-
-
[求助]PE格式定位KeServiceDescriptorTableShadow方法
-
发表于:
2014-2-26 13:13
3956
-
[求助]PE格式定位KeServiceDescriptorTableShadow方法
思路 通过定位KeAddSystemServiceTable找到KeServiceDescriptorTableShadow文件地址
KeAddSystemServiceTable 汇编代码如下
nt!KeAddSystemServiceTable:
83f930f2 8bff mov edi,edi
83f930f4 55 push ebp
83f930f5 8bec mov ebp,esp
83f930f7 837d1801 cmp dword ptr [ebp+18h],1
83f930fb 7760 ja nt!KeAddSystemServiceTable+0x6b (83f9315d)
83f930fd 8b4518 mov eax,dword ptr [ebp+18h]
83f93100 c1e004 shl eax,4
83f93103 83b8c0f9f68300 cmp dword ptr nt!KeServiceDescriptorTable (83f6f9c0)[eax],0
83f9310a 7551 jne nt!KeAddSystemServiceTable+0x6b (83f9315d)
83f9310c 8d8800faf683 lea ecx,nt!KeServiceDescriptorTableShadow (83f6fa00)[eax]
83f93112 [COLOR="Red"]833900[/COLOR] cmp dword ptr [ecx],0
83f93115 [COLOR="red"]7546[/COLOR] jne nt!KeAddSystemServiceTable+0x6b (83f9315d)
83f93117 [COLOR="Red"]837d1801[/COLOR] cmp dword ptr [ebp+18h],1
83f9311b [COLOR="red"]8b5508[/COLOR] mov edx,dword ptr [ebp+8]
83f9311e [COLOR="red"]56[/COLOR] push esi
83f9311f [COLOR="red"]8b7510[/COLOR] mov esi,dword ptr [ebp+10h]
我打开了ntkrnlpa.exe,搜索特征8339007546837d18018b5508568b7510,
定位到了0x149F12这个文件位置 前面6个字节是8D 88 00 8A 56 00
接着我用0x00568A00 - 0x400000(Image Base) = 0x168A00 - 0x168000 + 0x128000 = 0x128A00
Go 0x128A00:00000000000000000000000000000000000000000
这个也不是KeServiceDescriptorTableShadow表的内容啊,请教什么地方出错了呢,全部都是0
注:win7 32位
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
