-
-
[求助]不懂就问系列-X64 shadowSSDT的函数获取与调用问题
-
发表于:
2019-11-7 03:27
3763
-
[求助]不懂就问系列-X64 shadowSSDT的函数获取与调用问题
查阅了网上很多的帖子基本都是 shadowssdt的hook,并没有调用函数的相关帖子
有几个问题 希望大家能help me
现在已经得到Shadowssdt的基地址 具体是通过搜索KeAddSystemServiceTable函数中的ssdt rva然后加上 nt内核的基址
然后通过ssdt获取到
Shadowssdt的基地址
问题来了 是不是必须得attach到gui进程上 才能取到shadowssdt中的函数地址呢?
根据他们贴的公式 我貌似没获取到sssdt中的函数地址 公式如下
W32pServiceTable = (PULONG)pWin32k->ServiceTableBase;
auto qwTemp = W32pServiceTable + 4 * index;
auto dwTemp = *(PULONG)qwTemp;
dwTemp = dwTemp >> 4;
qwTemp = W32pServiceTable + (ULONG)dwTemp;
在未attach到gui进程上的时候 并不能成功取到地址......
attach到进程上的代码 我还没写..
问题二来了 假如必须得attach到某个gui进程上才能获取到函数地址
那么是不是当调用ShadowSSDT函数的时候 只能影响你当前attach的这个进程?
举个例子 你要调用的shadowssdt函数 在r3有个对应的函数,在r3调用这个函数时只能影响自身 假设 参数为 窗口句柄 , 状态(并不知道有没有这种函数)
那么你随便attach了一个进程 然后填写别的进程的窗口句柄 来调用shadowssdt函数 是否可以成功影响到别的窗口呢
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
刘铠文
