[求助]win2k3 x64 SSDT函数地址?求内核大牛解惑-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]win2k3 x64 SSDT函数地址?求内核大牛解惑

发表于: 2016-2-5 18:00 4055

[求助]win2k3 x64 SSDT函数地址?求内核大牛解惑

举剑问天

2016-2-5 18:00

4055

win7 x64 SSDT 偏移计算公式是
SSDT基址+表项值>>4

2003 x64呢？
在网上看说2003上偏移的计算是
SSDT基址+表项值&0xFFFFFFF0

win7 x64下我的计算方法如下

typedef struct _SSDTStruct
{
    LONG* pServiceTable;
    PVOID pCounterTable;
#ifdef _WIN64
    ULONGLONG NumberOfServices;
#else
    ULONG NumberOfServices;
#endif
    PCHAR pArgumentTable;
}SSDTStruct，pSSDTStruct;
 
PVOID SSDT::GetFunctionAddress(const char* apiname,int SsdtIndex)
{
    //read address from SSDT
    pSSDTStruct SSDT = (pSSDTStruct)GetKeServiceDescriptorTable64();
    if (!SSDT)
    {
        return 0;
    }
    ULONG_PTR SSDTbase = (ULONG_PTR)SSDT->pServiceTable;
    if (!SSDTbase)
    {
        return 0;
    }
#ifdef _WIN64
    return [COLOR="Red"](PVOID)(((SSDT->pServiceTable[SsdtIndex] >> 4) + SSDTbase);[/COLOR]
 
#else
    return (PVOID)SSDT->pServiceTable[SsdtIndex];
#endif
}

win7 x64的计算结果没问题，但是2003 64位结果怎么都不对
求大牛指点？

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・1

免费

支持

最新回复 (1)
举剑问天雪币： 78 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 133 粉丝 0 关注私信	举剑问天 2 楼调试了下还是Nt函数和Zw函数地址的理解问题，汗了 ln nt!KiServiceTable+(poi(nt!KiServiceTable+4*<syscall nbr>)&0x00000000`ffffffff) 这是2003 x64的公式 2016-2-5 18:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

举剑问天

发帖

133

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (1)
举剑问天雪币： 78 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 133 粉丝 0 关注私信	举剑问天 2 楼调试了下还是Nt函数和Zw函数地址的理解问题，汗了 ln nt!KiServiceTable+(poi(nt!KiServiceTable+4*<syscall nbr>)&0x00000000`ffffffff) 这是2003 x64的公式 2016-2-5 18:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[求助]win2k3 x64 SSDT函数地址?求内核大牛解惑

账号登录 验证码登录

账号登录

验证码登录