[求助]KeAddSystemServiceTable的问题-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
非安全雪币： 750 活跃值： (228) 能力值： ( LV9，RANK：780 ) 在线值：发帖 63 回帖 487 粉丝 11 关注私信	非安全 17 2 楼 ;::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: ;函数功能:寻找SSSDT的基地址 : ;原理：KeServiceDescriptorTable和KeServiceDescriptorTableShadow在同页: ;两表前面的ntoskrnl的SYSTEM_SERVICE_TABLE相同，不同的是后面win32k : ;::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: GetSSSDTAddress proc uses ecx LOCAL dwordatbyte push KeAddSystemServiceTable pop dwordatbyte invoke MmIsAddressValid ,dwordatbyte .if !eax jmp exit .endif xor ecx,ecx .while ecx < PAGE_SIZE invoke MmIsAddressValid ,dwordatbyte .if eax ;检查连接的指针是否有效 invoke memcmp,dwordatbyte, KeServiceDescriptorTable, sizeof SYSTEM_SERVICE_TABLE .if eax==0 ;对比前16字节相同则找到 .if dwordatbyte == KeServiceDescriptorTable ;排除自己 .continue ;跳过本次循环 .endif mov eax,dwordatbyte .endif .endif add dwordatbyte ,1 inc ecx .endw exit: xor eax,eax ret GetSSSDTAddress endp 我改成这样是否正确了？ 2010-1-20 02:43 0
非安全雪币： 750 活跃值： (228) 能力值： ( LV9，RANK：780 ) 在线值：发帖 63 回帖 487 粉丝 11 关注私信	非安全 17 3 楼测试了下，没蓝 2010-1-20 03:03 0
onepc 雪币： 109 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 26 回帖 157 粉丝 0 关注私信	onepc 4 楼楼主用汇编写驱动啊，对了。也可以用invoke的吗？ 2010-1-20 09:02 0
AsmBrat 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 97 粉丝 0 关注私信	AsmBrat 5 楼以前整过这个demo... 2010-6-7 02:21 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 6 楼赋值操作 2010-6-8 12:43 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 7 楼赋值，把KeAddSystemServiceTable的地址保存至p，类型是PUCHAR 2010-6-9 21:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
非安全雪币： 750 活跃值： (228) 能力值： ( LV9，RANK：780 ) 在线值：发帖 63 回帖 487 粉丝 11 关注私信	非安全 17 2 楼 ;::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: ;函数功能:寻找SSSDT的基地址 : ;原理：KeServiceDescriptorTable和KeServiceDescriptorTableShadow在同页: ;两表前面的ntoskrnl的SYSTEM_SERVICE_TABLE相同，不同的是后面win32k : ;::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::: GetSSSDTAddress proc uses ecx LOCAL dwordatbyte push KeAddSystemServiceTable pop dwordatbyte invoke MmIsAddressValid ,dwordatbyte .if !eax jmp exit .endif xor ecx,ecx .while ecx < PAGE_SIZE invoke MmIsAddressValid ,dwordatbyte .if eax ;检查连接的指针是否有效 invoke memcmp,dwordatbyte, KeServiceDescriptorTable, sizeof SYSTEM_SERVICE_TABLE .if eax==0 ;对比前16字节相同则找到 .if dwordatbyte == KeServiceDescriptorTable ;排除自己 .continue ;跳过本次循环 .endif mov eax,dwordatbyte .endif .endif add dwordatbyte ,1 inc ecx .endw exit: xor eax,eax ret GetSSSDTAddress endp 我改成这样是否正确了？ 2010-1-20 02:43 0
非安全雪币： 750 活跃值： (228) 能力值： ( LV9，RANK：780 ) 在线值：发帖 63 回帖 487 粉丝 11 关注私信	非安全 17 3 楼测试了下，没蓝 2010-1-20 03:03 0
onepc 雪币： 109 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 26 回帖 157 粉丝 0 关注私信	onepc 4 楼楼主用汇编写驱动啊，对了。也可以用invoke的吗？ 2010-1-20 09:02 0
AsmBrat 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 97 粉丝 0 关注私信	AsmBrat 5 楼以前整过这个demo... 2010-6-7 02:21 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 6 楼赋值操作 2010-6-8 12:43 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 7 楼赋值，把KeAddSystemServiceTable的地址保存至p，类型是PUCHAR 2010-6-9 21:48 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复