劫持系统服务调用表需要改读写属性么？

cicada 驱动小牛注册日期2003-12-09 最后登录2008-07-11 粉丝1 关注0 积分74分威望15点贡献值0点好评度7点原创分0分专家分0分加关注写私信	阅读：2551回复：20 劫持系统服务调用表需要改读写属性么？楼主^# 更多只看楼主倒序阅读发布于：2005-04-28 09:42 我在XP和2003下劫持系统服务调用表是和2000下用一样的代码，如下 _asm cli syscall(0xXXX) = newXXX; _asm sti 没有出现问题。那么大侠们所讲的改内存读写属性还需要么？
	喜欢2 最新喜欢： threeb... 回复

bmyyyud

驱动老牛

注册日期2002-02-22
最后登录2010-01-21
粉丝0
关注0
积分1000分
威望130点
贡献值0点
好评度106点
原创分0分
专家分0分

加关注写私信

沙发^#

发布于：2005-04-28 10:03

我在XP和2003下劫持系统服务调用表是和2000下用一样的代码，如下
_asm cli
syscall(0xXXX) = newXXX;
_asm sti
没有出现问题。那么大侠们所讲的改内存读写属性还需要么？

没有出现问题,当然不需要了,其实只要这条指令确实被执行了,那就没事,否则你早Bug Check 0xBE: ATTEMPTED_WRITE_TO_READONLY_MEMORY,但是要验证,确实劫持成功才行,听说2003 sp1不允许这样做了.
把syscall(0xXXX) = newXXX;的上下文贴一下

滚滚长江东逝水　浪花淘尽英雄　是非成败转头空　青山依旧在　几度夕阳红白发渔樵江渚上　惯看秋月春风　一壶浊酒喜相逢　古今多少事　尽付笑谈中

回复喜欢

wowocock

VIP专家组

注册日期2002-04-08
最后登录2016-01-09
粉丝16
关注2
积分601分
威望1651点
贡献值1点
好评度1227点
原创分1分
专家分0分

加关注写私信

板凳^#

发布于：2005-04-28 11:53

在64BIT下得另外想办法.......

花开了，然后又会凋零，星星是璀璨的，可那光芒也会消失。在这样一瞬间，人降生了，笑者，哭着，战斗，伤害，喜悦，悲伤憎恶，爱。一切都只是刹那间的邂逅，而最后都要归入死亡的永眠

回复喜欢

bmyyyud

驱动老牛

注册日期2002-02-22
最后登录2010-01-21
粉丝0
关注0
积分1000分
威望130点
贡献值0点
好评度106点
原创分0分
专家分0分

加关注写私信

地板^#

发布于：2005-04-28 14:54

在64BIT下得另外想办法.......

老大,继续呀!!!!

滚滚长江东逝水　浪花淘尽英雄　是非成败转头空　青山依旧在　几度夕阳红白发渔樵江渚上　惯看秋月春风　一壶浊酒喜相逢　古今多少事　尽付笑谈中

回复喜欢

cicada 驱动小牛注册日期2003-12-09 最后登录2008-07-11 粉丝1 关注0 积分74分威望15点贡献值0点好评度7点原创分0分专家分0分加关注写私信	地下室^# 发布于：2005-04-28 15:09 就这3行代码，没有上下文的。 “64BIT下得另外想办法”是什么意思啊？
	回复(0) 喜欢(0)

tooflat 论坛版主注册日期2002-07-08 最后登录2014-03-11 粉丝2 关注0 积分1007分威望551点贡献值3点好评度476点原创分0分专家分0分加关注写私信	5楼^# 发布于：2005-04-28 17:07 64位下有办法吗
	回复(0) 喜欢(0)

bmyyyud

驱动老牛

注册日期2002-02-22
最后登录2010-01-21
粉丝0
关注0
积分1000分
威望130点
贡献值0点
好评度106点
原创分0分
专家分0分

加关注写私信

6楼^#

发布于：2005-04-29 09:49

就这3行代码，没有上下文的。
“64BIT下得另外想办法”是什么意思啊？

算了，是不是这个
#define SYSCALL(_function) KeServiceDescriptorTable.ServiceTableBase[*(PULONG)((PUCHAR)_function+1)]
“64BIT下得另外想办法”指64位windows不让这样干了，具体还请wowocock讲解一下他最新的研究成果，我们只好纸上谈兵一下

滚滚长江东逝水　浪花淘尽英雄　是非成败转头空　青山依旧在　几度夕阳红白发渔樵江渚上　惯看秋月春风　一壶浊酒喜相逢　古今多少事　尽付笑谈中

回复喜欢

wywwwl

驱动大牛

注册日期2002-08-16
最后登录2018-04-07
粉丝1
关注0
积分-10分
威望135点
贡献值6点
好评度76点
原创分0分
专家分0分

加关注写私信

7楼^#

发布于：2005-04-29 22:06

[quote]在64BIT下得另外想办法.......

