//VS2005创建的工程,系统xp sp2

//++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

//stdafx.h文件

#ifndef _WIN32_WINNT		// Allow use of features specific to Windows XP or later.

#define _WIN32_WINNT 0x0501	// Change this to the appropriate value to target other versions of Windows.

#endif						

#ifdef __cplusplus

extern "C"

{

#endif

#include <ntddk.h>

#include <ntddstor.h>

#include <mountdev.h>

#include <ntddvol.h>

//注意:全局变量要在这里定义

//系统服务描述符表-在ntoskrnl.exe中导出KeServiceDescriptorTable这个表

#pragma pack(1)

typedef struct _ServiceDescriptorTable

{

	//System Service Dispatch Table的基地址

	PVOID ServiceTableBase;

	//SSDT中每个服务被调用次数的计数器。这个计数器一般由sysenter 更新。

	PVOID ServiceCounterTable;

	//由 ServiceTableBase 描述的服务的数目。

	unsigned int NumberOfServices;

	//每个系统服务参数字节数表的基地址-系统服务参数表SSPT

	PVOID ParamTableBase;

}*PServiceDescriptorTable;

#pragma pack()

//导出系统服务描述符表SSDT的指针

extern  PServiceDescriptorTable  KeServiceDescriptorTable; 

#ifdef __cplusplus

}

#endif

//++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

//ReadSsdtForFuntion.cpp文件

#include "stdafx.h"

//由SSDT索引号获取当前函数地址,如:

//NtOpenProcess  [[KeServiceDescriptorTable]+0x7A*4]  

void ReadSsdtForFuntionUnload(IN PDRIVER_OBJECT DriverObject);

NTSTATUS ReadSsdtForFuntionCreateClose(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp);

NTSTATUS ReadSsdtForFuntionDefaultHandler(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp);

//1.纯汇编读取内核函数的地址

LONG GetFunctionAddr_ASM(PServiceDescriptorTable KeServiceDescriptorTable, LONG lgSsdtIndex);

//2.用指针读取内核函数的地址

LONG GetFunticonAddr(PServiceDescriptorTable KeServiceDescriptorTable, LONG lgSsdtIndex);

#ifdef __cplusplus

extern "C" NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING  RegistryPath);

#endif

NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING  RegistryPath)

{

	UNICODE_STRING DeviceName,Win32Device;

	PDEVICE_OBJECT DeviceObject = NULL;

	NTSTATUS status;

	unsigned i;

	//SSDT表的范围

	LONG lgSsdtNumber = -1;

	RtlInitUnicodeString(&DeviceName,L"\\Device\\ReadSsdtForFuntion0");

	RtlInitUnicodeString(&Win32Device,L"\\DosDevices\\ReadSsdtForFuntion0");

	//设置默认处理例程

	for (i = 0; i <= IRP_MJ_MAXIMUM_FUNCTION; i++)

		DriverObject->MajorFunction[i] = ReadSsdtForFuntionDefaultHandler;

	//设置创建例程

	DriverObject->MajorFunction[IRP_MJ_CREATE] = ReadSsdtForFuntionCreateClose;

	//设置关闭例程

	DriverObject->MajorFunction[IRP_MJ_CLOSE] = ReadSsdtForFuntionCreateClose;

	//设置卸载例程

	DriverObject->DriverUnload = ReadSsdtForFuntionUnload;

	//创建设备对象

	status = IoCreateDevice(DriverObject,

							0,

							&DeviceName,

							FILE_DEVICE_UNKNOWN,

							0,

							FALSE,

							&DeviceObject);

	if (!NT_SUCCESS(status))

		return status;

	if (!DeviceObject)

		return STATUS_UNEXPECTED_IO_ERROR;

	DeviceObject->Flags |= DO_DIRECT_IO;

	DeviceObject->AlignmentRequirement = FILE_WORD_ALIGNMENT;

	//创建符号连接

	status = IoCreateSymbolicLink(&Win32Device, &DeviceName);

	if (!NT_SUCCESS(status))

		return status;

	//初始化完成,可以工作了

	DeviceObject->Flags &= ~DO_DEVICE_INITIALIZING;

	//设置测试断点

	__asm int 3

	//获取SSDT表的范围

	lgSsdtNumber = KeServiceDescriptorTable->NumberOfServices;

