[求助]求助，如何看一个64位win7下的SSDT 函数的标号？-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]求助，如何看一个64位win7下的SSDT 函数的标号？

发表于: 2018-7-10 18:47 2524

[求助]求助，如何看一个64位win7下的SSDT 函数的标号？

dengxm

2018-7-10 18:47

2524

博主你好！请问下怎么查找这个标号，假如我要HOOK NtQuerySystemInformation,要怎么查呢？

听说用 windbg 可以查? 但具体怎么样呢？我是 win7 x64

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・0

免费・0

支持

最新回复 (1)
AperOdry 雪币： 775 活跃值： (2292) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 243 粉丝 14 关注私信	AperOdry 2 楼 0: kd> u nt!ZwQuerySystemInformation nt!ZwQuerySystemInformation: fffff800`04073b20 488bc4 mov rax,rsp fffff800`04073b23 fa cli fffff800`04073b24 4883ec10 sub rsp,10h fffff800`04073b28 50 push rax fffff800`04073b29 9c pushfq fffff800`04073b2a 6a10 push 10h fffff800`04073b2c 488d05bd2b0000 lea rax,[nt!KiServiceLinkage (fffff800`040766f0)] fffff800`04073b33 50 push rax 0: kd> u nt!ZwQuerySystemInformation+0x14: fffff800`04073b34 b833000000 mov eax,33h fffff800`04073b39 e902630000 jmp nt!KiServiceInternal (fffff800`04079e40) fffff800`04073b3e 6690 xchg ax,ax EAX的赋值就为 SSDT Index '(0x33) 记住！查Zw 2018-7-10 22:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (1)

AperOdry

雪币： 775

活跃值： (2292)

能力值：

( LV5，RANK：60 )

在线值：

发帖

回帖

243

粉丝

关注

私信

AperOdry: 2 楼

0: kd> u nt!ZwQuerySystemInformation
nt!ZwQuerySystemInformation:
fffff800`04073b20 488bc4          mov     rax,rsp
fffff800`04073b23 fa              cli
fffff800`04073b24 4883ec10        sub     rsp,10h
fffff800`04073b28 50              push    rax
fffff800`04073b29 9c              pushfq
fffff800`04073b2a 6a10            push    10h
fffff800`04073b2c 488d05bd2b0000  lea     rax,[nt!KiServiceLinkage (fffff800`040766f0)]
fffff800`04073b33 50              push    rax
0: kd> u
nt!ZwQuerySystemInformation+0x14:
fffff800`04073b34 b833000000      mov     eax,33h
fffff800`04073b39 e902630000      jmp     nt!KiServiceInternal (fffff800`04079e40)
fffff800`04073b3e 6690            xchg    ax,ax

EAX的赋值就为 SSDT Index '(0x33)

记住！查Zw

2018-7-10 22:02