[分享]分享一个获取KeServiceDescriptorTable的方法-编程技术-看雪-安全社区|安全招聘|kanxue.com

[分享]分享一个获取KeServiceDescriptorTable的方法

发表于: 2019-3-6 19:24 4125

[分享]分享一个获取KeServiceDescriptorTable的方法

crackhack

2019-3-6 19:24

4125

原来我们64位搜索KeServiceDescriptorTable是通过msr的0xc0000082获得KiSystemCall64字段, 但是现在msr[0xc0000082]变成了KiSystemCall64Shadow函数, 而且这个函数无法直接搜索到KeServiceDescriptorTable

ULONGLONG SearchforKeServiceDescriptorTable64(ULONGLONG StartSearchAddress, ULONGLONG EndSearchAddress)
{
	UCHAR b1 = 0, b2 = 0, b3 = 0;
	ULONG templong = 0;
	ULONGLONG KeServiceDescriptorTable = 0;

	//地址效验
	if (MmIsAddressValid(StartSearchAddress) == FALSE)return NULL;
	if (MmIsAddressValid(EndSearchAddress) == FALSE)return NULL;

	for (PUCHAR i = StartSearchAddress; i < EndSearchAddress; i++)
	{
		if (MmIsAddressValid(i) && MmIsAddressValid(i + 1) && MmIsAddressValid(i + 2))
		{
			b1 = *i;
			b2 = *(i + 1);
			b3 = *(i + 2);
			if (b1 == 0x4c && b2 == 0x8d && b3 == 0x15)  //4c8d15
			{
				memcpy(&templong, i + 3, 4);
				KeServiceDescriptorTable = (ULONGLONG)templong + (ULONGLONG)i + 7;
				return KeServiceDescriptorTable;
				//当前地址 + 长度 + 数值
				//fffff800`03c8c772+7 + 002320c7 = FFFFF80003EBE840
				/*
				fffff800`03c8c772 4c8d15c7202300  lea     r10,[nt!KeServiceDescriptorTable (fffff800`03ebe840)]
				fffff800`03c8c779 4c8d1d00212300  lea     r11,[nt!KeServiceDescriptorTableShadow (fffff800`03ebe880)]
				*/
			}
		}
	}
	return NULL;
}

//获取SSDT KeServiceDescriptorTable
ULONGLONG GetKeServiceDescriptorTable64()
{
	PUCHAR pKiSystemCall64 = (PUCHAR)__readmsr(0xc0000082);	//rdmsr c0000082	//定位KiSystemCall64
	PUCHAR EndSearchAddress = pKiSystemCall64 + 0x500;
	ULONGLONG KeServiceDescriptorTable = 0;

	
	KeServiceDescriptorTable=SearchforKeServiceDescriptorTable64(pKiSystemCall64, EndSearchAddress);
	if (KeServiceDescriptorTable)return  KeServiceDescriptorTable;

	//msr[0xc0000082]变成了KiSystemCall64Shadow函数
	//原来我们64位搜索KeServiceDescriptorTable是通过msr的0xc0000082获得KiSystemCall64字段, 但是现在msr[0xc0000082]变成了KiSystemCall64Shadow函数, 而且这个函数无法直接搜索到KeServiceDescriptorTable。
	ULONGLONG KiSystemServiceUser = 0;
	ULONGLONG templong = 0xffffffffffffffff;
	for (PUCHAR i = pKiSystemCall64; i < EndSearchAddress + 0xff; i++)
	{
		if (*(PUCHAR)i == 0xe9 && *(PUCHAR)(i + 5) == 0xc3)
		{
			//fffff803`23733383 e9631ae9ff      jmp     nt!KiSystemServiceUser(fffff803`235c4deb)
			//fffff803`23733388 c3              ret
			RtlCopyMemory(&templong, (PUCHAR)(i + 1), 4);
			KiSystemServiceUser = templong + 5 + i;//KiSystemServiceUser
			EndSearchAddress= KiSystemServiceUser +0x500;
			KeServiceDescriptorTable = SearchforKeServiceDescriptorTable64(KiSystemServiceUser, EndSearchAddress);
			return KeServiceDescriptorTable;
		}
	}
	return 0;
}

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・3

免费・0

支持

最新回复 (1)
大只狼雪币： 1140 活跃值： (102) 能力值： ( LV4，RANK：48 ) 在线值：发帖 13 回帖 249 粉丝 1 关注私信	大只狼 2 楼？？这不是TA的代码？ 2019-3-6 19:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

crackhack

发帖

回帖

RANK

关注

私信

他的文章

[分享]分享一个获取KeServiceDescriptorTable的方法 4126

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (1)
大只狼雪币： 1140 活跃值： (102) 能力值： ( LV4，RANK：48 ) 在线值：发帖 13 回帖 249 粉丝 1 关注私信	大只狼 2 楼？？这不是TA的代码？ 2019-3-6 19:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复