[下载]发个获得SSDT函数名和索引号的代码-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (16)
Sefen 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 0 关注私信	Sefen 2 楼谢谢分享。。。 2010-11-30 09:32 0
evilkis 雪币： 596 活跃值： (449) 能力值： ( LV12，RANK：320 ) 在线值：发帖 15 回帖 509 粉丝 8 关注私信	evilkis 7 3 楼 2010-11-30 13:52 0
einyboy 雪币： 107 活跃值： (172) 能力值： ( LV2，RANK：15 ) 在线值：发帖 2 回帖 120 粉丝 0 关注私信	einyboy 4 楼来顶一下~~~~~~ 2010-11-30 16:49 0
buaalgh 雪币： 281 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	buaalgh 5 楼太强大了吧， 2011-8-29 13:35 0
b23526 雪币： 4560 活跃值： (1037) 能力值： ( LV4，RANK：50 ) 在线值：发帖 351 回帖 1832 粉丝 4 关注私信	b23526 6 楼不错不错,有代码就好,懒人路过 2011-8-29 13:57 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 7 楼最初见到这个方法的时候，是在某病毒的驱动中，用来恢复SSDT hook，不由感慨现在的病毒都做安全软件该做的事了。这个东东应该写成内核模块，用来检测SSDT hook和重建SSDT，你这代码用来学习不错，想拿来直接用就很麻烦了。 2011-8-29 14:09 0
ttuiop 雪币： 9 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	ttuiop 8 楼正需要，下了看看 2011-11-20 22:02 0
ttuiop 雪币： 9 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	ttuiop 9 楼哎，不是完整代码啊，编译通不过 2011-11-20 22:14 0
ttuiop 雪币： 9 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	ttuiop 10 楼隔了好些天再看，自己编译器设置的问题，是完整代码。感谢楼主了 2011-12-9 02:58 0
ronglei 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	ronglei 11 楼 Mark~!~!~!~ 2011-12-9 10:24 0
EvilKnight 雪币： 483 活跃值： (822) 能力值： ( LV9，RANK：170 ) 在线值：发帖 22 回帖 618 粉丝 17 关注私信	EvilKnight 4 12 楼哈哈，我写成c++类就是想人家用起来方便.... 2012-1-4 11:47 0
iokey 雪币： 29 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 44 粉丝 0 关注私信	iokey 13 楼下载收藏备用 2012-12-15 13:04 0
LeoSky 雪币： 18 活跃值： (49) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 68 粉丝 0 关注私信	LeoSky 14 楼发现个小问题哦。。 // 如果是Nt开头的话,说不定是SSDT的函数 if (NULL != strstr(pFunName, "Nt")) 这里你会多读出一个函数。输出： FunName: NtYieldExecution ServiceID: 400 FunName: RtlGetLongestNtPathLength ServiceID: 269 RtlGetLongestNtPathLength，因为这个函数名中也有Nt字符串！我改成了：if (pFunName[0] == (char)'N' && pFunName[1] == (char)'t') 还有就是main函数中的 nCount 计数问题。呵呵。。 2013-2-20 11:10 0
EvilKnight 雪币： 483 活跃值： (822) 能力值： ( LV9，RANK：170 ) 在线值：发帖 22 回帖 618 粉丝 17 关注私信	EvilKnight 4 15 楼收到回复了，非常感谢指出问题。 2013-2-20 16:50 0
LeoSky 雪币： 18 活跃值： (49) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 68 粉丝 0 关注私信	LeoSky 16 楼客气客气，呵呵。最近在研究驱动编程，你的这段代码写了也有些年头，我只是仔细研读了一番。还要多多膜拜大牛你呢。呵呵。 2013-2-21 10:21 0
EvilKnight 雪币： 483 活跃值： (822) 能力值： ( LV9，RANK：170 ) 在线值：发帖 22 回帖 618 粉丝 17 关注私信	EvilKnight 4 17 楼膜拜就不必了，互相学习吧，我都好久没有写过代码了，呵呵... 2013-2-24 10:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (16)
