[求助]Ring0下如何读SSDT表？-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (14)
pathletboy 雪币： 184 活跃值： (75) 能力值： ( LV6，RANK：90 ) 在线值：发帖 25 回帖 376 粉丝 1 关注私信	pathletboy 2 2 楼 typedef struct _SERVICE_DESCRIPTOR_TABLE { PVOID ServiceTableBase; PULONG ServiceCounterTableBase; ULONG NumberOfService; ULONG ParamTableBase; }SERVICE_DESCRIPTOR_TABLE,*PSERVICE_DESCRIPTOR_TABLE; //由于KeServiceDescriptorTable只有一项,这里就简单点了 extern PSERVICE_DESCRIPTOR_TABLE KeServiceDescriptorTable;//KeServiceDescriptorTable为导出函数 2008-6-21 15:52 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 3 楼因为SSDT导出了。所以，拿去用吧。 2008-6-21 16:31 0
aliwy 雪币： 26 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 140 粉丝 0 关注私信	aliwy 4 楼函数名称、函数原址在哪里？ 2008-6-22 09:43 0
aliwy 雪币： 26 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 140 粉丝 0 关注私信	aliwy 5 楼驱动里通过KeServiceDescriptorTable取得每个函数的地址，怎么通过此地址得到函数名称呢？？ 2008-6-23 23:35 0
aliwy 雪币： 26 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 140 粉丝 0 关注私信	aliwy 6 楼通过KeServiceDescriptorTable获得服务号和当前地址，再通过“ntdll.dll”可以获得“Nt”开头的服务名称，但如何关联呢？哪个服务号对应哪个服务名？ 2008-7-8 23:19 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 7 楼 ntdll.dll中的函数第一句代码通常是 mov eax,XXXX 这个XXXX就是服务号了。 2008-7-9 14:36 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 8 楼搜noobhook 2008-7-9 16:28 0
aliwy 雪币： 26 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 140 粉丝 0 关注私信	aliwy 9 楼 thanks, addr + 1. 2008-7-10 21:47 0
winnip 雪币： 145 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 100 回帖 902 粉丝 0 关注私信	winnip 1 10 楼没有看懂大家说什么。 2008-7-13 19:01 0
aliwy 雪币： 26 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 140 粉丝 0 关注私信	aliwy 11 楼谢谢楼上两位朋友！两月多后再次顶起这个帖子。在Ring0下要获取SSDT原始地址，对于各位来说已经是玩了不要的技术了，但老菜我还是有些不明白，想继续请教各位科普一下：通过加载ntosknel.exe，找到导出表中KeServiceDescriptorTable的地址后，又该如何确定各个函数的原始地址呢？论坛中「SSDT UnHook」代码中的 RVAToRaw 这个函数的功能也不是很明白，请各位指教，谢谢！！！ 2008-9-18 23:42 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 12 楼 [QUOTE=;]...[/QUOTE] 那个函数是虚拟地址转文件偏移。函数原始地址一般是分析文件导出表得KST地址 Kst加Index*4值在还原。 2008-9-19 08:06 0
aliwy 雪币： 26 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 140 粉丝 0 关注私信	aliwy 13 楼嗯，我也知道是分析…… 还是自己弄吧。 2008-9-19 21:38 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 14 楼网上很多例子的，多找找吧。自己弄除非很了解原理不然会走很多弯路。。拿网上的例子结合自己的所知去理解。很快！ 2008-9-20 20:34 0
sding 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 64 粉丝 0 关注私信	sding 15 楼我做过一个，现在给丢了，最后还有一个不明的是，在我的机子中，SSDT表不在NTOSKRNL.EXE中，在虚拟机中完全正确 2008-9-24 14:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (14)
pathletboy 雪币： 184 活跃值： (75) 能力值： ( LV6，RANK：90 ) 在线值：发帖 25 回帖 376 粉丝 1 关注私信	pathletboy 2 2 楼 typedef struct _SERVICE_DESCRIPTOR_TABLE { PVOID ServiceTableBase; PULONG ServiceCounterTableBase; ULONG NumberOfService; ULONG ParamTableBase; }SERVICE_DESCRIPTOR_TABLE,*PSERVICE_DESCRIPTOR_TABLE; //由于KeServiceDescriptorTable只有一项,这里就简单点了 extern PSERVICE_DESCRIPTOR_TABLE KeServiceDescriptorTable;//KeServiceDescriptorTable为导出函数 2008-6-21 15:52 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 3 楼因为SSDT导出了。所以，拿去用吧。 2008-6-21 16:31 0
aliwy 雪币： 26 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 140 粉丝 0 关注私信	aliwy 4 楼函数名称、函数原址在哪里？ 2008-6-22 09:43 0
aliwy 雪币： 26 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 140 粉丝 0 关注私信	aliwy 5 楼驱动里通过KeServiceDescriptorTable取得每个函数的地址，怎么通过此地址得到函数名称呢？？ 2008-6-23 23:35 0
aliwy 雪币： 26 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 140 粉丝 0 关注私信	aliwy 6 楼通过KeServiceDescriptorTable获得服务号和当前地址，再通过“ntdll.dll”可以获得“Nt”开头的服务名称，但如何关联呢？哪个服务号对应哪个服务名？ 2008-7-8 23:19 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 7 楼 ntdll.dll中的函数第一句代码通常是 mov eax,XXXX 这个XXXX就是服务号了。 2008-7-9 14:36 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 8 楼搜noobhook 2008-7-9 16:28 0
aliwy 雪币： 26 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 140 粉丝 0 关注私信	aliwy 9 楼 thanks, addr + 1. 2008-7-10 21:47 0
winnip 雪币： 145 活跃值： (85) 能力值： ( LV5，RANK：60 ) 在线值：发帖 100 回帖 902 粉丝 0 关注私信	winnip 1 10 楼没有看懂大家说什么。 2008-7-13 19:01 0
aliwy 雪币： 26 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 140 粉丝 0 关注私信	aliwy 11 楼谢谢楼上两位朋友！两月多后再次顶起这个帖子。在Ring0下要获取SSDT原始地址，对于各位来说已经是玩了不要的技术了，但老菜我还是有些不明白，想继续请教各位科普一下：通过加载ntosknel.exe，找到导出表中KeServiceDescriptorTable的地址后，又该如何确定各个函数的原始地址呢？论坛中「SSDT UnHook」代码中的 RVAToRaw 这个函数的功能也不是很明白，请各位指教，谢谢！！！ 2008-9-18 23:42 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 12 楼 [QUOTE=;]...[/QUOTE] 那个函数是虚拟地址转文件偏移。函数原始地址一般是分析文件导出表得KST地址 Kst加Index*4值在还原。 2008-9-19 08:06 0
aliwy 雪币： 26 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 20 回帖 140 粉丝 0 关注私信	aliwy 13 楼嗯，我也知道是分析…… 还是自己弄吧。 2008-9-19 21:38 0
xacker 雪币： 522 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 449 粉丝 0 关注私信	xacker 1 14 楼网上很多例子的，多找找吧。自己弄除非很了解原理不然会走很多弯路。。拿网上的例子结合自己的所知去理解。很快！ 2008-9-20 20:34 0
sding 雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 64 粉丝 0 关注私信	sding 15 楼我做过一个，现在给丢了，最后还有一个不明的是，在我的机子中，SSDT表不在NTOSKRNL.EXE中，在虚拟机中完全正确 2008-9-24 14:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复