[求助]请教ssdt还原问题。-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]请教ssdt还原问题。

发表于: 2009-11-4 15:20 4133

[求助]请教ssdt还原问题。

坏坏abc

2009-11-4 15:20

4133

如何从ntoskrnl.exe或ntkrnlpa.exe中提取ssdt,看到网上一些代码直接从pe中获取，那么我可以直接用ue之类文件打开查看到ssdt吗？
我还试了一下手工加载，再取值，也没有取到。

HINSTANCE h = LoadLibrary("ntoskrnl.exe");
printf("address = 0x%x\n",h);

void* p = (void *)GetProcAddress(h,"KeServiceDescriptorTable");
printf("0x%x\n",p);
printf("0x%x\n",*(DWORD *)p);

此处p有值，*p确为0。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・1

免费・0

支持

最新回复 (1)
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 2 楼先取得SSDT的 RVA，然后再定位到PE区块表，搜索找到SSDT RVA所在的区块的RVA和Raw sssdt RVA- (区块RVA-Raw)就得到了ssdt 文件偏移，然后用ReadFile读取就得到了SSDT函数的文件偏移，在重定位后就得到了原始地址函数的文件偏移+内核文件基址-0x00400000就是SSDT函数的原始地址了 2009-11-4 16:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

坏坏abc

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (1)
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 2 楼先取得SSDT的 RVA，然后再定位到PE区块表，搜索找到SSDT RVA所在的区块的RVA和Raw sssdt RVA- (区块RVA-Raw)就得到了ssdt 文件偏移，然后用ReadFile读取就得到了SSDT函数的文件偏移，在重定位后就得到了原始地址函数的文件偏移+内核文件基址-0x00400000就是SSDT函数的原始地址了 2009-11-4 16:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[求助]请教ssdt还原问题 。

[求助]请教ssdt还原问题。