首先选择一个带界面的程序explorer.exe进行附加
kd> !process   explorer.exe

PROCESS ffff86893dd075c0

SessionId:  Cid: 0d48 Peb: 00d50000 ParentCid: 0d30

DirBase: 42d9a000 ObjectTable: ffffe28598bb1800 HandleCount: .

Image: explorer.exe
读取msr = 0xC0000082的值
kd> .process ffff86893dd075c0

Implicit process is now ffff8689`3dd075c0

WARNING: .cache forcedecodeuser is not enabled

kd> rdmsr 0xc0000082

msr[c0000082] = fffff803`201f7280
对读取的值进行反汇编,找到 KeServiceDescriptorTableShadow 的地址
kd> u fffff803`201f7280 l50

nt!KiSystemCall64:

fffff803`201f7280 0f01f8 swapgs

fffff803`201f7283  mov qword ptr gs:[10h],rsp

fffff803`201f728c 65488b2425a8010000 mov rsp,qword ptr gs:[1A8h]

fffff803`201f7295 6a2b push 2Bh

fffff803`201f7297 65ff342510000000 push qword ptr gs:[10h]

fffff803`201f729f  push r11

fffff803`201f72a1 6a33 push 33h

fffff803`201f72a3  push rcx

fffff803`201f72a4 498bca mov rcx,r10

fffff803`201f72a7 4883ec08 sub rsp,

fffff803`201f72ab  push rbp

fffff803`201f72ac 4881ec58010000 sub rsp,158h

fffff803`201f72b3 488dac2480000000 lea rbp,[rsp+80h]

fffff803`201f72bb 48899dc0000000 mov qword ptr [rbp+0C0h],rbx

fffff803`201f72c2 4889bdc8000000 mov qword ptr [rbp+0C8h],rdi

fffff803`201f72c9 4889b5d0000000 mov qword ptr [rbp+0D0h],rsi

nt!KiSystemServiceUser:

fffff803`201f72d0 c645ab02 mov byte ptr [rbp-55h],

fffff803`201f72d4 65488b1c2588010000 mov rbx,qword ptr gs:[188h]

fffff803`201f72dd 0f0d8b90000000 prefetchw [rbx+90h]

fffff803`201f72e4 0fae5dac stmxcsr dword ptr [rbp-54h]

fffff803`201f72e8 650fae142580010000 ldmxcsr dword ptr gs:[180h]

fffff803`201f72f1 807b0300 cmp byte ptr [rbx+],

fffff803`201f72f5 66c785800000000000 mov word ptr [rbp+80h],

fffff803`201f72fe 0f84b1000000 je nt!KiSystemServiceUser+0xe5 (fffff803`201f73b5)

fffff803`201f7304 488945b0 mov qword ptr [rbp-50h],rax

fffff803`201f7308 48894db8 mov qword ptr [rbp-48h],rcx

fffff803`201f730c 488955c0 mov qword ptr [rbp-40h],rdx

fffff803`201f7310 f6430303 test byte ptr [rbx+],

fffff803`201f7314 4c8945c8 mov qword ptr [rbp-38h],r8

fffff803`201f7318 4c894dd0 mov qword ptr [rbp-30h],r9

fffff803`201f731c  je nt!KiSystemServiceUser+0x53 (fffff803`201f7323)

fffff803`201f731e e80d53ffff call nt!KiSaveDebugRegisterState (fffff803`201ec630)

fffff803`201f7323 f6430304 test byte ptr [rbx+],

fffff803`201f7327 742e je nt!KiSystemServiceUser+0x87 (fffff803`201f7357)

fffff803`201f7329 4c8955e0 mov qword ptr [rbp-20h],r10

fffff803`201f732d 4c8955d8 mov qword ptr [rbp-28h],r10

fffff803`201f7331 0f2945f0 movaps xmmword ptr [rbp-10h],xmm0

fffff803`201f7335 0f294d00 movaps xmmword ptr [rbp],xmm1

fffff803`201f7339 0f295510 movaps xmmword ptr [rbp+10h],xmm2

fffff803`201f733d 0f295d20 movaps xmmword ptr [rbp+20h],xmm3

fffff803`201f7341 0f296530 movaps xmmword ptr [rbp+30h],xmm4

fffff803`201f7345 0f296d40 movaps xmmword ptr [rbp+40h],xmm5

fffff803`201f7349 fb sti

fffff803`201f734a 488bcc mov rcx,rsp

fffff803`201f734d e89e105a00 call nt!PsPicoSystemCallDispatch (fffff803`207983f0)

fffff803`201f7352 e900040000 jmp nt!KiSystemServiceExitPico (fffff803`201f7757)

