来看雪一年了，在这里面学到了很多知识，非常感谢各位前辈对知识的分享和不懈的研究，也非常感谢各位大神对我们这些小白的照顾，特别要感谢MaMy、hksoobe、luolinlove等大神的指导。我也一直非常希望能为看雪贡献一点什么，但是小白的理解估计大神也看不上，这次也是注册看雪一周年，冲着这个也来发表一点自己的理解吧，写的不好还望各位看官海涵

PS：我们不生产技术，只是技术的搬运工

进入正题：
    SSSDT就是win32k.sys里面的函数，大多数都跟图形相关，比如什么NtUserGetDCEx或者NtUserCreateWindowEx等。所以要查看这些内核函数地址，光在驱动中进行和SSDT一样的访问会引发异常蓝屏的。
    所以有前辈就想出办法，在驱动程序里面调用KeAttachProces到csrss.exe中，获取这个系统进程的地址空间从而在驱动中获取SSSDT中的函数地址，传送门：http://bbs.pediy.com/showthread.php?p=1245567#post1245567。
    但是我自己可能没有领略到这个方法的精髓，不论怎么做还是蓝屏了，所以就想了另外一个办法，用一个控制台应用程序自己加载自己的驱动(当然是用虚拟机里面的测试模式)，然后再在驱动里面打印SSSDT中的各个函数地址，关于怎么自己加载驱动请看http://www.mengwuji.net/forum.php?mod=viewthread&tid=2859&page=1#pid56859。
    这样做了以后居然成功了，驱动程序成功打印出来了SSSDT中的函数地址而不蓝屏。驱动程序里面打印SSSDT函数地址的代码我会在最后给出。现在看一下一小部分打印出来的样子：

Shadow SSDT ID:4902, Address:FFFFF960000FBC30！
Shadow SSDT ID:4903, Address:FFFFF960001A1AB0！
Shadow SSDT ID:4904, Address:FFFFF9600019F5F4！
Shadow SSDT ID:4905, Address:FFFFF960001A2418！
Shadow SSDT ID:4906, Address:FFFFF960001A11C8！
Shadow SSDT ID:4907, Address:FFFFF9600019FAB0！
Shadow SSDT ID:4908, Address:FFFFF960001A9EE0！
Shadow SSDT ID:4909, Address:FFFFF9600019B15C！

kd> u FFFFF960001A392C
win32k!NtUserQueryDisplayConfig:
fffff960`001a392c ?? ???
^ Memory access error in 'u FFFFF960001A392C'
kd> u FFFFF960000FBC30;
win32k!NtUserSwitchDesktop:
fffff960`000fbc30 ?? ???
^ Memory access error in 'u FFFFF960000FBC30;'
kd> u FFFFF960001A1AB0;
win32k!NtUserTestForInteractiveUser:
fffff960`001a1ab0 ?? ???
^ Memory access error in 'u FFFFF960001A1AB0;'
kd> u FFFFF9600019F5F4;
win32k!NtUserTrackPopupMenuEx:
fffff960`0019f5f4 ?? ???
^ Memory access error in 'u FFFFF9600019F5F4;'

typedef struct _SYSTEM_SERVICE_TABLE{
PVOID ServiceTableBase;
PVOID ServiceCounterTableBase;
ULONGLONG NumberOfServices;
PVOID ParamTableBase;
} SYSTEM_SERVICE_TABLE, *PSYSTEM_SERVICE_TABLE;


PSYSTEM_SERVICE_TABLE g_KeServiceDescriptorTableShadow = NULL;


ULONGLONG GetKeServiceDescriptorTableShadow64()
{
PUCHAR StartSearchAddress = (PUCHAR)__readmsr(0xC0000082);
PUCHAR EndSearchAddress = StartSearchAddress + 0x500;
PUCHAR i = NULL;
UCHAR b1=0,b2=0,b3=0;
ULONG templong=0;
ULONGLONG addr=0;
for(i=StartSearchAddress;i<EndSearchAddress;i++)
{
if( MmIsAddressValid(i) && MmIsAddressValid(i+1) && MmIsAddressValid(i+2) )
{
b1=*i;
b2=*(i+1);
b3=*(i+2);
if( b1==0x4c && b2==0x8d && b3==0x1d ) //4c8d1d
{
memcpy(&templong,i+3,4);
addr = (ULONGLONG)templong + (ULONGLONG)i + 7;
return addr;
}
}
}
return 0;
}


VOID InitShadowHookSSDT()
{
g_KeServiceDescriptorTableShadow = (PSYSTEM_SERVICE_TABLE)GetKeServiceDescriptorTableShadow64();
if (g_KeServiceDescriptorTableShadow)
{
DbgPrintEx(DPFLTR_IHVDRIVER_ID, 2, "ShadowSSDT内核表基址:%p\n", g_KeServiceDescriptorTableShadow);
}
else
{
DbgPrintEx(DPFLTR_IHVDRIVER_ID, 2, "获取ShadowSSDT内核表基址失败！\n");
}
}


ULONGLONG GetSSSDTFuncCurAddr64(ULONG64 Index)
{
ULONGLONG W32pServiceTable=0, qwTemp=0;
LONG dwTemp=0;
PSYSTEM_SERVICE_TABLE pWin32k;
pWin32k = (PSYSTEM_SERVICE_TABLE)((ULONG64)g_KeServiceDescriptorTableShadow + sizeof(SYSTEM_SERVICE_TABLE));
W32pServiceTable=(ULONGLONG)(pWin32k->ServiceTableBase);
qwTemp = W32pServiceTable + 4 * (Index-0x1000);
dwTemp = *(PLONG)qwTemp;
dwTemp = dwTemp >> 4;
qwTemp = W32pServiceTable + (LONG64)dwTemp;
return qwTemp;
}


VOID PrintShadowSSDT()
{
ULONG64 i = 0;
for (i=0x1000; i<0x1338; ++i)
{
DbgPrintEx(DPFLTR_IHVDRIVER_ID, 2, "Shadow SSDT ID:%d, Address:%p！\n", i, GetSSSDTFuncCurAddr64(i));
}
}

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)