// querySystemInfomation.cpp : 定义控制台应用程序的入口点。
//
#include "stdafx.h"
#include "windows.h"
#include "malloc.h"
/*发一篇学习心得,本人很菜,自学编程 ,学习点东西都很费力,希望大牛不要笑我
/最近学到内核编程遇到了很多直接强类型缓存区,譬如从SSDT中定位api,ZwQuerySystemInformation 等....
以前学asp.net没考虑过这些,当遇到这些问题时候,思路还是很模糊的,这些天,不断的遇到这样的操作,于是我就
写了下面这个练习,证明,在内存中数据的存取是靠基址 + 偏移,有了基地之 就可以通过偏移改PE文件,idt,ssdt等等操作
*/
typedef enum _class
{
P_INFORMATION=1, //SYSTEM_PROCESS_INFORMATION
M_INFORMATION, //SYSTEM_MODULE_INFORMATION
T_INFORMATION //根据这个标志等下我们随意的一个偏移处写个函数放进去
}INFO_CLASS;
//进程结构
typedef struct _SYSTEM_PRCESS_INFORMATION
{
UINT pid;
char name[8];
}SYSTEM_PROCESS_INFORMATION,*PSYSTEM_PROCESS_INFORMATION;
//模块结构
typedef struct _SYSTEM_MODULE_INFORMATION
{
DWORD addr;
char name[8];
int flag;
}SYSTEM_MODULE_INFORMATION,*PSYSTEM_MODULE_INFORMATION;
//假设这个函数在ssdt中 偏移为16 也就是 index = 4 ===>baseAddress + index * 4 得到这个 函数地址
int add(int a,int b)
{
return a+b;
}
#pragma pack(4)
PVOID QueryInfo(INFO_CLASS cls,PVOID buffer)
{
//初始化,取一些信息,放在内存中,供查询使用
UINT pid=1234; //取进程id
DWORD pName = 0x4241 ;//取进程名字:ab --这里注意下字节序
DWORD mName = 0x4443 ; //取模块名字:cd
int flag = 888; //取模块标志
DWORD addr = 0xff; //取模块地址
PVOID functionAddr = (PVOID)add; //取函数地址
//下面我不用变量写入,直接用汇编写内存,避免变量概念的干扰
switch(cls)
{
case P_INFORMATION:
_asm
{
//这里写进程id 和进程名 pName
mov eax,buffer
mov ebx,pid
mov [eax],ebx
mov ebx,pName
mov [eax+4],ebx
}
break;
case M_INFORMATION:
_asm
{
//这里写模块地址addr,模块名字mName,模块标志flag
mov eax,buffer
mov ebx,addr
mov [eax],ebx
mov ebx,mName
mov [eax+4],ebx
mov ebx,flag
mov [eax+12],ebx
}
break;
case T_INFORMATION:
_asm
{
//我们把Add函数存在ssdt中,偏移16
mov eax,buffer
mov ebx,functionAddr
mov [eax+16],ebx
}
break;
}
return buffer;
}
#pragma pack()
int _tmain(int argc, _TCHAR* argv[])
{
PVOID buffer = malloc(36);
////////////////////////////////////////////////////////////////////////////////////////////////////////////
//读取一下进程信息
PVOID baseAddress = QueryInfo(P_INFORMATION,buffer);
if(baseAddress == NULL)
{
goto error;
}
PSYSTEM_PROCESS_INFORMATION pMessage = (PSYSTEM_PROCESS_INFORMATION)baseAddress;
printf("|查询进程信息pid:%d -- pName:%s\n|",pMessage->pid,pMessage->name);
////////////////////////////////////////////////////////////////////////////////////////////////////////////
//读取一下模块信息
baseAddress = QueryInfo(M_INFORMATION,buffer);
if(baseAddress == NULL)
{
goto error;
}
PSYSTEM_MODULE_INFORMATION mMessage = (PSYSTEM_MODULE_INFORMATION)baseAddress;
printf("|查询模块信息addr:0x%x -- mName:%s\--flag:%d\n|",mMessage->addr,mMessage->name,mMessage->flag);
////////////////////////////////////////////////////////////////////////////////////////////////////////////
//读取下偏移为16那里的函数
typedef int (*funs)(int a,int b);
funs add;
baseAddress = QueryInfo(T_INFORMATION,buffer);
if(baseAddress == NULL)
{
goto error;
}
PVOID fMessage = baseAddress;
_asm
{
mov eax,fMessage
mov eax,[eax+16]
mov add,eax
}
int c = add(50,20);
printf("add函数结果:%d\n",c);
//譬如说SSDT中偏移为16的地方存了一个函数入口地址 add(0x45645678)
//现在我们就可以typedef void (*funs)()
//funs f = (fun)[baseAddress+16]
//f();
//或者修改函数地址,这里要注意内存写保护的问题,和大小问题
//(*(ULONG *)(baseAddress+16)) = myfunc;
delete buffer;
return 0;
error:
printf("读取内存失败\n");
delete buffer;
return -1;
}
//系统的那个ZwQuerySystemInformation肯定比这个复杂很多,但是我感觉原理该差不多了,
//写完之后,感觉自己更加清晰了,可以很轻松的用KeServiecDescriptorTable + index *4 等去定位一些东西了.
//希望对那些和我一样菜的,还不是很明白的人能有所帮助,以后遇到譬如KeServiecDescriptorTable + index*4 ,ZwQuerySystemInformation 这样的东西不感到恐惧.
//2点了,睡觉。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)