-
-
[原创]符号表获取内核未导出函数地址
-
发表于: 2014-6-9 22:15
-
在看v校分享的代码的时候,看到他的NtQueueApcThread没有从r3传,而是从ssdt获取,代码里面另外的两个函数是查符号表得到的。我就在想能不能从r3获取也一起传。查了好久的api,就是弄不懂到底说的啥意思,后来发现SymLoadModuleEx是比较关键的。
大体的思路是通过NtQuerySystemInformation获得内核基地址ModuleBase。SymInitializeW设置一下符号表地址。然后把内核模块当做dll加载一次,不过使用DONT_RESOLVE_DLL_REFERENCES标记,别让内核执行。然后调用SymLoadModuleEx再加载一次得到了第一次的基地址DllBase,估计这个函数内部调用LoadLiabrary,不过发现已经加载就只是增加计数值了。然后用SymFromNameW得到查找函数的地址。不过得加上ModuleBase-DllBase,就是相应函数的地址了。之后就是SymCleanup和FreeLibrary。
不过有个问题是,我用的符号表是从windbg下载的里面找的,符号表是ntkrpamp.pdb,但是内核确实ntkrnlpa.exe。不知道为何,反正windbg能用ntkrpamp.pdb解析ntkrnlpa.exe
代码只是测试一下,用v校代码改的,和我一样的菜鸟可以改一改用用,高手请飘过。
记得印象最深的就是别用Release版调试,各种错误,比如内部变量会显示不出来。还是要用Debug版本调试。
大体的思路是通过NtQuerySystemInformation获得内核基地址ModuleBase。SymInitializeW设置一下符号表地址。然后把内核模块当做dll加载一次,不过使用DONT_RESOLVE_DLL_REFERENCES标记,别让内核执行。然后调用SymLoadModuleEx再加载一次得到了第一次的基地址DllBase,估计这个函数内部调用LoadLiabrary,不过发现已经加载就只是增加计数值了。然后用SymFromNameW得到查找函数的地址。不过得加上ModuleBase-DllBase,就是相应函数的地址了。之后就是SymCleanup和FreeLibrary。
不过有个问题是,我用的符号表是从windbg下载的里面找的,符号表是ntkrpamp.pdb,但是内核确实ntkrnlpa.exe。不知道为何,反正windbg能用ntkrpamp.pdb解析ntkrnlpa.exe
代码只是测试一下,用v校代码改的,和我一样的菜鸟可以改一改用用,高手请飘过。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 | PVOID SymGetProcAddressKernel(LPCWSTR szApiName){ PSYSTEM_MODULE_INFORMATION SystemInfo; BOOL bFind =FALSE; DWORD dwBufferSize; WCHAR *wszKernels[]={ L"ntoskrnl",// - 单处理器,不支持PAE L"ntkrnlpa",// - 单处理器,支持PAE L"ntkrnlmp",// - 多处理器,不支持PAE L"ntkrpamp"// - 多处理器,支持PAE }; DWORD i; BYTE memory[0x2000]; ZeroMemory(memory, sizeof(memory)); SYMBOL_INFOW * info = (SYMBOL_INFOW *)memory; HMODULE hDll; WCHAR wcsPdb[MAX_PATH]={0}; WCHAR wcsExe[MAX_PATH]={0}; PCHAR Ptr,Last; PWCHAR PathPtr; WCHAR path[MAX_PATH] = { 0 }; WCHAR wcsImageName[MAX_PATH] = {0}; NtQuerySystemInformation((SYSTEMINFOCLASS)11,0,0,&dwBufferSize); SystemInfo = (PSYSTEM_MODULE_INFORMATION)malloc(dwBufferSize); NtQuerySystemInformation((SYSTEMINFOCLASS)11,SystemInfo,dwBufferSize,0); Ptr = (PCHAR)SystemInfo->aSM[0].ImageName + strlen(SystemInfo->aSM[0].ImageName)-1; Last = Ptr; while(*Ptr){ if(*Ptr == '\\'){ Last = Ptr+1; break; } Ptr --; } MultiByteToWideChar(CP_ACP, 0, Last, -1, wcsImageName, sizeof(wcsImageName)); for(i=0;i<4;i++){ if(!wcsnicmp(wszKernels[i],wcsImageName,wcslen(wszKernels[i]))){ bFind =TRUE; break; } } DWORD ret=0; if(bFind){ wcscpy(wcsPdb,L"ntkrpamp.pdb"); wcscpy(wcsExe,wszKernels[i]); wcscat(wcsExe,L".exe"); GetModuleFileNameW(0, path, _countof(path)); PathPtr= path+wcslen(path); while(*PathPtr!='\\') PathPtr--; *PathPtr =L'\0'; if (!SymInitializeW(GetCurrentProcess(),path, TRUE)){ return NULL; } hDll = LoadLibraryExW(wcsImageName,NULL,DONT_RESOLVE_DLL_REFERENCES); printf("%s:基地址%x\n",(DWORD)SystemInfo->aSM[0].ImageName,(PCHAR)SystemInfo->aSM[0].Base); SymLoadModuleExW(GetCurrentProcess(),NULL,wszKernels[i],0,(DWORD)hDll,0,0,0); info->SizeOfStruct = sizeof(SYMBOL_INFOW); info->MaxNameLen = MAX_SYM_NAME; SymFromNameW(GetCurrentProcess(),szApiName,info); ret =(DWORD)info->Address - (DWORD)hDll+(DWORD)SystemInfo->aSM[0].Base; FreeLibrary(hDll); SymCleanup(GetCurrentProcess()); } return (PVOID)ret;} |
记得印象最深的就是别用Release版调试,各种错误,比如内部变量会显示不出来。还是要用Debug版本调试。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
没事啊。我按照你那个自己用DELPHI 写了个能获取啊!!
|
|
|
[QUOTE=honffx;1326144]没事啊。我按照你那个自己用DELPHI 写了个能获取啊!!
[/QUOTE]会有错误的,我记得queueapc那个就出错,原因忘了。查pdb吧。
|
|
|
|
|
|
确实是这个问题,获取的函数地址是错误的,是ntdll里面的了 |
|
|
|