老大,继续呀!!!! [/quote]

好像 rising 解决了，不知道是真的还是假的。

2003 server ＋sp1 ＋32位cpu 也不能用吗？

琢磨悟真知

回复喜欢

cicada 驱动小牛注册日期2003-12-09 最后登录2008-07-11 粉丝1 关注0 积分74分威望15点贡献值0点好评度7点原创分0分专家分0分加关注写私信	8楼^# 发布于：2005-05-01 10:25 bmyyyud，就是你说的这个。
	回复(0) 喜欢(0)

bmyyyud

驱动老牛

注册日期2002-02-22
最后登录2010-01-21
粉丝0
关注0
积分1000分
威望130点
贡献值0点
好评度106点
原创分0分
专家分0分

加关注写私信

9楼^#

发布于：2005-05-01 16:41

bmyyyud，就是你说的这个。

嘻嘻，这就是说你成功了！

滚滚长江东逝水　浪花淘尽英雄　是非成败转头空　青山依旧在　几度夕阳红白发渔樵江渚上　惯看秋月春风　一壶浊酒喜相逢　古今多少事　尽付笑谈中

回复喜欢

cicada 驱动小牛注册日期2003-12-09 最后登录2008-07-11 粉丝1 关注0 积分74分威望15点贡献值0点好评度7点原创分0分专家分0分加关注写私信	10楼^# 发布于：2005-05-02 22:22 是成功了，可是没有涉及到更改内存属性的问题，不知道有没有隐患？
	回复(0) 喜欢(0)

bmyyyud

驱动老牛

注册日期2002-02-22
最后登录2010-01-21
粉丝0
关注0
积分1000分
威望130点
贡献值0点
好评度106点
原创分0分
专家分0分

加关注写私信

11楼^#

发布于：2005-05-03 11:42

是成功了，可是没有涉及到更改内存属性的问题，不知道有没有隐患？

嘻嘻,当然有了,如果你在Xp下的话,没有猜错的话,你肯定有Softice在工作,它帮了你,在启动时按ESC,将Softice不加载试试,应该出Bug Check 0xBE: ATTEMPTED_WRITE_TO_READONLY_MEMORY兰屏

滚滚长江东逝水　浪花淘尽英雄　是非成败转头空　青山依旧在　几度夕阳红白发渔樵江渚上　惯看秋月春风　一壶浊酒喜相逢　古今多少事　尽付笑谈中

回复喜欢

cicada

驱动小牛

注册日期2003-12-09
最后登录2008-07-11
粉丝1
关注0
积分74分
威望15点
贡献值0点
好评度7点
原创分0分
专家分0分

加关注写私信

12楼^#

发布于：2005-05-08 22:41

[quote]是成功了，可是没有涉及到更改内存属性的问题，不知道有没有隐患？

嘻嘻,当然有了,如果你在Xp下的话,没有猜错的话,你肯定有Softice在工作,它帮了你,在启动时按ESC,将Softice不加载试试,应该出Bug Check 0xBE: ATTEMPTED_WRITE_TO_READONLY_MEMORY兰屏 [/quote]
是吗？我试试。万分感谢提醒。

回复喜欢

wowocock

VIP专家组

注册日期2002-04-08
最后登录2016-01-09
粉丝16
关注2
积分601分
威望1651点
贡献值1点
好评度1227点
原创分1分
专家分0分

加关注写私信

13楼^#

发布于：2005-05-09 11:52

根据微软的说法是如果要在64BIT,下那么做的话,可以和微软私下联系,没有公开的方法,我测试过,64BIT下的SERVIVETABLE好象有问题,你无法通过KESERVICEDESCRIPAORTABLE来获得正确的SERVICE TABLE的地址.

