首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 付费问答
    3. 发新帖
[旧帖] 关于SSDT函数的索引号 0.00雪花
发表于: 2012-4-15 00:50 5401

[旧帖] 关于SSDT函数的索引号 0.00雪花

Nekoxiaoji 活跃值
2012-4-15 00:50
5401
关于SSDT函数的索引号,比如NtOpenProcess这个函数的索引是0x7A(122),我想问一下在所有系统都是同样索引号吗?如果不是,如何动态获取此函数的SSDT函数索引呢??

[课程]Linux pwn 探索篇!

收藏
免费 0
支持
分享
最新回复 (8)
sierra
雪    币: 238
活跃值: (55)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
私信
2
不是,从函数体中读取
2012-4-15 01:05
0
哇咔咔zs
雪    币: 130
活跃值: (1005)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
for (ULONG i=0;i<ServiceNumber;i++)
if(KeSSDT ->ServiceBase + i*4 == MmGetSystemRoutineAddress (L"NtOpenProcess"))
2012-4-15 04:05
0
evilor
雪    币: 297
活跃值: (235)
能力值: ( LV4,RANK:55 )
在线值:
发帖
回帖
粉丝
私信
4
不同版本的操作系统不一样,可以判断操作系统版本指定索引
2012-4-15 09:41
0
Nekoxiaoji
雪    币: 788
活跃值: (60)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
如果是获取NtReadVirtualMemory 这个地址呢??MmGetSystemRoutineAddress  这个函数只能获取导出的函数地址哦,否则返回为0
2012-4-15 11:12
0
冒险呆呆
雪    币: 33
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
我是这么想的。。
就是不是掏出函数 和上一个套出函数的距离是不会变的 能得到上一个 套出函数的地址 再加上你先算好的距离 不就行了。。当然我不知道是不是函数距离也会变
2012-4-15 12:54
0
z许
雪    币: 1905
活跃值: (1542)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
私信
7
我想知道怎么得到函数名字。。。不是解析ida,而是直接重定位ntdll。然后,怎么才能像xuetr那样和服务id相对应。。
2012-4-15 13:07
0
天法道
雪    币: 506
活跃值: (65)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
获得函数指针,
函数体开头,会传个参数,mov eax,XXX
这个XXX就是
2012-4-18 08:18
0
Himylive
雪    币: 48
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
每个系统的牵引号不一定一样。
2012-4-20 09:49
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//