两种方法获取shadow ssdt
- ULONG
- GetShadowSsdtCurrentAddresses(
- PSSDT_ADDRESS AddressInfo,
- PULONG Length
- )
- {
- PSYSTEM_SERVICE_TABLE KeServiceDescriptorTableShadow = NULL;
- ULONG NumberOfService = 0;
- ULONG ServiceId = 0;
- PKAPC_STATE ApcState;
- ULONG i;
- if (AddressInfo == NULL || Length == NULL)
- {
- KdPrint(("[GetShadowSsdtCurrentAddresses] 输入参数无效"));
- return 0;
- }
- //KdPrint(("pid = %d", PsGetCurrentProcessId()));
- ServiceId = (ULONG)PsGetCurrentProcessId();
- if (!g_CsrssProcess) {
- PsLookupProcessByProcessId((PVOID)ScPsGetCsrssProcessId(), &g_CsrssProcess);
- }
- KeServiceDescriptorTableShadow = GetKeServiceDescriptorTableShadow();
- if (KeServiceDescriptorTableShadow == NULL)
- {
- KdPrint(("[GetShadowSsdtCurrentAddresses] GetKeServiceDescriptorTableShadow failed"));
- return 0;
- }
- NumberOfService = KeServiceDescriptorTableShadow->NumberOfService;
- if (Length[0] < NumberOfService * sizeof(SSDT_ADDRESS))
- {
- Length[0] = NumberOfService * sizeof(SSDT_ADDRESS);
- return 0;
- }
- ApcState = ExAllocatePoolWithTag(NonPagedPool, sizeof(KAPC_STATE), MEM_TAG);
- KeStackAttachProcess((PRKPROCESS)g_CsrssProcess, ApcState);
- for (ServiceId = 0; ServiceId < NumberOfService; ServiceId ++)
- {
- AddressInfo[ServiceId].FunAddress = (ULONG)
- KeServiceDescriptorTableShadow->ServiceTableBase[ServiceId];
- AddressInfo[ServiceId].nIndex = ServiceId;
- }
- KeUnstackDetachProcess(ApcState);
- ExFreePool(ApcState);
- Length[0] = NumberOfService * sizeof(SSDT_ADDRESS);
- return NumberOfService;
- }
- ///////////////////////////////////////////////////////////////////////////////////
- //
- // 功能实现:枚举当前Shadow SSDT 表函数地址
- // 输入参数:void
- // 输出参数:返回Shadow ssdt table
- //
- ///////////////////////////////////////////////////////////////////////////////////
- PSYSTEM_SERVICE_TABLE
- GetKeServiceDescriptorTableShadow(VOID)
- {
- PSYSTEM_SERVICE_TABLE ShadowTable = NULL;
- ULONG ServiceTableAddress = 0;
- PUCHAR cPtr = NULL;
- for (cPtr = (PUCHAR)KeAddSystemServiceTable;
- cPtr < (PUCHAR)KeAddSystemServiceTable + PAGE_SIZE;
- cPtr += 1 )
- {
- if (!MmIsAddressValid(cPtr)) continue;
- ServiceTableAddress = *(PULONG)cPtr;
- if (!MmIsAddressValid((PVOID)ServiceTableAddress)) continue;
- if (memcmp((PVOID)ServiceTableAddress, &KeServiceDescriptorTable, 16) == 0)
- {
- if ((PVOID)ServiceTableAddress == &KeServiceDescriptorTable) continue;
- ShadowTable = (PSYSTEM_SERVICE_TABLE)ServiceTableAddress;
- ShadowTable ++;
- return ShadowTable;
- }
- }
- return NULL;
- }
- //
- // 方法2,通过硬编码实现,不通用
- //
- PSYSTEM_SERVICE_TABLE
- GetKeServiceDescriptorTableShadow_2(VOID)
- /*++
- KeAddSystemServiceTable函数
- 805ba5a3 8d8840a65580 lea ecx,nt!KeServiceDescriptorTableShadow (8055a640)[eax]
- 805ba5a9 833900 cmp dword ptr [ecx],0
- --*/
- {
- PSYSTEM_SERVICE_TABLE ShadowTable;
- ULONG ServiceTableAddress;
- PUCHAR cPtr, pOpcode;
- ULONG Length = 0;
- for (cPtr = (PUCHAR)KeAddSystemServiceTable;
- cPtr < (PUCHAR)KeAddSystemServiceTable + PAGE_SIZE;
- cPtr += Length )
- {
- if (!MmIsAddressValid(cPtr)) return NULL;
- Length = SizeOfCode(cPtr, &pOpcode);
- if (!Length || (Length == 1 && *pOpcode == 0xC3)) return NULL;
- if (*(PUSHORT)pOpcode == 0x888D)
- {
- ServiceTableAddress = *(PULONG)(pOpcode + 2);
- ShadowTable = (PSYSTEM_SERVICE_TABLE)ServiceTableAddress;
