CreateFile DeviceIoControl
switch
memcpy

打开ntdll找serviceId就是

打开ntdll是指用ZwOpenFile打开吗？打开后再怎么找呢？我现在用的办法是现在Ring3下找到ID然后传入驱动

看不懂是啥意思哦&^^^^^^^^^^^^^

MmGetSystemRoutine?

zwopenfile可以。  然后自己翻一遍IAT

MmGetSystemRoutine 就是在驱动中动态调用得到已经被ntoskrnl.exe、hal.dll导出的函数的实际地址。

和自己在其EAT中找差不多。

可是NtCreateThread不是由ntoskrnl.exe导出的，是由ntdll导出的

嗯，这个可以。

SSDT表中就有ZwCreateThread ，直接调用就可以了。不需要找。

#define SYSTEMSERVICE(_function) \
KeServiceDescriptorTable.ServiceTableBase[*(PULONG)((PUCHAR)_function+1)]

再具体的过程如下，希望LZ能够搞明白：

1. 映射ntdll.dll到内存-->ZwMapViewOfSection.
2. 搜索其EAT, 得到 ZwCreateThread的地址p
3. p + 1 处便是ntdll.dll 转入ntoskrnl.exe的服务号.
4. NtCreateThread 的地址 就可以通过这个服务号 在KeServiceDescriptorTable中取出
5. 用你的fake函数替换掉即可.

呵呵,这样就可以了

楼上说的懂了，谢谢
这么说必须要自己来解析了，我这个程序还要用IOCTL和用户层交换数据，如果要自己解析的话我觉得还是从用户层先用GetProcAddress得到ZwCreathThread的入口然后+1取出ID在传给驱动更简单一些

嗯,在R3得到服务号,传给R0也是很好的。

呵呵,用Windbg一看就能得到服务号ID了.

;2个未公开的函数，ZwCreateThread, ZwTerminateThread，这两个函数，需要我们从ntdll.dll的导出表中找到
; 2003  55
; xp    53
        push        offset g_usNtCreateThread
        call        MmGetSystemRoutineAddress                        ; 经过测试无法用次获取此Native API地址
        push        eax                                                ; 必须通过SSDT获取Native API地址
        call        DebugShowData
        ;jmp        SetInLineHookNtCreateThread_exit

        ;mov        eax, ZwCreateThread                                ; 等候用户程序传入ZW*地址
        ;mov        eax, dword ptr [eax+1]                                ; 从用户程序中获取SSDT服务的索引值