[求助][求助]请大佬教一下win10 64 1709 SSDT表地址如何获取-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (3)
小光前辈雪币： 1235 活跃值： (1335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 0 关注私信	小光前辈 2 楼我看了下特征码没变，还可以用win10 1709。可以正常SSDT HOOK。 //1709 //fffff802`655160be 4c8d15bb071800 lea r10, [nt!KeServiceDescriptorTable(fffff802`65696880)] //fffff802`655160c5 4c8d1df4951600 lea r11, [nt!KeServiceDescriptorTableShadow(fffff802`6567f6c0)] 2018-9-25 01:36 0
MICROT 雪币： 17 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 25 粉丝 0 关注私信	MICROT 3 楼楼主，你代码是怎么发的？ 2018-9-25 09:01 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 4 楼 PSYSTEM_SERVICE_DESCRIPTOR_TABLE GetSSDTBase(void) { #ifdef AMD64 PIMAGE_NT_HEADERS pHdr; PIMAGE_SECTION_HEADER pFirstSec; PIMAGE_SECTION_HEADER pSec; PUCHAR ntosBase; ntosBase = (PUCHAR)g_ntosbase; // Already found if (g_SSDT != NULL) return g_SSDT; if (!ntosBase) return NULL; pHdr = RtlImageNtHeader(ntosBase); pFirstSec = (PIMAGE_SECTION_HEADER)(pHdr + 1); for (pSec = pFirstSec; pSec < pFirstSec + pHdr->FileHeader.NumberOfSections; pSec++) { // Non-paged, non-discardable, readable sections // Probably still not fool-proof enough... if (pSec->Characteristics & IMAGE_SCN_MEM_NOT_PAGED && pSec->Characteristics & IMAGE_SCN_MEM_EXECUTE && !(pSec->Characteristics & IMAGE_SCN_MEM_DISCARDABLE) && ((PULONG)pSec->Name != 'TINI') && ((PULONG)pSec->Name != 'EGAP')) { PVOID pFound = NULL; // KiSystemServiceRepeat pattern UCHAR pattern[] = "\x4c\x8d\x15\xcc\xcc\xcc\xcc\x4c\x8d\x1d\xcc\xcc\xcc\xcc\xf7"; NTSTATUS status = BBSearchPattern(pattern, 0xCC, sizeof(pattern) - 1, ntosBase + pSec->VirtualAddress, pSec->Misc.VirtualSize, &pFound); if (NT_SUCCESS(status)) { g_SSDT = (PSYSTEM_SERVICE_DESCRIPTOR_TABLE)((PUCHAR)pFound + *(PULONG)((PUCHAR)pFound + 3) + 7); return g_SSDT; } } } return NULL; #else return KeServiceDescriptorTable; #endif } from https://github.com/DarthTon/Blackbone/ still work for 1803 最后于 2018-9-25 09:22 被hzqst编辑，原因： 2018-9-25 09:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (3)
小光前辈雪币： 1235 活跃值： (1335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 0 关注私信	小光前辈 2 楼我看了下特征码没变，还可以用win10 1709。可以正常SSDT HOOK。 //1709 //fffff802`655160be 4c8d15bb071800 lea r10, [nt!KeServiceDescriptorTable(fffff802`65696880)] //fffff802`655160c5 4c8d1df4951600 lea r11, [nt!KeServiceDescriptorTableShadow(fffff802`6567f6c0)] 2018-9-25 01:36 0
MICROT 雪币： 17 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 25 粉丝 0 关注私信	MICROT 3 楼楼主，你代码是怎么发的？ 2018-9-25 09:01 0
hzqst 雪币： 12848 活跃值： (9147) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1793 粉丝 569 关注私信	hzqst 3 4 楼 PSYSTEM_SERVICE_DESCRIPTOR_TABLE GetSSDTBase(void) { #ifdef AMD64 PIMAGE_NT_HEADERS pHdr; PIMAGE_SECTION_HEADER pFirstSec; PIMAGE_SECTION_HEADER pSec; PUCHAR ntosBase; ntosBase = (PUCHAR)g_ntosbase; // Already found if (g_SSDT != NULL) return g_SSDT; if (!ntosBase) return NULL; pHdr = RtlImageNtHeader(ntosBase); pFirstSec = (PIMAGE_SECTION_HEADER)(pHdr + 1); for (pSec = pFirstSec; pSec < pFirstSec + pHdr->FileHeader.NumberOfSections; pSec++) { // Non-paged, non-discardable, readable sections // Probably still not fool-proof enough... if (pSec->Characteristics & IMAGE_SCN_MEM_NOT_PAGED && pSec->Characteristics & IMAGE_SCN_MEM_EXECUTE && !(pSec->Characteristics & IMAGE_SCN_MEM_DISCARDABLE) && ((PULONG)pSec->Name != 'TINI') && ((PULONG)pSec->Name != 'EGAP')) { PVOID pFound = NULL; // KiSystemServiceRepeat pattern UCHAR pattern[] = "\x4c\x8d\x15\xcc\xcc\xcc\xcc\x4c\x8d\x1d\xcc\xcc\xcc\xcc\xf7"; NTSTATUS status = BBSearchPattern(pattern, 0xCC, sizeof(pattern) - 1, ntosBase + pSec->VirtualAddress, pSec->Misc.VirtualSize, &pFound); if (NT_SUCCESS(status)) { g_SSDT = (PSYSTEM_SERVICE_DESCRIPTOR_TABLE)((PUCHAR)pFound + *(PULONG)((PUCHAR)pFound + 3) + 7); return g_SSDT; } } } return NULL; #else return KeServiceDescriptorTable; #endif } from https://github.com/DarthTon/Blackbone/ still work for 1803 最后于 2018-9-25 09:22 被hzqst编辑，原因： 2018-9-25 09:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复