	//使用方法1.遍历SSDT

	KdPrint(("使用方法1.遍历SSDT\r\n"));

	for (i = 0; i < lgSsdtNumber; i++)

	{

		KdPrint(("Index:%04X--FunAddr:%08X\r\n", i, GetFunctionAddr_ASM(KeServiceDescriptorTable, i)));

	}

	//使用方法2.遍历SSDT

	KdPrint(("使用方法2.遍历SSDT\r\n"));

	for (i = 0; i < lgSsdtNumber; i++)

	{

		KdPrint(("Index:%04X--FunAddr:%08X\r\n", i, GetFunticonAddr(KeServiceDescriptorTable, i)));

	}

	return STATUS_SUCCESS;

}

//1.使用汇编的方法读取内核函数的地址

LONG GetFunctionAddr_ASM(PServiceDescriptorTable KeServiceDescriptorTable, LONG lgSsdtIndex)

{

	LONG lgSsdtFunAddr = 0;

	//lgSsdtFunAddr = [[KeServiceDescriptorTable]+lgSsdtIndex*4]

	__asm

	{

		push ebx

		push eax

		mov ebx, KeServiceDescriptorTable

		mov ebx, [ebx]	//SSDT表的基地址

		mov eax, lgSsdtIndex

		shl eax, 2

		add ebx, eax

		mov ebx, [ebx]

		mov lgSsdtFunAddr, ebx

		pop  eax

		pop  ebx

	}

	return lgSsdtFunAddr;

}

//2.使用指针的方法获取函数的地址

LONG GetFunticonAddr(PServiceDescriptorTable KeServiceDescriptorTable, LONG lgSsdtIndex)

{

	LONG lgSsdtAddr = 0;

	//获取SSDT表的基址

	lgSsdtAddr = (LONG)KeServiceDescriptorTable->ServiceTableBase;

	PLONG plgSsdtFunAddr = 0;

	//获取内核函数的地址指针

	plgSsdtFunAddr = (PLONG)(lgSsdtAddr+lgSsdtIndex*4);

	//返回内核函数的地址

	return (*plgSsdtFunAddr);

}

void ReadSsdtForFuntionUnload(IN PDRIVER_OBJECT DriverObject)

{

	UNICODE_STRING Win32Device;

	RtlInitUnicodeString(&Win32Device,L"\\DosDevices\\ReadSsdtForFuntion0");

	IoDeleteSymbolicLink(&Win32Device);

	IoDeleteDevice(DriverObject->DeviceObject);

}

NTSTATUS ReadSsdtForFuntionCreateClose(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp)

{

	Irp->IoStatus.Status = STATUS_SUCCESS;

	Irp->IoStatus.Information = 0;

	IoCompleteRequest(Irp, IO_NO_INCREMENT);

	return STATUS_SUCCESS;

}

NTSTATUS ReadSsdtForFuntionDefaultHandler(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp)

{

	Irp->IoStatus.Status = STATUS_NOT_SUPPORTED;

	Irp->IoStatus.Information = 0;

	IoCompleteRequest(Irp, IO_NO_INCREMENT);

	return Irp->IoStatus.Status;

}

//参考资料:

//郁金香老师讲课资料

SSDT表的遍历的更多相关文章

  1. SSDT表概念具体解释

    SSDT 的全称是 System Services Descriptor Table,系统服务描写叙述符表. 这个表就是一个把 Ring3 的 Win32 API 和 Ring0 的内核 API 联系 ...

  2. SSDT表概念详解

    SSDT 的全称是 System Services Descriptor Table,系统服务描述符表. 这个表就是一个把 Ring3 的 Win32 API 和 Ring0 的内核 API 联系起来 ...

  3. Lua 多维表的遍历中的赋值

    说到Lua的遍历将要使用到循环:先说遍历再说循环: 遇到这样类似结构的一个table Data={ []={p1=,pa={,,}}, []={p1=,pa={,,}}, []={p1=,pa={,, ...

  4. SSDT表详解

    SSDT(system service dispatch table) 系统服务分派表 SSPT(system service parameter table) 系统服务参数表 #pragma pac ...

