求恢复Shadow SSDT 一个函数

wiken888 2010-02-02 07:04:36
有个程序修改了Shadow SSDT NtUserPostMessage这个函数
导致PostMessage发送失败。
大牛门帮帮忙啊
不用太复杂 就恢复一个函数就行了

打开程序 备份当前?
界面控制 恢复。

...全文
163 4 打赏 收藏 转发到动态 举报
AI 作业
写回复
用AI写文章
4 条回复
切换为时间正序
请发表友善的回复…
发表回复
zhuang_bx 2010-02-04
  • 打赏
  • 举报
 回复
顶一下,学习中 ...
gyk120 2010-02-03
  • 打赏
  • 举报
 回复
Ring3下可以用ZwSystemDebugControl去读,但是恢复,涉及到win32k驱动,没法直接用户态恢复
驱动恢复的帖子在看雪可以找到
gyk120 2010-02-02
  • 打赏
  • 举报
 回复
Shadow SSDT的恢复要用到驱动的,你要指向KeServiceDescriptorTableShadow,这个必须在驱动里面完成,如果只是查看的话倒是可以直接用用户态函数
wiken888 2010-02-02
  • 打赏
  • 举报
 回复
ring3下怎么看呢
还有要怎么恢复呢
R0层获取ShadowSSDT函数原始地址实例
本实例由VS2008开发,在提供了一套驱动开发框架的同时,又演示了如何获取Shadow SSDT表函数原始地址的办法。 主要函数:ULONG GetShadowSSDT_Function_OriAddr(ULONG index); 原理说明: 根据特征码搜索导出函数KeAddSystemServiceTable来获取Shadow SSDT基址,以及通过ZwQuerySystemInformation()函数获取win32k.sys基址,然后解析PE定位到Shadow SSDT在win32k.sys的偏移地址,并通过进一步计算来得到Shadow SSDT表函数的原始地址。 这里只测试了三个函数:(460)NtUserMessageCall、(475)NtUserPostMessage和(502)NtUserSendInput,具体使用时可以举一反三,网上完整的源代码实例并不太多,希望可以帮到真正有需要的朋友。 系统环境: 在WinXP SP3系统 + 瑞星杀毒软件 打印输出: [ LemonInfo : Loading Shadow SSDT Original Address Driver... ] [ LemonInfo : 创建“设备”值为:0 ] [ LemonInfo : 创建“设备”成功... ] [ LemonInfo : 创建“符号链接”状态值为:0 ] [ LemonInfo : 创建“符号链接”成功... ] [ LemonInfo : 驱动加载成功... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP 开始... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP Enter IRP_MJ_DEVICE_CONTROL... ] [ LemonInfo : 获取ShadowSSDT表 (460)NtUserMessageCall 函数的“当前地址”为:0xB83ECFC4,“起源地址”为:0xBF80EE6B ] [ LemonInfo : 获取ShadowSSDT表 (475)NtUserPostMessage 函数的“当前地址”为:0xB83ECFA3,“起源地址”为:0xBF8089B4 ] [ LemonInfo : 获取ShadowSSDT表 (502)NtUserSendInput 函数的“当前地址”为:0xBF8C31E7,“起源地址”为:0xBF8C31E7 ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP_MJ_DEVICE_CONTROL 成功执行... ] [ LemonInfo : 派遣函数(DispatchRoutine) IRP 结束... ] [ LemonInfo : UnLoading Shadow SSDT Original Address Driver... ] [ LemonInfo : 删除“符号链接”成功... ] [ LemonInfo : 删除“设备”成功... ] [ LemonInfo : 驱动卸载成功... ]
Shadow SSDT服务函数原始地址
可以獲取到Shadow SSDT服务函数原始地址,这更是大多数朋友所期待的。
易语言Shadow ssdt HOOK恢复
易语言Shadow ssdt HOOK恢复
x64 ssdt shadowssdt inlinkhook
环境vs2017+wdk10 ssdt shadowssdt实现inlinkhook shadowssdt需要在irp中或attach到gui线程中才能获取到
Hook Shadow SSDT(源码)
Hook Shadow SSDT.c的源代码,适合于学习以及应用分析。
Windows SDK/API

1,183

社区成员

22,328

社区内容

发帖
与我相关
我的任务
社区描述
Delphi Windows SDK/API
社区管理员
  • Windows SDK/API社区
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章