函数说明:用于处理文本字符串(如删除/填充值、转换为大写或小写)的文本函数1. 查看字符串的长度、拼接多个字符串、替换部分字符串、改变字符...
SSDT
weixin_34082854的博客
08-17 143
SSDT就是一张存于系统内核中的一张表。这个表的作用就是指向一些函数的地址。 比如我们调用OPENPROCESS,最终会调用SSDT表中的122号服务。哈~~ 转载于:https://www.cnblogs.com/vcerror/p/4289229.html...
【钩子函数的使用】:VC++屏幕取词技术的深入与浅出
本文详细探讨了VC++中钩子函数的理论基础、编程实践进阶应用,尤其侧重于屏幕取词技术。首先介绍了屏幕取词技术的原理及分类,并分析了实现该技术时的常见难点。接着,文中阐述了全局局部钩子函数的分类、工作...
【易语言与Windows API交互】:QQ消息监控中的关键代码分析与实战应用
[【易语言与Windows API交互】:QQ消息监控中的关键代码分析与实战应用](https://malwaretech.com/images/syscalls/pre_vs_post_ssdt_hooks.png) # 摘要 本文首先介绍易语言及其与Windows API结合的基础知识,然后...
【IAT Hook在API拦截中的应用】:API拦截中的IAT Hook案例详解
[【IAT Hook在API拦截中的应用】:API拦截中的IAT Hook案例详解](https://nagareshwar.securityxploded.com/wp-content/uploads/2014/03/iat21.png) # 摘要 API拦截与IAT Hook是软件开发系统安全领域的重要技术。...
E语言实现的驱动保护技术及其源码分析
详细说明以上知识点,可以从以下几个方面进行阐述: 1. SSDT的作用意义: - SSDT是操作系统内部的一个关键数据结构,它保存了系统服务调用地址的映射。Windows系统中,应用程序通过系统调用与操作系统内核通信,...
OpenCore下AirportItlwm配置精髓:Lilu协同工作的8个必知技术细节
本文系统探讨了OpenCore环境下AirportItlwm无线网卡驱动的集成与优化技术,重点分析其在黑苹果系统中的配置机制与运行原理。围绕驱动安装、Lilu框架协同、设备识别模拟等核心技术,深入解析Kext注入流程、PCI ID伪装...
简单说说SSDT
camin920的专栏
01-17 760
论技术,我还差得远,而且网上关于SSDT的文章也多不胜数。但是还是想自己写一下,因为我想试试我能不能用最简单的语言来描述SSDT——这个对一般来人来说比较神秘的属于内核的地带。引用EVA说的一句话,“以为写个驱动就是内核,还远着了”——大概是这么个意思,记得不是很清楚。 关于SSDT,描述得最清楚的应该算《SSDT Hook的妙用-对抗ring0 inline hook》一文了,作者是堕落天才。这
SSDT 是什么
爱码农爱生活
09-23 886
SSDT的全称是System Services Descriptor Table,系统服务描述符表。这个表就是一个把ring3的Win32 APIring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。   通过修改此表的函数地址可以对常用windows函数及API进行hook,从而实现对一些关心的系统...
ssdt函数索引号_【NT】一行代码获取SSDT服务索引号
weixin_34304538的博客
12-29 297
注:本文是以32位的windows7为实例.今天在研究SSDT的过程中看到了一个大神写的教程,其中还附了一些代码,代码主要讲解的是SSDT hook过程,我在他的代码中没有看到任何有关服务函数的索引号,我发现他的SSDT服务号仅仅使用了一个宏定义来完成的,于是就小小的研究了一下,遂写下此文以记之.在说明这行代码之前先在温习一下SSDT服务索引号是如何获取到的:在上移篇文章中,我已经简单的介绍了SS...
ssdt函数索引号_获得SSDT函数索引号的代码
weixin_42298068的博客
02-22 315
代码:/*++ModuleName:Entry.cAbstract:AsamplewithListSSDT.c.--*/#include"ListSSDT.h"////functiondeclaration//DRIVER_UNLOADUnloadMe;DRIVER_INITIALIZEDriverEntry;#ifdefALLOC_PRAGMA#pragmaalloc_...
ssdt函数索引号_BUG:SSDT函数名获取SSDT函数
weixin_30200131的博客
12-28 218
ULONG GetFunctionId(char* FunctionName)/*++Routine Description:[已删除,请勿再提任何无理要求。]Arguments:FunctionName - 导出的函数名.Return Value:函数的服务号的地址.--*/{NTSTATUS ntstatus;HANDLE hFile = NULL;HANDLE hSection = NULL...
getssdtserviceid_[下载]发个获得SSDT函数索引号的代码
weixin_39557087的博客
12-22 124
通过枚举ntdll.dll的导出表,先是判断是不是Nt开头的,是的话再判断第一要语句是不是mov eax,是的话再取得索引号。具体见源码,没有什么技术含量。只是觉得前面有很多人写过了,但是后面可能还有很多人写,所以丢出来,供大家娱乐一下。// 使用说明例子#include "GetSSDTInformation.h"#include int main(void){GetSSDTInformatio...
初探SSDT
hongduilanjun的博客
03-17 2678
SSDT 的全称是 System Services Descriptor Table,系统服务描述符表。这个表就是一个把 Ring3 的 Win32 API Ring0 的内核 API 联系起来。SSDT 并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址、服务函数个数等。通过修改此表的函数地址可以对常用 Windows 函数及 API 进行 Hook,从而实现对一些关心的系统动作进行过滤、监控的目的。一些 HIPS、防毒软件、系统监控、注册表监控软件往往会采用此接.
ssdt函数索引号_技术分享 - 32位系统上获取SSDT表地址以及从中获取指定SSDT函数的地址...
weixin_39758953的博客
12-19 368
背景SSDT 全称为 System Services Descriptor Table,即系统服务描述符表。SSDT 表的作用就是把 ring3 的 WIN32 API 函数 ring0 的内核 API 函数联系起来。对于ring3下的一些API,最终会对应于 ntdll.dll 里一个 Ntxxx 函数,例如 CreateFile,最终调用到 ntdll.dll 里的 NtCreateFile...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值