2. 程式人生 > >讀出SSDT表當前函式地址

讀出SSDT表當前函式地址

阿新 發佈:2018-12-10

        A、引用KeServiceDescriptorTable表

        B、通過ServiceTableBase+偏移讀出當前函式地址

        C、用windbg測試讀取的值

系統服務描述符表 在ntoskrnl.exe匯出KeServiceDescriptorTable 這個表

typedef struct _ServiceDescriptorTable {

         PVOID ServiceTableBase; //System Service Dispatch Table 的基地址 

         PVOID ServiceCounterTable

;

         //包含著 SSDT 中每個服務被呼叫次數的計數器。這個計數器一般由sysenter 更新。

         unsigned int NumberOfServices;// ServiceTableBase 描述的服務的數目。 

         PVOID ParamTableBase; //包含每個系統服務引數位元組數表的基地址-系統服務引數表

}*PServiceDescriptorTable

//SSDT索引號獲取當前函式地址 

//NtOpenProcess  [[KeServiceDescriptorTable]+0x7A*4] 

extern PServiceDescriptorTable

KeServiceDescriptorTable;

方法1 純彙編讀取

ULONG SSDT_NtOpenProcess_Addr;

         //[[KeServiceDescriptorTable]+0x7A*4]

         __asm

         {

     push eax   

          //

          mov eax,KeServiceDescriptorTable

          mov eax,[eax] // //System Service Dispatch Table 的基地址

          imul eax,eax

,0x7a

          shl eax,2 //[KeServiceDescriptorTable]+0x7A*4

          mov eax,[eax] //[[KeServiceDescriptorTable]+0x7A*4]

          mov SSDT_NtOpenProcess_Addr,eax

          //      

          pop  eax

         }

         KdPrint(("讀取SSDT_NtOpenProcess_Addr=%x +++++++\n",SSDT_NtOpenProcess_Addr));

    //讀取SSDT_NtOpenProcess_Addr=8058270a +++++++

    //SSDT_NtOpenProcess_Cur_Addr=8058270a

方法2:用指標讀取

LONG *SSDT_Adr,SSDT_NtOpenProcess_Cur_Addr,t_addr;

         KdPrint(("驅動成功被載入中.............................\n"));

         //讀取SSDT表中索引值為0x7A的函式

         //poi(poi(KeServiceDescriptorTable)+0x7a*4)

         t_addr=(LONG)KeServiceDescriptorTable->ServiceTableBase;

         KdPrint(("當前ServiceTableBase地址為%x \n",t_addr));

         SSDT_Adr=(PLONG)(t_addr+0x7A*4);

         KdPrint(("當前t_addr+0x7A*4=%x \n",SSDT_Adr));

         SSDT_NtOpenProcess_Cur_Addr=*SSDT_Adr;    

         KdPrint(("當前SSDT_NtOpenProcess_Cur_Addr地址為%x \n",SSDT_NtOpenProcess_Cur_Addr));

當前ServiceTableBase地址為804e58a0

當前t_addr+0x7A*4=804e5a88

當前SSDT_NtOpenProcess_Cur_Addr地址為8058270a

相關推薦

讀出SSDT當前函式地址

        A、引用KeServiceDescriptorTable表         B、通過ServiceTableBase+偏移讀出當前函式地址         C、用windbg測試讀取的值 系統服務描述符表 在ntoskrnl.exe匯出KeService

VC 寫shellcode 時函式地址去掉跳轉

在預設DEBUG/RELEASE模式下函式地址不是最終的函式地址,而是E9 + offset 的形式,這使得直接使用函式地址作為shellcode 起始地址時會出現問題。該怎麼修改編譯選項呢? 在專案屬性中,選擇 “配置屬性” ==> "C/C++" ==> "優化" ==>

C++ 虛擬函式 獲取C++虛地址和虛擬函式地址

學過C++的應該都對虛表有所耳聞,在此就不過多介紹概念了,通過實 例來演示一下如何獲取虛表地址和虛擬函式地址。         簡單說一下虛表的概念:在一個類中如果有虛擬函式,那麼此類的例項中就有一個虛表指標指向虛表,這個虛表是一塊兒專門存放類的虛擬函式地址的記憶體。 圖示說

[C++] 虛指標,虛,虛擬函式地址列印

#include <iostream> using namespace std; class Base { public : int base_data; Base() { base_data = 1; } virtual void func1()

虛擬函式所指向的虛擬函式地址陣列存放在哪裡?

