关于KeServiceDescriptorTable

硬件/嵌入开发 > 驱动开发/核心开发 [问题点数:40分,结帖人Dream_Sky12]
等级
本版专家分:0
结帖率 100%
等级
本版专家分:45795
勋章
Blank
优秀版主 2014年11月论坛优秀版主
Blank
红花 2013年1月 硬件/嵌入开发大版内专家分月排行榜第一
2012年10月 硬件/嵌入开发大版内专家分月排行榜第一
2012年9月 硬件/嵌入开发大版内专家分月排行榜第一
2012年8月 硬件/嵌入开发大版内专家分月排行榜第一
2012年7月 硬件/嵌入开发大版内专家分月排行榜第一
2012年6月 硬件/嵌入开发大版内专家分月排行榜第一
2012年5月 硬件/嵌入开发大版内专家分月排行榜第一
2012年4月 硬件/嵌入开发大版内专家分月排行榜第一
2012年3月 硬件/嵌入开发大版内专家分月排行榜第一
2012年2月 硬件/嵌入开发大版内专家分月排行榜第一
2012年1月 硬件/嵌入开发大版内专家分月排行榜第一
2011年11月 硬件/嵌入开发大版内专家分月排行榜第一
2011年10月 硬件/嵌入开发大版内专家分月排行榜第一
2011年9月 硬件/嵌入开发大版内专家分月排行榜第一
Blank
黄花 2014年10月 硬件/嵌入开发大版内专家分月排行榜第二
2014年2月 硬件/嵌入开发大版内专家分月排行榜第二
2013年10月 硬件/嵌入开发大版内专家分月排行榜第二
2013年8月 硬件/嵌入开发大版内专家分月排行榜第二
2013年3月 硬件/嵌入开发大版内专家分月排行榜第二
2012年12月 硬件/嵌入开发大版内专家分月排行榜第二
2012年11月 硬件/嵌入开发大版内专家分月排行榜第二
2011年12月 硬件/嵌入开发大版内专家分月排行榜第二
Blank
蓝花 2014年4月 硬件/嵌入开发大版内专家分月排行榜第三
2014年1月 硬件/嵌入开发大版内专家分月排行榜第三
2013年12月 硬件/嵌入开发大版内专家分月排行榜第三
2013年11月 硬件/嵌入开发大版内专家分月排行榜第三
2013年4月 硬件/嵌入开发大版内专家分月排行榜第三
Dream_Sky12

等级:

KeServiceDescriptorTable 结构及获取

KeServiceDescriptorTable 结构  KeServiceDescriptorTable:是由内核(Ntoskrnl.exe)导出的一个表,这个表是访问SSDT的关键,具体结构是  typedef struct ServiceDescriptorTable {  PVOID ServiceTableBase...

64位vista,win7中KeServiceDescriptorTable问题

最近在移植64位驱动,原本在32位驱动中使用到了KeServiceDescTable进行SSDT Hook等。但是在64位系统上是不允许进行SSDT HOOk的。在64位的XP系统上,使用到这个导出符号式没有问题的。但是在64位Vista和Win7下面,...

KeServiceDescriptorTable64获取

1 ULONGLONG GetKeServiceDescriptorTable64() //我的方法 { PUCHAR StartSearchAddress = (PUCHAR)__readmsr(0xC0000082); PUCHAR EndSearchAddress = StartSearchAddress + 0x500; PUCHAR i = NULL;...

X64系统下的KeServiceDescriptionTable

但是需要用到KeServiceDescriptorTable中的东西。用Windbg发现64下KeServiceDescriptionTable结构虽然是相似的,但是要获取index中的函数地址却不一样。u一样,完全不是什么函数地址。是一些很怪的数,刚开始有些...

