2. 程式人生 > >使用WinDbg獲取SSDT函數表對應的索引再計算得出地址

使用WinDbg獲取SSDT函數表對應的索引再計算得出地址

阿新 發佈:2018-01-30
alt pos 分享圖片 得到 函數指針 hook bubuko 打開 寄存器


當從Ring3進入Ring0的時候會將所需要的SSDT索引放入到寄存器EAX中去,
所以我們這裏通過EAX的內容得到函數在SSDT中的索引號,然後計算出它的地址
首先打開WinDbug,我們以函數ZwQueryObject為例:

技術分享圖片


從mov eax 0F8h,知道我們的索引號是0F8h.
來驗證一下,看看是不是函數ZwQueryObject。

我們先獲取到SSDT的地址:

技術分享圖片

第一個8488a43c是SSDT的基地址,我們知道函數的地址等於SSDT基地址
+4*索引號,算出函數指針地址為8488a81c

技術分享圖片

最後u 84a0e0b5得到反匯編看出我們正確得到了ZwQueryObject

技術分享圖片

這兩天學習一個大神的SSDT Hook下次貼出來當作心得

使用WinDbg獲取SSDT函數表對應的索引再計算得出地址

相關推薦

使用WinDbg獲取SSDT對應索引計算得出地址

alt pos 分享圖片 得到 函數指針 hook bubuko 打開 寄存器 當從Ring3進入Ring0的時候會將所需要的SSDT索引放入到寄存器EAX中去,所以我們這裏通過EAX的內容得到函數在SSDT中的索引號,然後計算出它的地址首先打開WinDbug,我們以函數Z

獲取C++虛地址和虛地址

rtu 虛函數地址 cpp 32位 對象 知識點 cout virt def 1.先介紹C++類的內存結構,大家可以看以下博客,覺得不錯   https://blog.csdn.net/fenxinzi557/article/details/51995911   其中和本次

win10 64位SSDT索引動態查找

acc 反匯編 ecb fun 動態 ESS shadow set exports 在win10 64位下SSDT是不導出的。同時如果你要hook某個函數時你要知道他的索引,以前都是調試或者網上找然後硬編碼進去。這裏動態找。原理是上層調用的所有函數都經過ntdll 然後進入

C++ 虛解析

不同 存在 是我 fun 目前 details deb 比較 clu C++ 虛函數表解析 前言 原文地址:http://blog.csdn.net/haoel/article/details/1948051/ C++中的虛函數的作用主要是實現了多態的機制。關於多態,簡

C++跟我一起透徹理解虛

技術 覆蓋 text 編譯 pretty ring 對象 virt roc //首先讓我們來了解類對象的構造順序。 #include <iostream> using namespace std; class A { public:

怎樣獲取shell的返回值及shell命令的返回值?

返回 echo tro bin 狀態 pre code shell函數 sta 1、獲取shell函數調用的返回值: #!/bin/sh info() { cat jlb.sh } res=`info` echo &quo

深入剖析C++多態、VPTR指針、虛

const 成員函數 virtual函數 並且 () 簡單 2-2 close display 在講多態之前,我們先來說說關於多態的一個基石------類型兼容性原則。 一、背景知識   1.類型兼容性原則    類型兼容規則是指在需要基類對象的任何地方,都可以使用公

歐拉知識點總結及代碼模板及歐拉

算法實現 for 表示 滿足 情況 += radi 分析 因子 歐拉函數是少於或等於n的數中與n互質的數的數目。 歐拉函數的性質:它在整數n上的值等於對n進行素因子分解後,所有的素數冪上的歐拉函數之積。 歐拉函數的值  通式:φ(x)=x(

C++ 虛淺析

tab -s names 寫到 style quest ios mes 沒有 一、背景知識(一些基本概念) 虛函數(Virtual Function):在基類中聲明為 virtual 並在一個或多個派生類中被重新定義的成員函數。 純虛函數(Pure Virtual Func

Javascript知識匯總------獲取構造名的方法和字符串處理方法

sta div rip 相同 javascrip rep AC 函數名 bsp 一、構造函數名稱獲取 每一個對象都有constructor屬性 每一個對象的constructor 屬性描述的是其構造函數 function Fn(){} var

:QT5與VS2015的差異

name bubuko 現象 type src 結果 問題 理論 常識 問題原自下面一段代碼: 初學C++虛函數表時,以下代碼在QT和VS(版本如題)編譯結果不同。 1 #include <iostream> 2 using namespace std;

C++對象的內存分布和虛

關鍵字 lin 指針 ostream 提取 發生 布局 派生 重載 c++中一個類中無非有四種成員:靜態數據成員和非靜態數據成員,靜態函數和非靜態函數。 1.非靜態數據成員被放在每一個對象體內作為對象專有的數據成員。 2.靜態數據成員被提取出來放在程序的靜態數

【老劉談算法003】命令行參的處理和獲取——ArgCl實現分析

連續 文件中 local get mod 中文註釋 bit 長度 有效 在非匯編語言中,處理並分割命令行參數(CmdLine)一般是由編譯器在可執行文件中預置處理代碼或者調用運行時庫完成,而在匯編中,我們需要手動調用Windows的API——GetCommandLine函數

重新 進行 info com ima mage 新增 中繼 派生 以上述類型為例: void a_fun_1();為基類虛函數,在派生類b中沒有重新進行定義; void a_fun_2();為基類虛函數,在派生類b

C++ Daily 《5》----虛的共享問題

.net class pre int 全部 版權 ++ trac end 版權聲明:本文為博主原創文章,未經博主同意不得轉載。 https://blog.csdn.net/u012653791/article/details/25537

python獲取字母在字母對應位置的幾種方法及效能對比較

    某些情況下要求我們查出字母在字母表中的順序,A = 1,B = 2 , C = 3, 以此類推,比如這道題目 https://projecteuler.net/problem=42 其中一步解題步驟就是需要把字母換算成字母表中對應的順序。 獲取字母在字母表對應位置的

C++虛解析

一個 位置 子類的成員函數 table gic 重載 vs2003 靜態 壞事 C++ 虛函數表解析<?xml:namespace prefix = o /> 陳皓 http://blog.csdn.net/haoel 前言 C++中

swift protocol 見證容器 虛 與 動態派發

ocp with deb .cn inline contain sta case spa 一、測試代碼: //protocol DiceGameDelegate: AnyObject { //} // //@objc protocol OcProtocol{ //

『TensorFlow』查詢列表_數值計算

code -1 .com term tran als pos ble sparse 基本算術運算 操作描述 tf.add(x, y, name=None) 求和 tf.sub(x, y, name=None) 減法 tf.mul(x, y, name=

Python(63)_寫,檢查獲取傳入列表或元組對象的所有奇數位索引對應的元素,並將其返回

style http pytho UNC 圖片 python mage image pan `#-*-coding:utf-8-*- ‘‘‘ 寫函數,檢查獲取傳入列表或元組對象的所有奇數位索引對應的元素,並將其返回 ‘‘‘ def func(l): return