[求助]win2k3 x64 SSDT函数地址?求内核大牛解惑-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]win2k3 x64 SSDT函数地址?求内核大牛解惑

发表于: 2016-2-5 18:00 3889

[求助]win2k3 x64 SSDT函数地址?求内核大牛解惑

举剑问天

2016-2-5 18:00

3889

win7 x64 SSDT 偏移计算公式是
SSDT基址+表项值>>4

2003 x64呢？
在网上看说2003上偏移的计算是
SSDT基址+表项值&0xFFFFFFF0

win7 x64下我的计算方法如下

typedef struct _SSDTStruct
{
	LONG* pServiceTable;
	PVOID pCounterTable;
#ifdef _WIN64
	ULONGLONG NumberOfServices;
#else
	ULONG NumberOfServices;
#endif
	PCHAR pArgumentTable;
}SSDTStruct，pSSDTStruct;

PVOID SSDT::GetFunctionAddress(const char* apiname,int SsdtIndex)
{
	//read address from SSDT
	pSSDTStruct SSDT = (pSSDTStruct)GetKeServiceDescriptorTable64();
	if (!SSDT)
	{
		return 0;
	}
	ULONG_PTR SSDTbase = (ULONG_PTR)SSDT->pServiceTable;
	if (!SSDTbase)
	{
		return 0;
	}
#ifdef _WIN64
	return [COLOR="Red"](PVOID)(((SSDT->pServiceTable[SsdtIndex] >> 4) + SSDTbase);[/COLOR]

#else
	return (PVOID)SSDT->pServiceTable[SsdtIndex];
#endif
}

win7 x64的计算结果没问题，但是2003 64位结果怎么都不对
求大牛指点？

[课程]Linux pwn 探索篇！

收藏・1

免费・0

支持

最新回复 (1)
举剑问天雪币： 78 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 133 粉丝 0 关注私信	举剑问天 2 楼调试了下还是Nt函数和Zw函数地址的理解问题，汗了 ln nt!KiServiceTable+(poi(nt!KiServiceTable+4*<syscall nbr>)&0x00000000`ffffffff) 这是2003 x64的公式 2016-2-5 18:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

举剑问天

发帖

133

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (1)
举剑问天雪币： 78 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 133 粉丝 0 关注私信	举剑问天 2 楼调试了下还是Nt函数和Zw函数地址的理解问题，汗了 ln nt!KiServiceTable+(poi(nt!KiServiceTable+4*<syscall nbr>)&0x00000000`ffffffff) 这是2003 x64的公式 2016-2-5 18:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复