KeServiceDescriptorTable 与 KeServiceDescriptorTableShadow

早先“盗用”过公开的Re SSDT的源代码,对SSDT多少还是了解些,也Hook 过SSDT,但一直对另外一个SSDT——Shadow SSDT不甚了解,只知道它跟GUI调用有莫大的关系,具体怎么联系起来的,说不清楚。...

windebug查看KeServiceDescriptorTable

kd> dd KeServiceDescriptorTable 8089f7e0 80831b20 00000000 00000128 80831fc4 8089f7f0 00000000 00000000 00000000 00000000 8089f800 8089f800 8089f800 7c9524b4 00000000 8089f810 00000000 0000000

SSDT hook技术中KeServiceDescriptorTable 结构及获取

KeServiceDescriptorTable 结构  KeServiceDescriptorTable:是由内核(Ntoskrnl.exe)导出的一个表,这个表是访问SSDT的关键,具体结构是  typedef struct ServiceDescriptorTable {  PVOID ServiceTableBase; ...

关于extern获取KeServiceDescriptorTable进而获取SSDT地址的解释,我自己想的 by webxeyes

#include //KeServiceDescriptorTable仅有ntoskrnel一项,没有包含win32k,而且后面的两个字段都没有使用typedef struct _SystemServiceDescriptorTable { PVOID ServiceTableBase; PULONG ...

CPU漏洞补丁修复导致KeServiceDescriptorTable获取变更

 2018年元旦,出现的cpu的漏洞,可以在windows环三直接读取内核数据,windows对该漏洞提供补丁,补丁增加了一个页表,对应的内核处理也增加了,接下来我们看下补丁修复的表象以及对KeServiceDescriptorTable获取的...

#define SYSTEMSERVICE(_func) KeServiceDescriptorTable.ServiceTableBase[ *(PULONG)((PUCHAR)_func+1) ...

这个跟KeServiceDescriptorTable的结构有关 下面是KeServiceDescriptorTable的结构定义 KeServiceDescriptorTabletypedef struct _KSERVICE_TABLE_DESCRIPTOR { PULONG_PTR Base; PULONG Count; ULONG Limit; ...

SSDT(系统服务描述符表 system services descriptor table)

SSDT表介绍 ntdll.dll模块中的函数有些以nt或zw开头的函数为了完成相应的功能需要进入内核,调用内核中以nt开头的函数来完成相应的功能。ntdll.dll里的函数在进入内核层之前首先将系统服务号传入eax寄存器中,然后...

关于SSDT

百度上比较好的解释是:SSDT的全称是System Services Descriptor Table,系统服务描述符表。这个表就是一个把ring3的Win32 API和ring0的内核API联系起来。SSDT并不仅仅只包含一个庞大的地址索引表,它还包含着一些...

[转载]关于SSDT的详解

关于SSDT的详解(1) 引子 2006年,中国互联网上的斗争硝烟弥漫。这时的战场上,先前颇为流行的窗口挂钩、API挂钩、进程注入等技术已然成为昨日黄花,大有逐渐淡出之势;取而代之的,则是更狠毒、更为赤裸裸的词汇:...

SSDT

2、系统服务调度表SSDT及SSSDTShadow 系统服务:由操作系统提供的一组函数(内核函数),API可以间接或者直接的调用系统服务。操作系统以动态链接库(DLL)的形式提供API。 SSDT:系统服务调度表...

简单说说SSDT

关于SSDT,描述得最清楚的应该算《SSDT Hook的妙用-对抗ring0 inline hook》一文了,作者是堕落天才。这里引用一下他写的开头部分,略有个别字符的修改: 内核中有两个系统服务描述符表,一个是...

菜鸟之驱动开发3

今天我们接上第二课继续加新功能:读取SSDT。 什么是ssdt? 我不作过多解释,因为我解释不清楚,GOOGLE一下有大把的资料,向大家介绍一篇好文章:...我的理解就是建立ring0与ring3的映射关系。 操作

ssdt函数索引号_读出SSDT表当前函数地址

1.4.2读出SSDT表当前函数地址A、引用KeServiceDescriptorTable表B、通过ServiceTableBase+偏移读出当前函数地址C、用windbg测试读取的值系统服务描述符表在ntoskrnl.exe导出KeServiceDescriptorTable这个表typedef...

