请问怎样查找SSDT中的索引ID1000以上的函数的地址（NtUserValidateHandleSecure）

楼主^#

更多发布于：2008-02-19 23:23

索引id没有错，我跟过的，是mov eax, 1248 callxxxxxx --> mov edx,esp sysenter
dd 8080d8b0+1248*4应该是没有错的，但是之后dd 21ae830f却不对了（内容空）

过程如下：

lkd> dd KeServiceDescriptorTable
8088a500 8080d8b0 00000000 0000011c 80840fc4
8088a510 00000000 00000000 00000000 00000000
8088a520 00000000 00000000 00000000 00000000
8088a530 00000000 00000000 00000000 00000000
8088a540 00000002 00002710 bf80c227 00000000
8088a550 f8cbca80 f86f74a0 83adfa90 80a38040
8088a560 00000000 00000000 ffea8ad6 ffffffff
8088a570 094c9316 01c872f6 00000000 00000000
lkd> dd 8080d8b0+1248*4
808121d0 21ae830f 558b0001 8153e80c c25dffff
808121e0 90900008 8b909090 ec8b55ff 08758b56
808121f0 8b0c46ff 8113e8ce c085ffff e25e840f
80812200 5d5e0000 900004c2 ffffffff 80930288
80812210 80930291 ffffffff 00000000 808a3594
80812220 ffffffff 00000000 80930168 90909090
80812230 ffffffff 8092ee28 8092ee3b 8bf3b70f
80812240 0fc72bc6 d233c2af 0007d0bb 83f3f700
lkd> dd 21ae830f
21ae830f ???????? ???????? ???????? ????????
21ae831f ???????? ???????? ???????? ????????
21ae832f ???????? ???????? ???????? ????????
21ae833f ???????? ???????? ???????? ????????
21ae834f ???????? ???????? ???????? ????????
21ae835f ???????? ???????? ???????? ????????
21ae836f ???????? ???????? ???????? ????????
21ae837f ???????? ???????? ???????? ????????

所以我疑惑了，感觉是不是不是1248*4不应该是乘以四？我感觉这也太大了。。。
翻一下资料Windows XP Build 2600 System Services 中索引编号是这样排列的：
0000~00FF
0100~011B
1000~1299
索引号并不是连续的，所以我感觉直接用1248*4十分不妥。
接着我直接数了NtUserValidateHandleSecure的顺位（第几个）
然后用dd 8080d8b0+顺位数*4，感觉也不对。

那就最后请问各位,如何找到索引编号为1248的函数NtUserValidateHandleSecure的地址？

喜欢0

驱网无线，快乐无限

wynney 驱动牛犊注册日期2007-05-02 最后登录2009-02-14 粉丝0 关注0 积分1分威望7点贡献值0点好评度5点原创分0分专家分0分加关注写私信	沙发^# 发布于：2008-02-23 01:38 顶起，同问！~~
	回复(0) 喜欢(0)

WQXNETQIQI

驱动大牛

注册日期2006-06-12
最后登录2010-10-26
粉丝0
关注0
积分13分
威望1076点
贡献值0点
好评度895点
原创分1分
专家分0分

加关注写私信

板凳^#

发布于：2008-02-23 17:25

>1000的是shadow表的序号，在要在ShadowSSDT中找，在shadow表中要-1000,然后*4

驱动开发者呵呵

回复喜欢

WQXNETQIQI

驱动大牛

注册日期2006-06-12
最后登录2010-10-26
粉丝0
关注0
积分13分
威望1076点
贡献值0点
好评度895点
原创分1分
专家分0分

加关注写私信

地板^#

发布于：2008-02-23 17:33

lkd> dd KeServiceDescriptorTable-0x40
80553340 805021fc 00000000 0000011c 80502670
80553350 bf999280 00000000 0000029b bf999f90
80553360 00000000 00000000 00000000 00000000
80553370 00000000 00000000 00000000 00000000
80553380 805021fc 00000000 0000011c 80502670
80553390 00000000 00000000 00000000 00000000
805533a0 00000000 00000000 00000000 00000000
805533b0 00000000 00000000 00000000 00000000
lkd> dd bf999280+248*4
bf999ba0 f747bc20 f747bc2a f747bc34 f747bc3e
bf999bb0 f747bc48 f747bc52 f747bc5c f747bc66
bf999bc0 f747bc70 f747bc7a f747bc84 f747bc8e
bf999bd0 f747bc98 f747bca2 f747bcac f747bcb6
bf999be0 f747bcc0 f747bcca f747bcd4 f747bcde
bf999bf0 f747bce8 f747bcf2 f747bcfc f747bd06
bf999c00 f747bd10 f747bd1a f747bd24 f747bd2e
bf999c10 f747bd38 f747bd42 f747bd4c f747bd56
lkd> u f747bc20
f747bc20 b848120000 mov eax,1248h
f747bc25 e926b3feff jmp f7466f50
f747bc2a b849120000 mov eax,1249h
f747bc2f e91cb3feff jmp f7466f50
f747bc34 b84a120000 mov eax,124Ah
f747bc39 e912b3feff jmp f7466f50
f747bc3e b84b120000 mov eax,124Bh
f747bc43 e908b3feff jmp f7466f50

驱动开发者呵呵

回复喜欢

wynney 驱动牛犊注册日期2007-05-02 最后登录2009-02-14 粉丝0 关注0 积分1分威望7点贡献值0点好评度5点原创分0分专家分0分加关注写私信	地下室^# 发布于：2008-02-24 00:46 2000 2195下0x231 XP 2600下 0x248 2003 3790 SP0/SP1下 0x244
	回复(0) 喜欢(0)

您需要登录后才可以回帖，登录或者注册

请问怎样查找SSDT中的索引ID1000以上的函数的地址（NtUserValidateHandleSecure）

最新喜欢：