花开了，然后又会凋零，星星是璀璨的，可那光芒也会消失。在这样一瞬间，人降生了，笑者，哭着，战斗，伤害，喜悦，悲伤憎恶，爱。一切都只是刹那间的邂逅，而最后都要归入死亡的永眠

回复喜欢

wowocock

VIP专家组

注册日期2002-04-08
最后登录2016-01-09
粉丝16
关注2
积分601分
威望1651点
贡献值1点
好评度1227点
原创分1分
专家分0分

加关注写私信

14楼^#

发布于：2005-05-09 11:54

#define SYSCALL(_function) KeServiceDescriptorTable.ServiceTableBase[*(PULONG)((PUCHAR)_function+1)]
在６４ＢＩＴ下那么做，蓝屏没商量．
而且ＮＴＤＬＬ，和ＮＴＯＳＫＲＮＬ的服务函数汇编代码完全不同，所以必须动态获得的地址．．．．．．

花开了，然后又会凋零，星星是璀璨的，可那光芒也会消失。在这样一瞬间，人降生了，笑者，哭着，战斗，伤害，喜悦，悲伤憎恶，爱。一切都只是刹那间的邂逅，而最后都要归入死亡的永眠

回复喜欢

bmyyyud

驱动老牛

注册日期2002-02-22
最后登录2010-01-21
粉丝0
关注0
积分1000分
威望130点
贡献值0点
好评度106点
原创分0分
专家分0分

加关注写私信

15楼^#

发布于：2005-05-09 12:08

而且ＮＴＤＬＬ，和ＮＴＯＳＫＲＮＬ的服务函数汇编代码完全不同，所以必须动态获得的地址．．．．．．

这是什么意思,请老大明示,偶等洗耳恭听!!!

滚滚长江东逝水　浪花淘尽英雄　是非成败转头空　青山依旧在　几度夕阳红白发渔樵江渚上　惯看秋月春风　一壶浊酒喜相逢　古今多少事　尽付笑谈中

回复喜欢

bmyyyud

驱动老牛

注册日期2002-02-22
最后登录2010-01-21
粉丝0
关注0
积分1000分
威望130点
贡献值0点
好评度106点
原创分0分
专家分0分

加关注写私信

16楼^#

发布于：2005-05-09 16:01

#define SYSCALL(_function) KeServiceDescriptorTable.ServiceTableBase[*(PULONG)((PUCHAR)_function+1)]
在６４ＢＩＴ下那么做，蓝屏没商量．
而且ＮＴＤＬＬ，和ＮＴＯＳＫＲＮＬ的服务函数汇编代码完全不同，所以必须动态获得的地址．．．．．．

现在老大总是只说半句话,偶们知道老大一个人在64bitWindows中游弋,高出不胜寒呀,有空儿给大家上一课

滚滚长江东逝水　浪花淘尽英雄　是非成败转头空　青山依旧在　几度夕阳红白发渔樵江渚上　惯看秋月春风　一壶浊酒喜相逢　古今多少事　尽付笑谈中

回复喜欢

yunyanrong 驱动小牛注册日期2003-04-18 最后登录2013-03-02 粉丝0 关注0 积分1040分威望457点贡献值1点好评度90点原创分0分专家分0分加关注写私信	17楼^# 发布于：2005-05-12 10:51 是啊，我等再次领略云里雾里的感觉！一个字：蒙！
	图片：2005-05-12_p2.gif 回复(0) 喜欢(0)

cicada 驱动小牛注册日期2003-12-09 最后登录2008-07-11 粉丝1 关注0 积分74分威望15点贡献值0点好评度7点原创分0分专家分0分加关注写私信	18楼^# 发布于：2005-05-12 17:41 wowocock是怎样练成的？
	回复(0) 喜欢(0)

bmyyyud

驱动老牛

注册日期2002-02-22
最后登录2010-01-21
粉丝0
关注0
积分1000分
威望130点
贡献值0点
好评度106点
原创分0分
专家分0分

加关注写私信

19楼^#

发布于：2005-05-13 08:57

wowocock是怎样练成的？

偶现在有AMD64手册,给偶一个64bit CPU,偶也...

滚滚长江东逝水　浪花淘尽英雄　是非成败转头空　青山依旧在　几度夕阳红白发渔樵江渚上　惯看秋月春风　一壶浊酒喜相逢　古今多少事　尽付笑谈中

回复喜欢

您需要登录后才可以回帖，登录或者注册

劫持系统服务调用表需要改读写属性么？

最新喜欢：