[讨论][讨论] 知道SSDT真实地址后。。能否R3下直接调用那个地址！！-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (13)
kissxrl 雪币： 227 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 65 粉丝 0 关注私信	kissxrl 2 楼就是 R3 下不经过 SSDT 表。。。直接调用真实系统API。。这样也不用驱动。。可以吗。 2010-7-5 15:11 0
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 3 楼异想天开的人真多，要可以的话就不用费尽心思寻找ring3无驱进ring0的方法了。 ring3能访问那些地址麽？再说到底可行不可行，你写个程序测试下不就行了 2010-7-5 15:40 0
better 雪币： 331 活跃值： (57) 能力值： ( LV7，RANK：100 ) 在线值：发帖 33 回帖 324 粉丝 3 关注私信	better 2 4 楼读、写、执行都不行的，页表或页目录中权限定死了。 2010-7-5 17:14 0
kissxrl 雪币： 227 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 65 粉丝 0 关注私信	kissxrl 5 楼那在 R0 下可以不？不修改 SSDT表。。。。直接调用原始地址。。 2010-7-5 21:05 0
hawkish 雪币： 258 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 137 粉丝 0 关注私信	hawkish 1 6 楼实践出真知,LZ问别人不如自己动手实验一把。 2010-7-5 21:07 0
南方失败雪币： 230 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 62 粉丝 0 关注私信	南方失败 7 楼假如可以...每个程序乱调用,那你系统还不完蛋了?然而你的系统却没事...所以推断-->不行. 2010-7-5 21:55 0
kissxrl 雪币： 227 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 65 粉丝 0 关注私信	kissxrl 8 楼我是 C# 的看那些 C++ 代码和看天书一样到处都是指针呀。&* 各种个样的类型。。汗一个什么 ULONG LONG DOWR PCHAR LWCSTR 真是看晕了。。。。写一段好用的 C++ 驱动代码实在太困难呢。。所以实现前就来先问问。。知道看雪牛多。。麻烦的要命。。主程序是 C# 在用 C# 调用 C++ DLL 获取 SSDT原始表。。在传给驱动。。。修改SSDT表一个东西。。我就用了 3种语言郁闷呀。 2010-7-5 22:31 0
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 9 楼驱动里面应该是可以的，只要知道地址就可以转换一下用了 SSDT HOOK的时候就经常需要这样调用原函数不过到驱动里面了，这样做还有什么意义，都可以直接调用更底层的函数了 2010-7-6 11:57 0
寻思雪币： 58 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	寻思 10 楼驱动里面也不能直接调用NtXXXXX如果是R3直接发IO码去让R0调的话，调用这个地址的线程还是UserMode，没法成功的。得patch一下flag成KernelMode，或者另起内核线程或者workitem。 2010-7-8 16:56 0
sunsdw 雪币： 256 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 33 粉丝 0 关注私信	sunsdw 11 楼谁有好的Ring0，ring3什么的书给推荐一下系统底层什么的也可以 2010-7-9 09:40 0
triones 雪币： 517 活跃值： (84) 能力值： ( LV12，RANK：250 ) 在线值：发帖 17 回帖 158 粉丝 1 关注私信	triones 6 12 楼楼主也是在前进过程中有一些自我思考，好事。只是目前这个问题的答案是：不行。所以楼主可以去搜索为什么不行，如何才行。这样的答案。于是，能前进，能强大 2010-7-9 10:00 0
webwizard 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 310 粉丝 0 关注私信	webwizard 13 楼进来看热闹！ 2010-7-10 02:38 0
msfan 雪币： 72 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 32 粉丝 0 关注私信	msfan 14 楼结构、调用都没有搞懂 2010-7-21 16:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (13)
kissxrl 雪币： 227 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 65 粉丝 0 关注私信	kissxrl 2 楼就是 R3 下不经过 SSDT 表。。。直接调用真实系统API。。这样也不用驱动。。可以吗。 2010-7-5 15:11 0
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 3 楼异想天开的人真多，要可以的话就不用费尽心思寻找ring3无驱进ring0的方法了。 ring3能访问那些地址麽？再说到底可行不可行，你写个程序测试下不就行了 2010-7-5 15:40 0
better 雪币： 331 活跃值： (57) 能力值： ( LV7，RANK：100 ) 在线值：发帖 33 回帖 324 粉丝 3 关注私信	better 2 4 楼读、写、执行都不行的，页表或页目录中权限定死了。 2010-7-5 17:14 0
kissxrl 雪币： 227 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 65 粉丝 0 关注私信	kissxrl 5 楼那在 R0 下可以不？不修改 SSDT表。。。。直接调用原始地址。。 2010-7-5 21:05 0
hawkish 雪币： 258 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 137 粉丝 0 关注私信	hawkish 1 6 楼实践出真知,LZ问别人不如自己动手实验一把。 2010-7-5 21:07 0
南方失败雪币： 230 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 62 粉丝 0 关注私信	南方失败 7 楼假如可以...每个程序乱调用,那你系统还不完蛋了?然而你的系统却没事...所以推断-->不行. 2010-7-5 21:55 0
kissxrl 雪币： 227 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 65 粉丝 0 关注私信	kissxrl 8 楼我是 C# 的看那些 C++ 代码和看天书一样到处都是指针呀。&* 各种个样的类型。。汗一个什么 ULONG LONG DOWR PCHAR LWCSTR 真是看晕了。。。。写一段好用的 C++ 驱动代码实在太困难呢。。所以实现前就来先问问。。知道看雪牛多。。麻烦的要命。。主程序是 C# 在用 C# 调用 C++ DLL 获取 SSDT原始表。。在传给驱动。。。修改SSDT表一个东西。。我就用了 3种语言郁闷呀。 2010-7-5 22:31 0
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 9 楼驱动里面应该是可以的，只要知道地址就可以转换一下用了 SSDT HOOK的时候就经常需要这样调用原函数不过到驱动里面了，这样做还有什么意义，都可以直接调用更底层的函数了 2010-7-6 11:57 0
寻思雪币： 58 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	寻思 10 楼驱动里面也不能直接调用NtXXXXX如果是R3直接发IO码去让R0调的话，调用这个地址的线程还是UserMode，没法成功的。得patch一下flag成KernelMode，或者另起内核线程或者workitem。 2010-7-8 16:56 0
sunsdw 雪币： 256 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 33 粉丝 0 关注私信	sunsdw 11 楼谁有好的Ring0，ring3什么的书给推荐一下系统底层什么的也可以 2010-7-9 09:40 0
triones 雪币： 517 活跃值： (84) 能力值： ( LV12，RANK：250 ) 在线值：发帖 17 回帖 158 粉丝 1 关注私信	triones 6 12 楼楼主也是在前进过程中有一些自我思考，好事。只是目前这个问题的答案是：不行。所以楼主可以去搜索为什么不行，如何才行。这样的答案。于是，能前进，能强大 2010-7-9 10:00 0
webwizard 雪币： 29 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 310 粉丝 0 关注私信	webwizard 13 楼进来看热闹！ 2010-7-10 02:38 0
msfan 雪币： 72 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 32 粉丝 0 关注私信	msfan 14 楼结构、调用都没有搞懂 2010-7-21 16:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复