- ShadowTable ++;
- return ShadowTable;
- }
- }
- return NULL;
- }

ULONG
GetShadowSsdtCurrentAddresses(
PSSDT_ADDRESS AddressInfo,
PULONG Length
)
{
PSYSTEM_SERVICE_TABLE KeServiceDescriptorTableShadow = NULL;
ULONG NumberOfService = 0;
ULONG ServiceId = 0;
PKAPC_STATE ApcState;
ULONG i;
if (AddressInfo == NULL || Length == NULL)
{
KdPrint(("[GetShadowSsdtCurrentAddresses] 输入参数无效"));
return 0;
}
//KdPrint(("pid = %d", PsGetCurrentProcessId()));
ServiceId = (ULONG)PsGetCurrentProcessId();
if (!g_CsrssProcess) {
PsLookupProcessByProcessId((PVOID)ScPsGetCsrssProcessId(), &g_CsrssProcess);
}
KeServiceDescriptorTableShadow = GetKeServiceDescriptorTableShadow();
if (KeServiceDescriptorTableShadow == NULL)
{
KdPrint(("[GetShadowSsdtCurrentAddresses] GetKeServiceDescriptorTableShadow failed"));
return 0;
}
NumberOfService = KeServiceDescriptorTableShadow->NumberOfService;
if (Length[0] < NumberOfService * sizeof(SSDT_ADDRESS))
{
Length[0] = NumberOfService * sizeof(SSDT_ADDRESS);
return 0;
}
ApcState = ExAllocatePoolWithTag(NonPagedPool, sizeof(KAPC_STATE), MEM_TAG);
KeStackAttachProcess((PRKPROCESS)g_CsrssProcess, ApcState);
for (ServiceId = 0; ServiceId < NumberOfService; ServiceId ++)
{
AddressInfo[ServiceId].FunAddress = (ULONG)
KeServiceDescriptorTableShadow->ServiceTableBase[ServiceId];
AddressInfo[ServiceId].nIndex = ServiceId;
}
KeUnstackDetachProcess(ApcState);
ExFreePool(ApcState);
Length[0] = NumberOfService * sizeof(SSDT_ADDRESS);
return NumberOfService;
}
///////////////////////////////////////////////////////////////////////////////////
//
// 功能实现:枚举当前Shadow SSDT 表函数地址
// 输入参数:void
// 输出参数:返回Shadow ssdt table
//
///////////////////////////////////////////////////////////////////////////////////
PSYSTEM_SERVICE_TABLE
GetKeServiceDescriptorTableShadow(VOID)
{
PSYSTEM_SERVICE_TABLE ShadowTable = NULL;
ULONG ServiceTableAddress = 0;
PUCHAR cPtr = NULL;
for (cPtr = (PUCHAR)KeAddSystemServiceTable;
cPtr < (PUCHAR)KeAddSystemServiceTable + PAGE_SIZE;
cPtr += 1 )
{
if (!MmIsAddressValid(cPtr)) continue;
ServiceTableAddress = *(PULONG)cPtr;
if (!MmIsAddressValid((PVOID)ServiceTableAddress)) continue;
if (memcmp((PVOID)ServiceTableAddress, &KeServiceDescriptorTable, 16) == 0)
{
if ((PVOID)ServiceTableAddress == &KeServiceDescriptorTable) continue;
ShadowTable = (PSYSTEM_SERVICE_TABLE)ServiceTableAddress;
ShadowTable ++;
return ShadowTable;
}
}
return NULL;
}
//
// 方法2,通过硬编码实现,不通用
//
PSYSTEM_SERVICE_TABLE
GetKeServiceDescriptorTableShadow_2(VOID)
/*++
805ba5a3 8d8840a65580 lea ecx,nt!KeServiceDescriptorTableShadow (8055a640)[eax]
805ba5a9 833900 cmp dword ptr [ecx],0
--*/
{
PSYSTEM_SERVICE_TABLE ShadowTable;
ULONG ServiceTableAddress;
PUCHAR cPtr, pOpcode;
ULONG Length = 0;
for (cPtr = (PUCHAR)KeAddSystemServiceTable;
cPtr < (PUCHAR)KeAddSystemServiceTable + PAGE_SIZE;
cPtr += Length )
{
if (!MmIsAddressValid(cPtr)) return NULL;
Length = SizeOfCode(cPtr, &pOpcode);
if (!Length || (Length == 1 && *pOpcode == 0xC3)) return NULL;
if (*(PUSHORT)pOpcode == 0x888D)
{
ServiceTableAddress = *(PULONG)(pOpcode + 2);
ShadowTable = (PSYSTEM_SERVICE_TABLE)ServiceTableAddress;
ShadowTable ++;
return ShadowTable;
}
}
return NULL;
}
两种方法获取shadow ssdt的更多相关文章
- 两种方法获取MyBatis刚刚插入的id
主要就是在xml文件中的写法,其他省略 方法一: <insert id="insert" parameterType="com.xxx.xxxx.pojo.User ...