         因為在閱讀文章C++中虛擬函式工作原理和(虛)繼承類的記憶體佔用大小計算後,我們在sizeof一個類或者是一個具體的類例項(物件)的時候,發現得到的最終結果沒有將虛擬函式表的儲存的具體內容計算進去,所以在想,那麼虛擬函式表的陣列具體內容資訊具體存放在哪裡?

C++虛地址、虛擬函式地址列印

#include <iostream> using namespace std; class Base { public : int base_data; Base() { base_data = 1; } virtual void fu

虛擬函式獲取的函式地址函式實際地址一樣嗎?

 最近,看帖發現不少人對虛擬函式表很迷惑,說虛擬函式表中函式的地址怎麼和用函式指標獲取的地址不一致?示例程式碼如下: #include<iostream> #include<stdio.h> using namespace std; class Ba

js獲取當前url地址參數中文亂碼問題

length 地址 網上 當前頁 數組 獲得 clas decode log 網上看了一些關於此問題的文章,都說的不清不楚,有些更是亂七八糟,完全沒法看,故此找了一篇能用的,借鑒作為筆記。 //首先獲取到當前頁面的地址欄信息 var url = window.locati

PHP獲取當前頁面地址

echo com fun variable class p s 端口號 cti 域名 #測試網址: http://localhost/blog/testurl.php?id=5 //獲取域名或主機地址 echo $_SERVER[‘HTTP_HOST‘]."

YII2.0 獲取當前訪問地址/IP信息

dir 有時 left 信息 quest border back timezone 假設 假設我們當前頁面的訪問地址是:http://localhost/CMS/public/index.php?r=news&id=1 一、 1、獲取當前域名:echo Yii::a

單鏈函式宣告和定義

#include<stdio.h> #include<stdlib.h> typedef int ElemType; typedef struct node { ElemType data; struct node *next; }Node; typedef Node*

SQL Server函式——函式和標量函式

create table student (  sid int identity primary key,  sname varchar(20),  gender tinyint,  age int ) go insert in

織夢tag標籤當前列表地址(動靜態)

動態 {dede:field.title runphp=yes}global $cfg_cmsurl;@me = $cfg_cmsurl."/tags.php?/".urlencode(@me)."/";{/dede:field.title} 靜態(生成拼音形式) {dede:field.title r

幾個有用的jquery函式

//將JSON字串的值回填回表單 function loadData(obj) { /* var obj = eval("("+jsonStr+")"); */ var key, value, tagName, type, arr; for (x in

雜湊之鏈地址

鏈地址發     將所有的關鍵字為同義詞的記錄儲存在同一線性連結串列中。     比如,我們對於關鍵字集合{12,67,56,16,25,37, 22,29,15,47,48,34},我們用前面同樣的12為除數,進行除留餘數法: 當雜湊表中的

sqlserver 模糊查詢,連,聚合函式,分組

1 use StudentManageDB 2 go 3 select StudentName,StudentAddress from Students 4 where StudentAddress like '天津%' 5 6 select StudentName,StudentAddr

js獲取當前實體地址

搜狐IP地址查詢介面(預設GBK):http://pv.sohu.com/cityjson var returnCitySN = {"cip": "183.64.76.242", "cid": "440100", "cname": "廣東省廣州市"}; 搜狐IP地址查詢介面(可設定編碼):h

SQLServer 函式與標量值函式 定義方式與呼叫區別

SQLServer 表值函式與標量值函式 定義方式與呼叫區別 轉載自:http://blog.sina.com.cn/s/blog_648861b901012ay2.html SQLServer 

sqlserver中的函式和標量值函式

顧名思義:表值函式返回的是表,而標量值函式可以返回基型別 一、表值函式 使用者定義表值函式返回 table 資料型別。對於內聯表值函式,沒有函式主體;表是單個 SELECT 語句的結果集。 以下示例建立了一個內聯表值函式。此函式的輸入引數為客戶(商店)ID,而返回 de

教你在Nodejs中如何獲取當前函式被呼叫的行數及檔名

蘇格團隊 作者:MaxPan 交流QQ群:855833773 背景 在自定義Egg.js的請求級別日誌這篇文章中,我們實現了自定義請求級別的日誌模組。看上去功能是完整了,但好像還缺點什麼。 大家在根據日誌追查問題的過程中,很多時候看到了某條log資訊想去找出處,但是實