大牛们~问个ssdt shadow驱动问题-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
NiGHter 雪币： 111 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 41 粉丝 0 关注私信	NiGHter 2 楼 SSDT的是 typedef struct ServiceDescriptorEntry { unsigned int ServiceTableBase; unsigned int ServiceCounterTableBase; unsigned int NumberOfServices; unsigned char ParamTableBase; } ServiceDescriptorTableEntry, PServiceDescriptorTableEntry; extern PServiceDescriptorTableEntry KeServiceDescriptorTable; extern ServiceDescriptorTableEntry KeServiceDescriptorTable; 记得应该是这样吧,不需要再加一级指针了.没环境不能帮你测试下了. 2011-6-1 16:55 0
ryanliu 雪币： 83 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 19 粉丝 0 关注私信	ryanliu 3 楼 ULONG getShadowTable() { KeServiceDescriptorTableShadow = (PServiceDescriptorTableEntry) getAddressOfShadowTable(); if(KeServiceDescriptorTableShadow == NULL) { DbgPrint("hooker.sys: Couldnt find shadowtable!"); return FALSE; } else { DbgPrint("hooker.sys: Shadowtable has been found!"); DbgPrint("hooker.sys: Shadowtable entries: %d", KeServiceDescriptorTableShadow[1].NumberOfServices); return TRUE; } } 需要用到KeServiceDescriptorTableShadow的 2011-6-1 17:13 0
ycmint 雪币： 1149 活跃值： (833) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 10 关注私信	ycmint 5 4 楼 http://bbs.pediy.com/showthread.php?t=42422 这个可以给你解决和扩展 2011-6-1 17:35 0
ryanliu 雪币： 83 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 19 粉丝 0 关注私信	ryanliu 5 楼两个总是有冲突。。。试了1天了 2011-6-2 03:23 0
NiGHter 雪币： 111 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 41 粉丝 0 关注私信	NiGHter 6 楼传源码我编译看看 2011-6-3 18:10 0
htht 雪币： 246 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 38 粉丝 0 关注私信	htht 7 楼实验了下。我能编译。我vs2003 ，c++编译方式。 typedef struct ServiceDescriptorEntry { unsigned int ServiceTableBase; unsigned int ServiceCounterTableBase; unsigned int NumberOfServices; unsigned char ParamTableBase; } ServiceDescriptorTableEntry, PServiceDescriptorTableEntry; extern "C" PServiceDescriptorTableEntry KeServiceDescriptorTable; PServiceDescriptorTableEntry KeServiceDescriptorTableShadow; 2011-6-4 21:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
NiGHter 雪币： 111 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 41 粉丝 0 关注私信	NiGHter 2 楼 SSDT的是 typedef struct ServiceDescriptorEntry { unsigned int ServiceTableBase; unsigned int ServiceCounterTableBase; unsigned int NumberOfServices; unsigned char ParamTableBase; } ServiceDescriptorTableEntry, PServiceDescriptorTableEntry; extern PServiceDescriptorTableEntry KeServiceDescriptorTable; extern ServiceDescriptorTableEntry KeServiceDescriptorTable; 记得应该是这样吧,不需要再加一级指针了.没环境不能帮你测试下了. 2011-6-1 16:55 0
ryanliu 雪币： 83 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 19 粉丝 0 关注私信	ryanliu 3 楼 ULONG getShadowTable() { KeServiceDescriptorTableShadow = (PServiceDescriptorTableEntry) getAddressOfShadowTable(); if(KeServiceDescriptorTableShadow == NULL) { DbgPrint("hooker.sys: Couldnt find shadowtable!"); return FALSE; } else { DbgPrint("hooker.sys: Shadowtable has been found!"); DbgPrint("hooker.sys: Shadowtable entries: %d", KeServiceDescriptorTableShadow[1].NumberOfServices); return TRUE; } } 需要用到KeServiceDescriptorTableShadow的 2011-6-1 17:13 0
ycmint 雪币： 1149 活跃值： (833) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 10 关注私信	ycmint 5 4 楼 http://bbs.pediy.com/showthread.php?t=42422 这个可以给你解决和扩展 2011-6-1 17:35 0
ryanliu 雪币： 83 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 19 粉丝 0 关注私信	ryanliu 5 楼两个总是有冲突。。。试了1天了 2011-6-2 03:23 0
NiGHter 雪币： 111 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 41 粉丝 0 关注私信	NiGHter 6 楼传源码我编译看看 2011-6-3 18:10 0
htht 雪币： 246 活跃值： (30) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 38 粉丝 0 关注私信	htht 7 楼实验了下。我能编译。我vs2003 ，c++编译方式。 typedef struct ServiceDescriptorEntry { unsigned int ServiceTableBase; unsigned int ServiceCounterTableBase; unsigned int NumberOfServices; unsigned char ParamTableBase; } ServiceDescriptorTableEntry, PServiceDescriptorTableEntry; extern "C" PServiceDescriptorTableEntry KeServiceDescriptorTable; PServiceDescriptorTableEntry KeServiceDescriptorTableShadow; 2011-6-4 21:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复