[翻译]调用内核中未公开的API（x64平台）-外文翻译-看雪-安全社区|安全招聘|kanxue.com

[翻译]调用内核中未公开的API（x64平台）

发表于: 2013-12-30 19:08 35035

[翻译]调用内核中未公开的API（x64平台）

gotmilk

2013-12-30 19:08

35035

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

图片2.png （21.89kb，68次下载）
图片3.png （26.81kb，26次下载）
图片4.png （35.18kb，21次下载）
图片5.png （8.39kb，17次下载）
图片6.png （48.65kb，20次下载）
图片7.png （8.39kb，12次下载）
图片8.png （48.65kb，34次下载）
1.png （7.47kb，65次下载）
图片1.png （38.31kb，57次下载）
图片9.png （44.83kb，59次下载）

收藏・98

免费・5

支持

最新回复 (28) 1 2 ▶
心灵守望雪币： 72 活跃值： (26) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 3 粉丝 0 关注私信	心灵守望 2 楼感谢楼主，很有帮助。非常适合菜鸟 2013-12-30 19:15 0
C兔雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	C兔 3 楼天王盖地虎，撸主好威武！！ 2013-12-30 19:16 0
惊电雪币： 209 活跃值： (813) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 212 粉丝 1 关注私信	惊电 4 楼只是 Undocumented.h 在哪里呢？？ 2013-12-30 20:06 0
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 5 楼搞得这么麻烦，不就是调用ssdt函数么…… 实际上，zw系列函数，是从index为0的zw函数开始，挨个顺序排列的，而且每个zw函数的字节数完全一致。所以：第一，根据任何两个已导出的zw函数的地址以及他们的index值，算出一个zw函数所占字节数。第二，根据上面算出的单个zw函数的字节数以及任何一个已导出的zw函数的索引值，还有这个函数的地址，算出index为0的zw函数的地址。第三，调用任何一个zw函数（不管导出没导出，只要知道index就是了）时，用index为0的函数的地址base,加上单个函数字节数乘以index,最后的和就是要被调用的函数的地址，形如:pZwFunc=ulIndex*SizePerFunc+pBase; 2013-12-30 20:27 0
gotmilk 雪币： 144 活跃值： (46) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 214 粉丝 1 关注私信	gotmilk 2 6 楼没有这个文件，这是一个网站，里面有windows未公开的api的详解网址是http://undocumented.ntinternals.net/ 2013-12-30 20:27 0
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 7 楼整个过程基本不存在任何硬编码，不比费那么大劲儿高效兼容性好吗 2013-12-30 20:30 0
gotmilk 雪币： 144 活跃值： (46) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 214 粉丝 1 关注私信	gotmilk 2 8 楼我也是新手，接触内核不多，只是觉得这篇不错就翻译了下，干嘛这么激动啊。。。 2013-12-30 20:33 0
GhostDL 雪币： 23 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	GhostDL 9 楼支持一下 2013-12-30 21:17 0
topofall 雪币： 124 活跃值： (469) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 196 粉丝 1 关注私信	topofall 10 楼 mark并且支持一下 2013-12-30 22:01 0
jpys 雪币： 47 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 75 粉丝 0 关注私信	jpys 11 楼 mark 2013-12-31 08:34 0
樊辉雪币： 45 活跃值： (1359) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 152 粉丝 1 关注私信	樊辉 12 楼 mark 2013-12-31 09:34 0
xiaoyang 雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 0 关注私信	xiaoyang 13 楼 mark 2013-12-31 12:35 0
地狱怪客雪币： 341 活跃值： (138) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 14 楼越来越刁了。。都朝着系统内核去了 2014-1-1 09:09 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 15 楼感谢共享谢谢 2014-1-1 12:45 0
mubiaope 雪币： 16 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 37 粉丝 0 关注私信	mubiaope 16 楼 mccoysc 说得很正确，在 rootkit winows 内核安全一书中的ssdt hook就用这个这个原理的宏 2014-1-4 12:37 0
寒窗苦读雪币： 29 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 56 粉丝 0 关注私信	寒窗苦读 17 楼不错，很难得的资料，感谢楼主分享！ 2014-2-21 13:23 0
xingbing 雪币： 175 活跃值： (2511) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 1136 粉丝 2 关注私信	xingbing 18 楼 64位系统下的资料很少。 2014-3-2 18:51 0
silence刘雪币： 79 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 225 粉丝 0 关注私信	silence刘 19 楼楼主的文章不错，上面那位大神的想法也很简单。。。学习了 2014-3-5 15:15 0
pooiy 雪币： 5 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 37 粉丝 1 关注私信	pooiy 20 楼 mark 2014-3-24 22:52 0
小W 雪币： 49 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 105 粉丝 0 关注私信	小W 21 楼到了64位系统，什么杀毒什么保护都是浮云。。。微软就是不给你动它内核，你耐他何？ 2014-3-24 23:01 0
cqzj70 雪币： 77 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 325 粉丝 0 关注私信	cqzj70 22 楼 mark 2014-4-13 18:42 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 23 楼我会说64位全系列的系统的内核保护都浮云了么 2014-4-13 19:05 0
return 雪币： 50 活跃值： (73) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 109 粉丝 0 关注私信	return 24 楼支持作者! 2014-4-18 14:35 0
gotmilk 雪币： 144 活跃值： (46) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 214 粉丝 1 关注私信	gotmilk 2 25 楼看到大家的回复很感谢，我也是菜鸟，以后会翻译更多的paper ，并且也会写点新东西，愿与大家一起分享 2014-4-19 15:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