  5. 内核知识第12讲,SSDT表.以用户模式到系统模式的两种方式.

    内核知识第12讲,SSDT表.以用户模式到系统模式的两种方式. 一丶IDT解析. 我们知道.IDT表中存放着各种中断信息.比如当我们调用int 3的时候,则会调用IDT表中的第三项来进行调用. 而函数 ...

  6. 64位内核开发第四讲,查看SSDT表与showSSDT表

    目录 SSDt表与ShadowSSDT表的查看. 一丶SSDT表 1.什么是SSDT表 2.查看步骤 二丶ShadowSSDT表 1.什么是ShadowSSDT表 2.如何查看. 三丶工具介绍 SSD ...

  7. SSDT表函数Hook原理

    其实 SSDT Hook 的原理是很简单的,我们可以知道在 SSDT 这个数组中呢,保存了系统服务的地址,比如对于 Ring0 下的 NtQuerySystemInformation 这个系统服务的地 ...

  8. SSDT表结构的深入学习

    SSDT表的知识目录: A.了解SSDT结构 B.由SSDT索引号获取当前函数地址        C.如何获取索引号 D.获取起源地址-判断SSDT是否被HOOK E.如何向内核地址写入自己代码 A. ...

  9. 驱动开发:Win10内核枚举SSDT表基址

    三年前面朝黄土背朝天的我,写了一篇如何在Windows 7系统下枚举内核SSDT表的文章<驱动开发:内核读取SSDT表基址>三年过去了我还是个单身狗,开个玩笑,微软的Windows 10系 ...

随机推荐

  1. 9.Vue之webpack打包基础---模块化思维

    主要内容: 1. 什么是模块化思维? 2.  ES6包的封装思想 一.什么是模块化思维呢? 现实工作中, 一个项目可能会有多个人同时开发. 然后, 将所有人开发的内容, 合并到一个文件中. 比如: 1 ...

  2. Python爬虫系统化学习(5)

    Python爬虫系统化学习(5) 多线程爬虫,在之前的网络编程中,我学习过多线程socket进行单服务器对多客户端的连接,通过使用多线程编程,可以大大提升爬虫的效率. Python多线程爬虫主要由三部 ...

  3. LNMP配置——Nginx配置 —— 配置静态文件不记录日志并添加过期时间

    一.配置 #vi /usr/local/nginx/conf/vhost/test.com.conf 写入; server { listen 80; server_name test.com test ...

  4. windows程序员开发linux程序的头一个月

    开发环境选择 vim,vscode,qt,visual studio都可以做linux c++开发,但是作为windows程序员,最熟悉的还是visual stuio,加上visual studio ...

  5. CSS水平布局

    1 <!DOCTYPE html> 2 <html lang="en"> 3 <head> 4 <meta charset="U ...

  6. Python3+Pygame实现的射击游戏,很流畅,有音效

    之前看到过很多人写的飞机大战,当然了之前我也写过多个版本,总体来说功能是实现了,但总感觉不够"炫" 今天浏览Python资料的时候,意外发现了这个很好的"射击" ...

  7. Python的多进程和多线程

    进程和线程 进程是系统进行资源分配的最小单位,线程是系统进行调度执行的最小单位: 一个应用程序至少包含一个进程,一个进程至少包含一个线程: 每个进程在执行过程中拥有独立的内存空间,而一个进程中的线程之 ...

  8. Python基础之异常定义

    技术背景 在各类python的项目中,总会涉及到项目自身相关的一些约束条件.这些约束条件体现在,当用户输入的参数或者文件不符合项目要求时,就拒绝这个参数的输入并且播报出来,提醒用户自行修改,而这一过程 ...

  9. Java中的集合List - 入门篇

    前言 大家好啊,我是汤圆,今天给大家带来的是<Java中的集合List - 入门篇>,希望对大家有帮助,谢谢 简介 说实话,Java中的集合有很多种,但是这里作为入门级别,先简单介绍第一种 ...

  10. LiteOS内核源码分析:任务LOS_Schedule

    摘要:调度,Schedule也称为Dispatch,是操作系统的一个重要模块,它负责选择系统要处理的下一个任务.调度模块需要协调处于就绪状态的任务对资源的竞争,按优先级策略从就绪队列中获取高优先级的任 ...