[求助]win10 64位的SSDT地址计算公式？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]win10 64位的SSDT地址计算公式？

发表于: 2018-3-1 17:10 4174

[求助]win10 64位的SSDT地址计算公式？

武装的蔷薇

2018-3-1 17:10

4174

typedef struct _SYSTEM_SERVICE_TABLE{  
    PVOID          ServiceTableBase;  
    PVOID          ServiceCounterTableBase;  
    ULONGLONG      NumberOfServices;  
    PVOID          ParamTableBase;  
} SYSTEM_SERVICE_TABLE, *PSYSTEM_SERVICE_TABLE;  
PSYSTEM_SERVICE_TABLE KeServiceDescriptorTable;  
  
ULONGLONG MyGetKeServiceDescriptorTable()  
{  
    PUCHAR StartSearchAddress = (PUCHAR)__readmsr(0xC0000082);  
    PUCHAR EndSearchAddress = StartSearchAddress + 0x500;  
    PUCHAR i = NULL;  
    UCHAR b1 = 0, b2 = 0, b3 = 0;  
    ULONG templong = 0;  
    ULONGLONG addr = 0;  
  
    for (i = StartSearchAddress; i < EndSearchAddress; i++)  
    {  
        if (MmIsAddressValid(i) && MmIsAddressValid(i + 1) && MmIsAddressValid(i + 1))  
        {  
            b1 = *i;  
            b2 = *(i + 1);  
            b3 = *(i + 2);  
            if (b1 == 0x4c && b2 == 0x8d && b3 == 0x15) //4c8d15  
            {  
                memcpy(&templong, i + 3, 4);  
                addr = (ULONGLONG)templong + (ULONGLONG)i + 7;  
                return addr;  
            }  
        }  
    }  
    return 0;  
}  
  
ULONGLONG GetSSDTFuncCurAddr(ULONG id)  
{  
    LONG dwtmp = 0;  
    PULONG ServiceTableBase = NULL;  
    ServiceTableBase = (PULONG)KeServiceDescriptorTable->ServiceTableBase;  
    dwtmp = ServiceTableBase[id];  
    dwtmp = dwtmp >> 4;  
    return (LONGLONG)dwtmp + (ULONGLONG)ServiceTableBase;  
}  这个方法

这个方法并没有卵用偏差太大了

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

#系统底层 #调试逆向

收藏・0

免费・0

支持

最新回复 (1)
九阴真经雪币： 1480 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 1 关注私信	九阴真经 2 楼 ULONGLONG GetSSDTFunctionAddress(ULONG id) { LONG dwtmp = 0; PULONG ServiceTableBase = NULL; PSYSTEM_SERVICE_TABLE ssdt = (PSYSTEM_SERVICE_TABLE)GetKeServiceDescriptorTable64(); ServiceTableBase = (PULONG)ssdt->ServiceTableBase; dwtmp = ServiceTableBase[id]; dwtmp = dwtmp >> 4; return dwtmp + (ULONGLONG)ServiceTableBase; } 代码不全,大概就这逻辑,你自己在想想 2018-4-1 11:01 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (1)

九阴真经

雪币： 1480

活跃值： (10)

能力值：

( LV2，RANK：10 )

在线值：

发帖

回帖

粉丝

关注

私信

九阴真经: 2 楼

ULONGLONG GetSSDTFunctionAddress(ULONG id)
{
LONG dwtmp = 0;
PULONG ServiceTableBase = NULL;
PSYSTEM_SERVICE_TABLE ssdt = (PSYSTEM_SERVICE_TABLE)GetKeServiceDescriptorTable64();
ServiceTableBase = (PULONG)ssdt->ServiceTableBase;
dwtmp = ServiceTableBase[id];
dwtmp = dwtmp >> 4;
return dwtmp + (ULONGLONG)ServiceTableBase;
}
代码不全,大概就这逻辑,你自己在想想

2018-4-1 11:01

武装的蔷薇

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区