Win64 Driver开发问题记录(三)

最新推荐文章于 2019-03-07 00:18:24 发布
原创 最新推荐文章于 2019-03-07 00:18:24 发布 · 1.7k 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#微软 #360
本文介绍了在64位系统中如何定位SSDT表中的函数地址,详细阐述了不同Windows版本下SSDT表中函数偏移量的变化,并提供了具体的计算公式。

在32位driver中,获取SSDT表中的函数可根据以下固定的公式(64位下获取KeServiceDescriptorTable参见Win64 Driver开发问题记录二)


SSDTTableBase=(PVOID)((PServiceDescriptorTableEntry)KeServiceDescriptorTable)->ServiceTableBase;

ULONG_PTR func_addr = (ULONG)SSDTTableBase+index*4


但是64位下,SSDT表中存的其实是函数的偏移并非实际的函数地址, 因此函数地址 = SSDTTableBase + 偏移地址

此外, win7和vista 64位下SSTD的函数偏移是28位,而其他64位下SSTD的函数偏移是32位(且最后8位对齐)


他们之所以这么设计 (要算位移) 的原因是,他们开始取消了 nt!KiArgumentTable,
那么参数表放哪里了呢? 答案就是和"偏移"拼在一起了,微软认定 SSDT 例程地址是对齐的。
后来估计是觉得这样算一下影响效率? 就又恢复了 nt!KiArgumentTable(参见http://bbs.dbgtech.net/forum.php?mod=viewthread&tid=360)


因此,  vista以前的64位计算SSDT数地址:

SSDTTableBase=(PVOID)((PServiceDescriptorTableEntry)KeServiceDescriptorTable)->ServiceTableBase;

ULONG_PTR FuncAddr = (ULONG_PTR)SSDTTableBase + (((*(ULONG_PTR *)((ULONG_PTR)SSDTTableBase+(index-1)*4)) >> 32) & 0xFFFFFFF0);

vista和win7 64位计算SSDT函数地址:

SSDTTableBase=(PVOID)((PServiceDescriptorTableEntry)KeServiceDescriptorTable)->ServiceTableBase;
ULONG_PTR FuncAddr = (ULONG_PTR)SSDTTableBase + ((*(ULONG_PTR *)((ULONG_PTR)SSDTTableBase+(index-1)*4)) >> 36)



