-
-
[求助]不懂就问系列-X64 shadowSSDT的函数获取与调用问题
-
发表于:
2019-11-7 03:27
3764
-
[求助]不懂就问系列-X64 shadowSSDT的函数获取与调用问题
查阅了网上很多的帖子基本都是 shadowssdt的hook,并没有调用函数的相关帖子
有几个问题 希望大家能help me
现在已经得到Shadowssdt的基地址 具体是通过搜索KeAddSystemServiceTable函数中的ssdt rva然后加上 nt内核的基址
然后通过ssdt获取到
Shadowssdt的基地址
问题来了 是不是必须得attach到gui进程上 才能取到shadowssdt中的函数地址呢?
根据他们贴的公式 我貌似没获取到sssdt中的函数地址 公式如下
W32pServiceTable = (PULONG)pWin32k->ServiceTableBase;
auto qwTemp = W32pServiceTable + 4 * index;
auto dwTemp = *(PULONG)qwTemp;
dwTemp = dwTemp >> 4;
qwTemp = W32pServiceTable + (ULONG)dwTemp;
在未attach到gui进程上的时候 并不能成功取到地址......
attach到进程上的代码 我还没写..
问题二来了 假如必须得attach到某个gui进程上才能获取到函数地址
那么是不是当调用ShadowSSDT函数的时候 只能影响你当前attach的这个进程?
举个例子 你要调用的shadowssdt函数 在r3有个对应的函数,在r3调用这个函数时只能影响自身 假设 参数为 窗口句柄 , 状态(并不知道有没有这种函数)
那么你随便attach了一个进程 然后填写别的进程的窗口句柄 来调用shadowssdt函数 是否可以成功影响到别的窗口呢
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
刘铠文