- Delphi使用两种不同方法获取系统端口信息--(装载)
Delphi使用两种方法获取windows系统的端口,还可测试发送消息,点击获取端口信息后,可依次得到如下信息:DCB结构大小.波特率大小.XON的临界值.XOFF的临界值.字符位数.奇偶检验位.停止 ...
- 用easyui从servlet传递json数据到前端页面的两种方法
用easyui从servlet传递json数据到前端页面的两种方法 两种方法获取的数据在servlet层传递的方法相同,下面为Servlet中代码,以查询表中所有信息为例. //重写doGet方法 p ...
- windows下获取IP地址的两种方法
windows下获取IP地址的两种方法: 一种可以获取IPv4和IPv6,但是需要WSAStartup: 一种只能取到IPv4,但是不需要WSAStartup: 如下: 方法一:(可以获取IPv4和I ...
- 获取网页URL地址及参数等的两种方法(js和C#)
转:获取网页URL地址及参数等的两种方法(js和C#) 一 js 先看一个示例 用javascript获取url网址信息 <script type="text/javascript&q ...
- Java 获取*.properties配置文件中的内容 ,常见的两种方法
import java.io.InputStream; import java.util.Enumeration; import java.util.List; import java.util.Pr ...
- php获取数组中重复数据的两种方法
分享下php获取数组中重复数据的两种方法. 1,利用php提供的函数,array_unique和array_diff_assoc来实现 <?php function FetchRepeatMem ...
- javascript获取json对象的key名称的两种方法
javascript获取json对象的key名称的两种方法 数据处理中,你可能接收到一个不确定内容格式的json对象,然后要把key的值提取出来.今天试过两种可以提取json key的方法,均可以正常 ...
- 使用JavaScript获取URL中的参数(两种方法)
本文给大家分享两种方法使用js获取url中的参数,其中方法二是使用的正则表达式方法,大家可以根据需要选择比较好的方法,废话不多说了,直接看详细介绍吧. 方法一: //取url参数 var type = ...
随机推荐
- 第七天 面向对象进阶与socket编程
1.静态方法(用得少)(解除某个函数跟类的关联,加了静态方法后,类便不能将类的参数传给静态方法函数了) class Dog(object): def __init__(self,name): @sta ...
- Effective C++ -----条款50:了解new 和delete 的合理替换时机
有许多理由需要写个自定的new 和delete ,包括改善效能.对heap 运用错误进行调试.收集heap 使用信息.
- 使用CSS中margin和padding的基础和注意事项
在CSS中,margin和padding是页面布局的主要属性,如何灵活有效使用对于基于DIV+CSS设计网页方法是非常重要的,笔者经常使用且经常误使用,所以根据经验和网上资料整理出切合自己的内容,以备 ...
- jquery.base64.js简单使用
jquery.base64.js, 加密,使用,先引入jquery,然后引入jquery.base64.js 使用如下 js中加密如下 $.base64.encode(result[i].ipadre ...
- 【leetcode】Populating Next Right Pointers in Each Node I & II(middle)
Given a binary tree struct TreeLinkNode { TreeLinkNode *left; TreeLinkNode *right; TreeLinkNode *nex ...
- 【XLL API 函数】xlfUnregister (Form 2)
此函数可以被 Excel 已经载入的 XLL 或 DLL 调用.它等效于宏表函数 UNREGISTER. xlfUnregister 有两种调用形式: 形式1:Unregister 单独的命令或函数 ...
- IOS - Foundation和Core Foundation掺杂使用桥接
Foundation和Core Foundation掺杂使用桥接 Toll-Free Bridging 在cocoa application的应用中,我们有时会使用Core Foundation(CF ...
- September 11th 2016 Week 38th Sunday
Nothing happens unless first a dream. 一切始于梦想. When everything seems to be going against you, remembe ...
- css+html 关于文本的总结(整理中)
布局1:固定行数 <div> <p>示例文字示例文字示例文字示例文字</p> </div> <!-- CSS代码 --> div{ widt ...
- 在VC中创建并调用DLL
转自:http://express.ruanko.com/ruanko-express_45/technologyexchange6.html 一.DLL简介 1.什么是DLL? 动态链接库英文为DL ...