ShadowSSdt HOOK
zhuhuibeishadiao
04-10 3049
SHADOW表地址的获取。 CSRSS进程。system进程并没有载入win32k.sys,所以,要访问shadowssdt表,必须KeStackAttackProces到一个有GUI线程的进程中,而csrss.exe就是这样的一个合适的进程(管理Windows图形相关任务) Index?硬编码 挂钩NtGdiBitBlt、NtGdiStretchBlt用于截屏保护  挂钩NtUserSe
MongoDB C++ Driver Windows 编译记录
chenzy945的记录
02-16 5332
目录-记录MongoDB win10 64bit VS2010过程安装需求1、mongo-cxx-driver 贴git地址: https://github.com/mongodb/mongo-cxx-driver 当前最新版本的的是3.1.1。 需求的是cmke 与 VS2015。与我的环境不同,就没有选择了。 https://github.com/mongodb/mongo-cxx-dri
常用DBMS的driver驱动和url
huohuo0303的博客
12-31 414
[b]oracle[/b] driver="oracle.jdbc.driver.OracleDriver" url="jdbc:oracle:thin:@localhost:1521:数据库名" [b]sqlserver[/b] driver="com.microsoft.jdbc.sqlserver.SQLServerDriver" url="jdbc:microsoft:sql...
查看SSDTHOOK其修改
trents的专栏
02-29 1615
#define SYSTEMSERVICE(_function) KeServiceDescriptorTable.ServiceTableBase[ *(PULONG)((PUCHAR)_function+1)] typedef unsigned long DWORD; typedef unsigned long *PDWORD; typedef unsigned short WORD;
SSDT-hook,IDT-hook原理
fun0526的专栏
08-04 2691
<br /><br />【详细过程】<br />这次主要说说核心层的hook。包括SSDT-hook,IDT-hook,sysenter-hook。欢迎讨论,指正!内核层需要驱动,有这方面的基础最好,如果不会,了解下其中的思路也可以的。<br /><br />II. SSDT-hook,IDT-hook,sysenter-hook<br />一.SSDT-hook<br />()一般思路:<br />1.先来了解一下,什么是SSDT<br />SSDT既System Service Dispath Tab
Win64 Driver开发问题记录(二)
nevil的专栏
07-05 3617
Win64 driver开发中遇到的第二个问题是如何通过SSDT表引用系统服务内核函数。 MS在64系统中引入了全新的PatchGuard技术,使得原本在32位下可轻易hook的SSDT表在64位系统中无法再patch(会引发BSOD). 当然,目前我并非是要hook SSDT表,而是需要使用到SSDT表中的一个未导出的系统服务内核函数。在32位driver中可以通过extern "C
Win64 Driver开发问题记录(一)
nevil的专栏
07-05 1291
Win64开发中所遇到的第一个问题是X64编绎器不支持内嵌式汇编(inline assembly),因此在源码中无法通过"__asm"来调用汇编指令。   解决的方法是将汇编的功能放入一个单独的.asm文件中,并封装成一些汇编子过程(函数),在C的源码中通过外部声明"extern"来调用这些汇编过程(函数)。   此外,在source文件中加入对.asm文件引用。一般的做法
Access 和vc6.0 相连,在我indows64 位系统中,出现找不到Microsoft Access Driver(*.mdb) ODBC驱动程序的安装例程。请重新安装驱动
乌托邦
03-07 3032
今天要连接Access时发现win7 64位旗舰版控制面板中管理工具下的数据源(ODBC)配置竟然只有SQLServer的驱动,其他的都没有了,这可不好玩!上网百度了一番,有人也遇过这样的问题,我在此猜测只有64win7有这问题,解决办法:运行C:/Windows/SysWOW64下odbcad32.exe就可以正常添加各种数据源的驱动程序了...虽不是什么高深问题,但在此记录一下,以防忘记! ...
检测SSTD是否被hook
LoveQuietly
11-07 1739
我们知道在ssdt中可以被hook,那么如何检测出来自己的ssdt被hook了呢? 在内核文件中保留了一份原始的ssdt表,我们只要通过检测内核文件即可获取到原始的ssdt表即可首先先要确认自己的内核使用的文件是哪个? 是ntkrnlmp.exe还是ntkrnlpa.exe?这个可以通过ZwQuerySystemInformation传入SystemModuleInformation(11)得到
Win7 64位的SSDTHOOK(2)---64位SSDT hook的实现
热门推荐
zfdyq
05-23 1万+
上篇文章知道了寻找SSDT表的方法,这篇记录一下如何实现SSDT表的Hook。
windows内核 win7 和 xp下 hook过滤KiFastCallEntry的不同之处(远离360 hook)
浪子_三少(邮箱:basketwill@qq.com)
10-05 2153
我们先看下hook  kiFastCallentry 点的汇编代码:   winXp:  FF05 38060000  inc    dword ptr [638] 80542656  8BF2  mov    esi, edx 80542658  8B5F 0C  mov    ebx, dword ptr [edi+C] 8054265B  33C9  xor    ecx,
学习SSDT笔记
vincent_1011的专栏
02-03 1113
  内核中有两个系统服务描述符表一个是KeServiceDescriptorTable(由ntoskrnl.exe导出),一个是KeServieDescriptorTableShadow(没有导出)。 两者的区别是:KeServiceDescriptorTable仅有ntoskrnel一项,KeServieDescriptorTableShadow包含了ntos
SSDT hook技术中KeServiceDescriptorTable 结构及获取
namelcx的专栏
07-05 2294
KeServiceDescriptorTable 结构  KeServiceDescriptorTable:是由内核(Ntoskrnl.exe)导出的一个表,这个表是访问SSDT的关键,具体结构是    typedef struct ServiceDescriptorTable {    PVOID ServiceTableBase;    PVOID ServiceCounterTabl
内核钩子模板
lbird
10-16 2252
#include #include #pragma pack(1)typedef struct ServiceDescriptorEntry {    unsigned int *ServiceTableBase;    unsigned int *ServiceCounterTableBase; //Used only in checked build    unsigned int Numbe
使用windbg查看PE文件格式
nevil的专栏
08-15 1928
DOS Header & NT Header: Data Directory: kd> !dh 0040000 Export Table: Import Table:
Windows kernel中实现Unicode和UTF-8之间的转换
nevil的专栏
07-05 1287
Widnows kernel中不存在Unicdoe/UTF-8转换函数, 因此通过分析UTF-8编码表自己实现转换函数 UTF-8编码字符理论上可以最多到6个字节长,然而16位BMP(Basic Multilingual Plane)字符最多只用到3字节长。下面看一下UTF-8编码表: U-00000000 - U-0000007F: 0xxxxxxx U-00000080 - U-00
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值