首页
社区
课程
招聘
[分享]win7 x64找SSDT
发表于: 2019-3-29 22:54 4879

[分享]win7 x64找SSDT

2019-3-29 22:54
4879
原贴: https://bbs.pediy.com/thread-194447.htm

虽然本人是看雪10年老会员,但是一个新手,Java开发工程师,windows平台不是很熟。

最近在了解内核Hook技术 看了很多文章但是不清楚大佬们的  魔鬼数字都是怎么弄出来的( //特征码 0x4c 0x8d 0x15 ),
特意用windbg调试了一下 算是交代一下新手,前辈大佬们的思路。

1. bcdedit -debug on  开启内核调试

2. windbgx64  本地内核调试  详见百度其它方法

3. 首先原贴的思路是这样找KeServiceDescriptorTable的   

  __readmsr(0xC00000082)->KiSystemCall64->KeServiceDescriptorTable



u  KiSystemCall64 l50

l代表 反汇编行数 50行

然后截图




最终找到红色的 4c8d15 特征码


补充...



最后计算地址这个算法 依然不解  为什么会加上7   求大神仔细解答

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2019-3-29 23:17 被anfly编辑 ,原因:
收藏
免费 0
支持
分享
最新回复 (4)
雪    币: 9626
活跃值: (1838)
能力值: ( LV5,RANK:73 )
在线值:
发帖
回帖
粉丝
2
因为相对偏移是从下一行代码开始计算的,+7取到的是下一行代码的起始地址
最后于 2019-3-29 23:49 被Sprite雪碧编辑 ,原因:
2019-3-29 23:49
0
雪    币: 5734
活跃值: (1737)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
3
就是 + IP 
2019-3-30 01:29
0
雪    币: 7168
活跃值: (3687)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
‭FFFF F800 03ED 4572‬  + ‭0023E387‬ + 7 = ‭FFFF F800 0411 2900‬
2019-6-12 14:53
0
雪    币: 207
活跃值: (24)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
这顺带的shadow ssdt也找到了,而且KiSystemCall64的地址竟然在MSR寄存器里边。。。
2019-6-13 10:06
0
游客
登录 | 注册 方可回帖
返回
//