Sefen 雪币： 222 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 0 关注私信	Sefen 2 楼谢谢分享。。。 2010-11-30 09:32 0
evilkis 雪币： 596 活跃值： (449) 能力值： ( LV12，RANK：320 ) 在线值：发帖 15 回帖 509 粉丝 8 关注私信	evilkis 7 3 楼 2010-11-30 13:52 0
einyboy 雪币： 107 活跃值： (172) 能力值： ( LV2，RANK：15 ) 在线值：发帖 2 回帖 120 粉丝 0 关注私信	einyboy 4 楼来顶一下~~~~~~ 2010-11-30 16:49 0
buaalgh 雪币： 281 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	buaalgh 5 楼太强大了吧， 2011-8-29 13:35 0
b23526 雪币： 4560 活跃值： (1037) 能力值： ( LV4，RANK：50 ) 在线值：发帖 351 回帖 1832 粉丝 4 关注私信	b23526 6 楼不错不错,有代码就好,懒人路过 2011-8-29 13:57 0
QEver 雪币： 233 活跃值： (285) 能力值： ( LV12，RANK：270 ) 在线值：发帖 32 回帖 581 粉丝 4 关注私信	QEver 5 7 楼最初见到这个方法的时候，是在某病毒的驱动中，用来恢复SSDT hook，不由感慨现在的病毒都做安全软件该做的事了。这个东东应该写成内核模块，用来检测SSDT hook和重建SSDT，你这代码用来学习不错，想拿来直接用就很麻烦了。 2011-8-29 14:09 0
ttuiop 雪币： 9 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	ttuiop 8 楼正需要，下了看看 2011-11-20 22:02 0
ttuiop 雪币： 9 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	ttuiop 9 楼哎，不是完整代码啊，编译通不过 2011-11-20 22:14 0
ttuiop 雪币： 9 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	ttuiop 10 楼隔了好些天再看，自己编译器设置的问题，是完整代码。感谢楼主了 2011-12-9 02:58 0
ronglei 雪币： 11 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	ronglei 11 楼 Mark~!~!~!~ 2011-12-9 10:24 0
EvilKnight 雪币： 483 活跃值： (822) 能力值： ( LV9，RANK：170 ) 在线值：发帖 22 回帖 618 粉丝 17 关注私信	EvilKnight 4 12 楼哈哈，我写成c++类就是想人家用起来方便.... 2012-1-4 11:47 0
iokey 雪币： 29 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 44 粉丝 0 关注私信	iokey 13 楼下载收藏备用 2012-12-15 13:04 0
LeoSky 雪币： 18 活跃值： (49) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 68 粉丝 0 关注私信	LeoSky 14 楼发现个小问题哦。。 // 如果是Nt开头的话,说不定是SSDT的函数 if (NULL != strstr(pFunName, "Nt")) 这里你会多读出一个函数。输出： FunName: NtYieldExecution ServiceID: 400 FunName: RtlGetLongestNtPathLength ServiceID: 269 RtlGetLongestNtPathLength，因为这个函数名中也有Nt字符串！我改成了：if (pFunName[0] == (char)'N' && pFunName[1] == (char)'t') 还有就是main函数中的 nCount 计数问题。呵呵。。 2013-2-20 11:10 0
EvilKnight 雪币： 483 活跃值： (822) 能力值： ( LV9，RANK：170 ) 在线值：发帖 22 回帖 618 粉丝 17 关注私信	EvilKnight 4 15 楼收到回复了，非常感谢指出问题。 2013-2-20 16:50 0
LeoSky 雪币： 18 活跃值： (49) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 68 粉丝 0 关注私信	LeoSky 16 楼客气客气，呵呵。最近在研究驱动编程，你的这段代码写了也有些年头，我只是仔细研读了一番。还要多多膜拜大牛你呢。呵呵。 2013-2-21 10:21 0
EvilKnight 雪币： 483 活跃值： (822) 能力值： ( LV9，RANK：170 ) 在线值：发帖 22 回帖 618 粉丝 17 关注私信	EvilKnight 4 17 楼膜拜就不必了，互相学习吧，我都好久没有写过代码了，呵呵... 2013-2-24 10:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复