Shadow SSDT不好弄啊

boywhp 驱动中牛注册日期2007-08-09 最后登录2015-04-24 粉丝2 关注0 积分1105分威望515点贡献值0点好评度254点原创分1分专家分0分加关注写私信	阅读：1988回复：6 Shadow SSDT不好弄啊楼主^# 更多只看楼主倒序阅读发布于：2008-07-30 18:07 主要是没有什么好方法将调用号和函数名关联起来，狙剑倒是可以做到不知道丫是怎么搞的？？？郁闷ing
	喜欢0 最新喜欢：回复

wowocock

VIP专家组

注册日期2002-04-08
最后登录2016-01-09
粉丝16
关注2
积分601分
威望1651点
贡献值1点
好评度1227点
原创分1分
专家分0分

加关注写私信

沙发^#

发布于：2008-07-31 08:58

你的老套路--------------硬编码.

花开了，然后又会凋零，星星是璀璨的，可那光芒也会消失。在这样一瞬间，人降生了，笑者，哭着，战斗，伤害，喜悦，悲伤憎恶，爱。一切都只是刹那间的邂逅，而最后都要归入死亡的永眠

回复喜欢

boywhp 驱动中牛注册日期2007-08-09 最后登录2015-04-24 粉丝2 关注0 积分1105分威望515点贡献值0点好评度254点原创分1分专家分0分加关注写私信	板凳^# 发布于：2008-07-31 11:02 哈哈还是wowowowocock了解我以后有机会拜访你下 hoho
	回复(0) 喜欢(0)

safejmp 驱动牛犊注册日期2008-07-27 最后登录2010-09-21 粉丝0 关注0 积分6分威望25点贡献值0点好评度0点原创分0分专家分0分加关注写私信	地板^# 发布于：2008-07-31 16:07 好像是根据NTDLL或者NTOSKERNL的导出函数进行关联的把。
	回复(0) 喜欢(0)

boywhp 驱动中牛注册日期2007-08-09 最后登录2015-04-24 粉丝2 关注0 积分1105分威望515点贡献值0点好评度254点原创分1分专家分0分加关注写私信	地下室^# 发布于：2008-07-31 17:01 Shadow SSDT用户态函数不是在Ntdll中是在user32中，且内部函数不导出
	回复(0) 喜欢(0)

wangjianfeng 驱动小牛注册日期2004-05-28 最后登录2013-10-02 粉丝0 关注0 积分1002分威望263点贡献值0点好评度260点原创分0分专家分0分加关注写私信	5楼^# 发布于：2008-08-01 16:30 SHADOW SSDT在WIN32K.SYS中. 代码在看雪中有人共享了一份.
	回复(0) 喜欢(0)

boywhp

驱动中牛

注册日期2007-08-09
最后登录2015-04-24
粉丝2
关注0
积分1105分
威望515点
贡献值0点
好评度254点
原创分1分
专家分0分

加关注写私信

6楼^#

发布于：2008-08-04 19:45

顺便把搜索Shadow SSDT表的代码共享下，参考MJ的 hoho

PVOID
FindShadowSSDT()
{
   ULONG i;
   for (i=0;i<100;i++)
   {
   PVOID addr = (PVOID)(*(PULONG)((ULONG)KeAddSystemServiceTable + i));
   if (!MmIsAddressValid(addr) ||
   KeServiceDescriptorTable == addr ||
   RtlCompareMemory(addr, KeServiceDescriptorTable, 0x10) != 0x10)
   continue;
   return addr;
   }
   return NULL;
}

回复喜欢

您需要登录后才可以回帖，登录或者注册

最新喜欢：