[已解决]为什么KeServiceDescriptorTable和KeServiceDescriptorTableShadow是一张表？-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (5)
晓枫木木雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 53 粉丝 0 关注私信	晓枫木木 2 楼想找KeServiceDescriptorTableShadow 2009-9-17 19:03 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 3 楼两个表的内容都是在KiInitSystem里初始化的。wrk源码中的KiInitSystem函数内容; VOID KiInitSystem ( VOID ) { …… // // Initialize the system service descriptor table. // KeServiceDescriptorTable[0].Base = &KiServiceTable[0]; KeServiceDescriptorTable[0].Count = NULL; KeServiceDescriptorTable[0].Limit = KiServiceLimit; KeServiceDescriptorTable[0].Number = KiArgumentTable; for (Index = 1; Index < NUMBER_SERVICE_TABLES; Index += 1) { KeServiceDescriptorTable[Index].Limit = 0; } // // Copy the system service descriptor table to the shadow table // which is used to record the Win32 system services. // RtlCopyMemory(KeServiceDescriptorTableShadow, KeServiceDescriptorTable, sizeof(KeServiceDescriptorTable)); return; } 注意最后的RtlCopyMemory以及注释，你就应该清楚了。 2009-9-17 19:10 0
晓枫木木雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 53 粉丝 0 关注私信	晓枫木木 4 楼那hook shadow ssdt 不是在这里找shadow的入口么 2009-9-17 19:20 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 5 楼你已经通过KeAddSystemServiceTable找到了KeServiceDescriptorTableShadow的位置了。 hook shadow ssdt指的其实是对KeServiceDescriptorTableShadow的第二张表，也就是win32k.sys的函数进行hook。 lkd> dd KeServiceDescriptorTableShadow 8055d6c0 80505460 00000000 0000011c 805058d4 8055d6d0 bf99a000 00000000 0000029b bf99ad10 8055d6e0 00000000 00000000 00000000 00000000 8055d6f0 00000000 00000000 00000000 00000000 要hook的是bf99a000开头的这张表 2009-9-17 19:27 0
晓枫木木雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 53 粉丝 0 关注私信	晓枫木木 6 楼哈哈非常感谢小聪一时晕了 2009-9-17 19:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (5)
晓枫木木雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 53 粉丝 0 关注私信	晓枫木木 2 楼想找KeServiceDescriptorTableShadow 2009-9-17 19:03 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 3 楼两个表的内容都是在KiInitSystem里初始化的。wrk源码中的KiInitSystem函数内容; VOID KiInitSystem ( VOID ) { …… // // Initialize the system service descriptor table. // KeServiceDescriptorTable[0].Base = &KiServiceTable[0]; KeServiceDescriptorTable[0].Count = NULL; KeServiceDescriptorTable[0].Limit = KiServiceLimit; KeServiceDescriptorTable[0].Number = KiArgumentTable; for (Index = 1; Index < NUMBER_SERVICE_TABLES; Index += 1) { KeServiceDescriptorTable[Index].Limit = 0; } // // Copy the system service descriptor table to the shadow table // which is used to record the Win32 system services. // RtlCopyMemory(KeServiceDescriptorTableShadow, KeServiceDescriptorTable, sizeof(KeServiceDescriptorTable)); return; } 注意最后的RtlCopyMemory以及注释，你就应该清楚了。 2009-9-17 19:10 0
晓枫木木雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 53 粉丝 0 关注私信	晓枫木木 4 楼那hook shadow ssdt 不是在这里找shadow的入口么 2009-9-17 19:20 0
轩辕小聪雪币： 722 活跃值： (123) 能力值： ( LV12，RANK：300 ) 在线值：发帖 10 回帖 547 粉丝 5 关注私信	轩辕小聪 7 5 楼你已经通过KeAddSystemServiceTable找到了KeServiceDescriptorTableShadow的位置了。 hook shadow ssdt指的其实是对KeServiceDescriptorTableShadow的第二张表，也就是win32k.sys的函数进行hook。 lkd> dd KeServiceDescriptorTableShadow 8055d6c0 80505460 00000000 0000011c 805058d4 8055d6d0 bf99a000 00000000 0000029b bf99ad10 8055d6e0 00000000 00000000 00000000 00000000 8055d6f0 00000000 00000000 00000000 00000000 要hook的是bf99a000开头的这张表 2009-9-17 19:27 0
晓枫木木雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 53 粉丝 0 关注私信	晓枫木木 6 楼哈哈非常感谢小聪一时晕了 2009-9-17 19:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复