gotmilk

发帖

214

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (28) 1 2 ▶
心灵守望雪币： 72 活跃值： (26) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 3 粉丝 0 关注私信	心灵守望 2 楼感谢楼主，很有帮助。非常适合菜鸟 2013-12-30 19:15 0
C兔雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	C兔 3 楼天王盖地虎，撸主好威武！！ 2013-12-30 19:16 0
惊电雪币： 209 活跃值： (813) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 212 粉丝 1 关注私信	惊电 4 楼只是 Undocumented.h 在哪里呢？？ 2013-12-30 20:06 0
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 5 楼搞得这么麻烦，不就是调用ssdt函数么…… 实际上，zw系列函数，是从index为0的zw函数开始，挨个顺序排列的，而且每个zw函数的字节数完全一致。所以：第一，根据任何两个已导出的zw函数的地址以及他们的index值，算出一个zw函数所占字节数。第二，根据上面算出的单个zw函数的字节数以及任何一个已导出的zw函数的索引值，还有这个函数的地址，算出index为0的zw函数的地址。第三，调用任何一个zw函数（不管导出没导出，只要知道index就是了）时，用index为0的函数的地址base,加上单个函数字节数乘以index,最后的和就是要被调用的函数的地址，形如:pZwFunc=ulIndex*SizePerFunc+pBase; 2013-12-30 20:27 0
gotmilk 雪币： 144 活跃值： (46) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 214 粉丝 1 关注私信	gotmilk 2 6 楼没有这个文件，这是一个网站，里面有windows未公开的api的详解网址是http://undocumented.ntinternals.net/ 2013-12-30 20:27 0
mccoysc 雪币： 65 活跃值： (112) 能力值： ( LV3，RANK：30 ) 在线值：发帖 15 回帖 343 粉丝 2 关注私信	mccoysc 7 楼整个过程基本不存在任何硬编码，不比费那么大劲儿高效兼容性好吗 2013-12-30 20:30 0
gotmilk 雪币： 144 活跃值： (46) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 214 粉丝 1 关注私信	gotmilk 2 8 楼我也是新手，接触内核不多，只是觉得这篇不错就翻译了下，干嘛这么激动啊。。。 2013-12-30 20:33 0
GhostDL 雪币： 23 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	GhostDL 9 楼支持一下 2013-12-30 21:17 0
topofall 雪币： 124 活跃值： (469) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 196 粉丝 1 关注私信	topofall 10 楼 mark并且支持一下 2013-12-30 22:01 0
jpys 雪币： 47 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 75 粉丝 0 关注私信	jpys 11 楼 mark 2013-12-31 08:34 0
樊辉雪币： 45 活跃值： (1359) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 152 粉丝 1 关注私信	樊辉 12 楼 mark 2013-12-31 09:34 0
xiaoyang 雪币： 199 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 0 关注私信	xiaoyang 13 楼 mark 2013-12-31 12:35 0
地狱怪客雪币： 341 活跃值： (138) 能力值： ( LV7，RANK：110 ) 在线值：发帖 23 回帖 1125 粉丝 10 关注私信	地狱怪客 2 14 楼越来越刁了。。都朝着系统内核去了 2014-1-1 09:09 0
mumaren 雪币： 71 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 48 回帖 659 粉丝 0 关注私信	mumaren 15 楼感谢共享谢谢 2014-1-1 12:45 0
mubiaope 雪币： 16 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 37 粉丝 0 关注私信	mubiaope 16 楼 mccoysc 说得很正确，在 rootkit winows 内核安全一书中的ssdt hook就用这个这个原理的宏 2014-1-4 12:37 0
寒窗苦读雪币： 29 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 56 粉丝 0 关注私信	寒窗苦读 17 楼不错，很难得的资料，感谢楼主分享！ 2014-2-21 13:23 0
xingbing 雪币： 175 活跃值： (2511) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 1136 粉丝 2 关注私信	xingbing 18 楼 64位系统下的资料很少。 2014-3-2 18:51 0
silence刘雪币： 79 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 17 回帖 225 粉丝 0 关注私信	silence刘 19 楼楼主的文章不错，上面那位大神的想法也很简单。。。学习了 2014-3-5 15:15 0
pooiy 雪币： 5 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 37 粉丝 1 关注私信	pooiy 20 楼 mark 2014-3-24 22:52 0
小W 雪币： 49 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 105 粉丝 0 关注私信	小W 21 楼到了64位系统，什么杀毒什么保护都是浮云。。。微软就是不给你动它内核，你耐他何？ 2014-3-24 23:01 0
cqzj70 雪币： 77 活跃值： (48) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 325 粉丝 0 关注私信	cqzj70 22 楼 mark 2014-4-13 18:42 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 23 楼我会说64位全系列的系统的内核保护都浮云了么 2014-4-13 19:05 0
return 雪币： 50 活跃值： (73) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 109 粉丝 0 关注私信	return 24 楼支持作者! 2014-4-18 14:35 0
gotmilk 雪币： 144 活跃值： (46) 能力值： ( LV6，RANK：90 ) 在线值：发帖 6 回帖 214 粉丝 1 关注私信	gotmilk 2 25 楼看到大家的回复很感谢，我也是菜鸟，以后会翻译更多的paper ，并且也会写点新东西，愿与大家一起分享 2014-4-19 15:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复