也谈SSDT Hook(一)

 关于系统服务。系统服务是由操作系统提供一组函数,使得开发者能够通过APIs直接或间接的调用。一个API可以对应一个系统服务,也可以一个API依赖多个系统服务。比如,WriteFile API对应的系统服务是ntoskrnl.exe中...

读出SSDT表当前函数地址

A、引用KeServiceDescriptorTable表  B、通过ServiceTableBase+偏移读出当前函数地址  C、用windbg测试读取的值 系统服务描述符表 在ntoskrnl.exe导出KeServiceDescriptorTable 这个表 typedef struct _...

ssdt 表结构及hook的一般理解

KeServiceDescriptorTable 首地址:8055D700 0: kd> dd KeServiceDescriptorTable 8055d700 80505460 00000000 0000011c 805058d4 8055d710 00000000 00000000 00000000 00000000 8055d720 0

利用 vs2008 视警告为错误 的使用场景 可以达到 规范代码等作用

vs2008下开启视警告为错误,可以完成一些代码校验的工作,举一个应用场景:“public方法没有xml的注释”。  一定程度上达到了控制代码质量的目的,需要设置三个地方:  “项目属性---》生成---》视警告视为错误...

通过SSDT UnHOOK 函数HOOK

一、在用户空间修改系统服务调度表(SSDT)SSDT位于内核空间,如果要修改SSDT的入口函数,rootkit都是通过驱动程序的方式载入再修改的。然而在用户空间可以通过直接读写/device/physicalmemory来修改SSDT的入口。...

[转帖] 浅谈HOOK API 都是一些很老很基础的东西 (当然,大牛们可以无视直接PASS!)...

HOOK API是一个永恒的话题,如果没有HOOK,许多技术将很难实现,也许根本不能实现。这里所说的API,是广义上的API,它包括DOS下的中断,WINDOWS里的API、中断服务、IFS和NDIS过滤等。比如大家熟悉的即时翻译软件,...

注册表函数

RegCloseKey:释放对指定注册表项的句柄。... RegConnectRegistry:在另一台计算机上建立到预定义注册表句柄的连接。... RegCreateKeyEx:创建指定的注册表项。... RegDeleteKey:删除注册表子项。...RegDeleteValue:从指定的...

城里城外看SSDT

转自李马 本文链接:http://blog.titilima.com/show-201-1.html<br /><br />引子 2006年,中国互联网上的斗争硝烟弥漫。这时的战场上,先前颇为流行的窗口挂钩、API挂钩、进程注入等技术已然成为...

进程隐藏与进程保护(SSDT Hook 实现)(一)

文章目录:   1. 引子 – Hook 技术: 2. SSDT 简介: 3. 应用层调用 Win32 API 的完整执行流程: 4. 详解 SSDT: 5. SSDT Hook 原理: ...前面一篇博文呢介绍了代码的注入技术(远程线程实现),博文地址如下:

关于windows内核SSDT HOOK的一点思考

关于windows内核SSDT HOOK的一点思考  ----------------TTL  关于windows内核,一直是众多OS黑客所喜欢又不敢触及的地方,确实,内核的知识实在是隐晦,又生涩难懂

[转](51)SSDT HOOK 实现进程保护

一、回顾 在前面的课程里,我们逆向分析了 KiSystemService / KiFastCallEntry 的部分代码,我们发现这两个函数找...SSDT是内核模块的导出变量,可通过 dd KeServiceDescriptorTable 查看: kd> dd KeSer...

关于SSDT HOOK取消内存写保护的问题

有些人说不去掉也不会蓝屏,照样能HOOK成功 确实,我当时也是这样过。。。 不过拿给别人机器一测试就蓝了 ...网上找到了MJ给出的答案: ...当使用大页面映射内核文件时,代码段和数据段在一块儿,所以页必须是可写的,...

相关热词 c# 点击事件 自动点击 c# 图片透明背景 c# 模拟按键 c# 线程同步方式 c# 集合改变 1 c# c# 后进先出 集合 c#执行私有方法 c#排序从大到小 c#访问修饰符总结