[求助]求助ntoskrnel.exe 重定位问题-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 2 楼看了不下10遍，依然不知道楼主要表达什么意思~~ ntkrlpa.exe可以用LoadLibrary来加载嘛？？？片段代码，从某个kernel pe load摘出来的~~ BOOL PeLoad(WCHAR FileFullPath,BYTE ImageModeleBase,PDRIVER_OBJECT DeviceObject,DWORD ExistImageBase) { NTSTATUS Status; HANDLE hFile; LARGE_INTEGER FileSize; DWORD Length; BYTE FileBuffer; BYTE ImageBase; IO_STATUS_BLOCK IoStatus; Status=KernelOpenFile(FileFullPath,&hFile,0x100020,0x80,1,1,0x20); if (!NT_SUCCESS(Status)) { return FALSE; } Status=KernelGetFileSize(hFile,&FileSize); if (!NT_SUCCESS(Status)) { ZwClose(hFile); return FALSE; } Length=FileSize.LowPart; FileBuffer=ExAllocatePool(PagedPool,Length); if (FileBuffer==NULL) { ZwClose(hFile); return FALSE; } Status=KernelReadFile(hFile,NULL,Length,FileBuffer,&IoStatus); if (!NT_SUCCESS(Status)) { ZwClose(hFile); ExFreePool(FileBuffer); return FALSE; } ZwClose(hFile); if(!ImageFile(FileBuffer,&ImageBase)) { ExFreePool(FileBuffer); return FALSE; } ExFreePool(FileBuffer); if(!FixImportTable(ImageBase,DeviceObject)) { ExFreePool(ImageBase); return FALSE; } if(!FixBaseRelocTable(ImageBase,ExistImageBase)) { ExFreePool(ImageBase); return FALSE; } ImageModeleBase=ImageBase; return TRUE; } 2010-8-18 04:50 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 3 楼恢复ssdt，网上代码一箩筐~~ 2010-8-18 04:51 0
名叫教主雪币： 64 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 47 粉丝 0 关注私信	名叫教主 4 楼 KeServiceDescriptorTable-> ServiceTableBase 这片内存以及下面这个 KeServiceDescriptorTable->NumberOfService 变量是在nt*.exe 内核加载的哪个阶段被填充的，根据我个人的研究，我估计那几个东东被重定位了，说白了就是想了解他们是如何被填充的。本人表达不清晰，原谅，原谅。。。 2010-8-18 22:03 0
programfan 雪币： 998 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 215 粉丝 0 关注私信	programfan 5 楼 KiInitSystem() 2010-8-19 01:03 0
名叫教主雪币： 64 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 47 粉丝 0 关注私信	名叫教主 6 楼回5楼：我研究了几个不同版本[nt4-src,xp ,win7 dbg ] 的KiInitSystem函数通过源码或者一些反汇编，大概知道了KeServiceDescriptorTable这个确实在KiInitSystem函数中完成，但是他们是直接这样的 // // Initialize the system service descriptor table. // KeServiceDescriptorTable[0].Base = &KiServiceTable[0]; KeServiceDescriptorTable[0].Count = NULL; KeServiceDescriptorTable[0].Limit = KiServiceLimit; KeServiceDescriptorTable[0].Number = &KiArgumentTable[0]; for (Index = 1; Index < NUMBER_SERVICE_TABLES; Index += 1) { KeServiceDescriptorTable[Index].Limit = 0; } // // Copy the system service descriptor table to the shadow table // which is used to record the Win32 system services. // RtlCopyMemory(KeServiceDescriptorTableShadow, KeServiceDescriptorTable, sizeof(KeServiceDescriptorTable)); 而KiServiceTable 是直接被声明的 extern ULONG KiServiceTable[]; 这个数组的初始化我没找到代码，，，数组里面才应该是真正的SSDT 入口。。离成功不远了。 2010-8-21 02:17 0