fffff803`201f7357 f6430380 test byte ptr [rbx+],80h

fffff803`201f735b  je nt!KiSystemServiceUser+0xc6 (fffff803`201f7396)

fffff803`201f735d b9020100c0 mov ecx,0C0000102h

fffff803`201f7362 0f32 rdmsr

fffff803`201f7364 48c1e220 shl rdx,20h

fffff803`201f7368 480bc2 or rax,rdx

fffff803`201f736b 483983f0000000 cmp qword ptr [rbx+0F0h],rax

fffff803`201f7372  je nt!KiSystemServiceUser+0xc6 (fffff803`201f7396)

fffff803`201f7374 488b93f0010000 mov rdx,qword ptr [rbx+1F0h]

fffff803`201f737b 0fba6b7408 bts dword ptr [rbx+74h],

fffff803`201f7380 66ff8be6010000 dec word ptr [rbx+1E6h]

fffff803`201f7387  mov qword ptr [rdx+80h],rax

fffff803`201f738e fb sti

fffff803`201f738f e8ac0f0000 call nt!KiUmsCallEntry (fffff803`201f8340)

fffff803`201f7394 eb0b jmp nt!KiSystemServiceUser+0xd1 (fffff803`201f73a1)

fffff803`201f7396 f6430340 test byte ptr [rbx+],40h

fffff803`201f739a  je nt!KiSystemServiceUser+0xd1 (fffff803`201f73a1)

fffff803`201f739c 0fba6b7410 bts dword ptr [rbx+74h],10h

fffff803`201f73a1 488b45b0 mov rax,qword ptr [rbp-50h]

fffff803`201f73a5 488b4db8 mov rcx,qword ptr [rbp-48h]

fffff803`201f73a9 488b55c0 mov rdx,qword ptr [rbp-40h]

fffff803`201f73ad 4c8b45c8 mov r8,qword ptr [rbp-38h]

fffff803`201f73b1 4c8b4dd0 mov r9,qword ptr [rbp-30h]

fffff803`201f73b5 fb sti

fffff803`201f73b6 48898b88000000 mov qword ptr [rbx+88h],rcx

fffff803`201f73bd  mov dword ptr [rbx+80h],eax

fffff803`201f73c3 66666666660f1f840000000000 nop word ptr [rax+rax]

nt!KiSystemServiceStart:

fffff803`201f73d0 4889a390000000 mov qword ptr [rbx+90h],rsp

fffff803`201f73d7 8bf8 mov edi,eax

fffff803`201f73d9 c1ef07 shr edi,

fffff803`201f73dc 83e720 and edi,20h

fffff803`201f73df 25ff0f0000 and eax,0FFFh

nt!KiSystemServiceRepeat:

fffff803`201f73e4 4c8d1595142a00 lea r10,[nt!KeServiceDescriptorTable (fffff803`)]

fffff803`201f73eb 4c8d1dcea22800 lea r11,[nt!KeServiceDescriptorTableShadow (fffff803`204816c0)]
KeServiceDescriptorTableShadow 是两张表,第一张是KeServiceDescriptorTable, 第二张才是Shadow SSDT的
kd> dq KeServiceDescriptorTableShadow

fffff803`204816c0 fffff803`203d1b40 `

fffff803`204816d0 `000001cc fffff803`203d2274

fffff803`204816e0 ffff8063`9353d000 `

fffff803`204816f0 ` ffff8063`9353e6fc

fffff803` fffff803`203d1b40 `

fffff803` `000001cc fffff803`203d2274

fffff803` ffff8063`9353eba0 `

fffff803` ` ffff8063`9354029c
dd命令,找到的就是Shadow SSDT函数相对于Shadow SSDT Table的偏移
kd> dd ffff8063`9353d000

ffff8063`9353d000 ffa4a4c0 ffa4a580 ffa4a640 ffa4a700

ffff8063`9353d010 ffa4a7c1 ffa4a880 ffa4a940 ffa4aa00

ffff8063`9353d020 ffa4aac0 ffa4ab80 ffa4ac43 ffa4ad07

ffff8063`9353d030 ffa4adc0 ffa4ae80 ffa4af40 ffa4b000

ffff8063`9353d040 ffa4b0c0 ffa4b180 ffa4b240 ffa4b300

ffff8063`9353d050 ffa4b3c0 ffa4b480 ffa4b540 ffa4b600

ffff8063`9353d060 ffa4b6c0 ffa4b780 ffa4b840 ffa4b901

ffff8063`9353d070 ffa4b9c0 ffa4ba80 ffa4bb40 ffa4bc04

64位使用windbg获取Shadow SSDT的更多相关文章

  1. Shadow SSDT详解、WinDbg查看Shadow SSDT

    一.获取ShadowSSDT 好吧,我们已经在R3获取SSDT的原始地址及SDT.SST.KiServiceTbale的关系里面提到:所有的SST都保存在系统服务描述表(SDT)中.系统中一共有两个S ...

  2. 32位程序在64位系统上获取系统安装时间(要使用KEY_WOW64_64KEY标记)

    众所周知,取系统的安装时间可取注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion的子项InstallDate,此值是个 ...

  3. 两种方法获取shadow ssdt

    ULONG GetShadowSsdtCurrentAddresses( PSSDT_ADDRESS   AddressInfo, PULONG          Length ) { PSYSTEM ...

  4. 32位和64位系统内核函数调用从ZwProtectVirtualMemory到NtProtectVirtualMemory

    0x01 前言 我们知道R3层中,Zw系列函数和Nt系列函数函数是一样的,但是在内核Zw系列函数调用了Nt系列函数,但是为什么要在内核设置一个Zw系列函数而不是直接调用Nt函数呢?Zw系列函数又是怎么 ...

  5. [转载]使用32位64位交叉编码混淆来打败静态和动态分析工具 - wildsator

    0×00 摘要 混淆是一种能增加二进制分析和逆向工程难度与成本的常用技术.主流的混淆技术都是着眼于使用与目标CPU相同的机器代码,在相同的处理器模式下,隐藏代码并进行控制.本文中引入了一种新的混淆方法 ...

  6. win7(64)位下WinDbg64调试VMware10下的win7(32位)

    win7(64)位下WinDbg64调试VMware10下的win7(32位) 一 Windbg32位还是64位的选择 参考文档<Windbg 32位版本和64位版本的选择> http:/ ...

  7. 64 位 Windows 平台开发注意要点之文件系统重定向

    Program Files 的重定向 很多开发人员都知道,在 64 位 Windows 系统上,32 位程序是无法获取得到 C:\Program Files 的完整路径的,只能获取到 C:\Progr ...

  8. wow64 32位进程中切换64位模式,取回64位寄存器值

    32位dbg中编辑的: 7711E9D3 | 6A | | 7711E9D5 | E8 | 7711E9DA | | | 7711E9DE | CB | ret far | 6A E8 CB 64位d ...

  9. Windbg 调试工具32位/64位版本下载

    最新的Windbg调试工具32位/64位版本越来越不好下载了,这里通过CSDN的渠道给大家一个下载地址,帮助大家更好下载工具: https://github.com/EasyDarwin/Tools/ ...

随机推荐

  1. php 图像处理库ImageMagick windows下的安装

    http://blog.sina.com.cn/s/blog_966e43000101bgqj.html

  2. Tempdb--monitoring and troubleshooting

    TempDB用来存放临时表.全局临时表.表变量以及排序或HASH等操作引发的中间结果集 TempDB在每次实例重启时重新创建,TempDB数据库文件的初始化大小取决于Model数据库的文件大小或显示A ...

  3. python实现注册登录小程序

    用python 实现模拟注册和登录的程序:用户信息最终以字典的格式储存在一个txt文件里,具体实现如下: users.txt里用户字典格式如下: { '}, '}, '} } # 注册 f = ope ...

  4. WebLogic 两处任意文件上传漏洞动态分析(CVE-2018-2894)

    0x01 前言 CNCERT前几天发公告称发现Oracle公司出品的基于JavaEE结构的中间件WebLogic产品存在一个远程上传漏洞,并得到了厂商的确认,危害程度评分高达9.8分.鉴于厂商已进行了 ...

  5. 配置AndroidStdio的开发环境

    http://blog.csdn.net/siwuxie095/article/details/53431818

  6. ClamAV学习【9】——cvd文件解析及cli_untgz函数浏览

    这个cli_untgz函数,是用来解压CVD文件的. 那么,就刚先搞清楚CVD文件的功能作用.下了源码,我们会发现,没有前面提到的*.mdb或者*.hbd等病毒签名文件.原因就是,那些文件都是由CVD ...

  7. 微信小程序下可以使用的MD5以及AES加密(通用)

    两段代码都来自网络 ,在小程序下的加解密结果与CS/BS等算出的结果都一致,支持汉字. 一.MD5: var rotateLeft = function (lValue, iShiftBits) { ...

  8. Java多线程(汇聚页)

    Java多线程(汇聚页) Java多线程总结

  9. [HTML] <meta name="viewport" content="width=device-width,initial-scale=1.0">释义

    <meta name="viewport" content="width=device-width,initial-scale=1.0">这是 HT ...

  10. 第四天,同步和异常数据存储到mysql,item loader方法

    github对应代码:伯乐在线文章爬取     一. 普通插入方法 1. 连接到我的阿里云,用户名是test1,然后在navicat中新建数据库