yajiedesig 雪币： 49 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 32 粉丝 0 关注私信	yajiedesig 7 楼参见WRK WRK-v1.2\base\ntos\ke\i386\systable.asm 大概吧。 2010-12-3 13:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 2 楼看了不下10遍，依然不知道楼主要表达什么意思~~ ntkrlpa.exe可以用LoadLibrary来加载嘛？？？片段代码，从某个kernel pe load摘出来的~~ BOOL PeLoad(WCHAR FileFullPath,BYTE ImageModeleBase,PDRIVER_OBJECT DeviceObject,DWORD ExistImageBase) { NTSTATUS Status; HANDLE hFile; LARGE_INTEGER FileSize; DWORD Length; BYTE FileBuffer; BYTE ImageBase; IO_STATUS_BLOCK IoStatus; Status=KernelOpenFile(FileFullPath,&hFile,0x100020,0x80,1,1,0x20); if (!NT_SUCCESS(Status)) { return FALSE; } Status=KernelGetFileSize(hFile,&FileSize); if (!NT_SUCCESS(Status)) { ZwClose(hFile); return FALSE; } Length=FileSize.LowPart; FileBuffer=ExAllocatePool(PagedPool,Length); if (FileBuffer==NULL) { ZwClose(hFile); return FALSE; } Status=KernelReadFile(hFile,NULL,Length,FileBuffer,&IoStatus); if (!NT_SUCCESS(Status)) { ZwClose(hFile); ExFreePool(FileBuffer); return FALSE; } ZwClose(hFile); if(!ImageFile(FileBuffer,&ImageBase)) { ExFreePool(FileBuffer); return FALSE; } ExFreePool(FileBuffer); if(!FixImportTable(ImageBase,DeviceObject)) { ExFreePool(ImageBase); return FALSE; } if(!FixBaseRelocTable(ImageBase,ExistImageBase)) { ExFreePool(ImageBase); return FALSE; } ImageModeleBase=ImageBase; return TRUE; } 2010-8-18 04:50 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 3 楼恢复ssdt，网上代码一箩筐~~ 2010-8-18 04:51 0
名叫教主雪币： 64 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 47 粉丝 0 关注私信	名叫教主 4 楼 KeServiceDescriptorTable-> ServiceTableBase 这片内存以及下面这个 KeServiceDescriptorTable->NumberOfService 变量是在nt*.exe 内核加载的哪个阶段被填充的，根据我个人的研究，我估计那几个东东被重定位了，说白了就是想了解他们是如何被填充的。本人表达不清晰，原谅，原谅。。。 2010-8-18 22:03 0
programfan 雪币： 998 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 215 粉丝 0 关注私信	programfan 5 楼 KiInitSystem() 2010-8-19 01:03 0
名叫教主雪币： 64 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 47 粉丝 0 关注私信	名叫教主 6 楼回5楼：我研究了几个不同版本[nt4-src,xp ,win7 dbg ] 的KiInitSystem函数通过源码或者一些反汇编，大概知道了KeServiceDescriptorTable这个确实在KiInitSystem函数中完成，但是他们是直接这样的 // // Initialize the system service descriptor table. // KeServiceDescriptorTable[0].Base = &KiServiceTable[0]; KeServiceDescriptorTable[0].Count = NULL; KeServiceDescriptorTable[0].Limit = KiServiceLimit; KeServiceDescriptorTable[0].Number = &KiArgumentTable[0]; for (Index = 1; Index < NUMBER_SERVICE_TABLES; Index += 1) { KeServiceDescriptorTable[Index].Limit = 0; } // // Copy the system service descriptor table to the shadow table // which is used to record the Win32 system services. // RtlCopyMemory(KeServiceDescriptorTableShadow, KeServiceDescriptorTable, sizeof(KeServiceDescriptorTable)); 而KiServiceTable 是直接被声明的 extern ULONG KiServiceTable[]; 这个数组的初始化我没找到代码，，，数组里面才应该是真正的SSDT 入口。。离成功不远了。 2010-8-21 02:17 0
yajiedesig 雪币： 49 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 32 粉丝 0 关注私信	yajiedesig 7 楼参见WRK WRK-v1.2\base\ntos\ke\i386\systable.asm 大概吧。 2010-12-3 13:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复