首页
社区
课程
招聘
未解决 怎么在win10 1809或新版本上获取KeServiceDescriptorTableShadow地址
发表于: 2020-4-30 06:49 2967

未解决 怎么在win10 1809或新版本上获取KeServiceDescriptorTableShadow地址

2020-4-30 06:49
2967
插入代码

ULONG64 GetKeServiceDescriptorTableShadow64()
{
PUCHAR StartSearchAddress = (PUCHAR)__readmsr(0xC0000082);
PUCHAR EndSearchAddress = StartSearchAddress + 0x500;
PUCHAR i = NULL;
UCHAR b1 = 0, b2 = 0, b3 = 0;
ULONG templong = 0;
ULONG64 addr = 0;
for (i = StartSearchAddress; i<EndSearchAddress; i++)
{
if (MmIsAddressValid(i) && MmIsAddressValid(i + 1) && MmIsAddressValid(i + 2))
{
b1 = i;
b2 =
(i + 1);
b3 = *(i + 2);
if (b1 == 0x4c && b2 == 0x8d && b3 == 0x1d) //4c8d1d
{
memcpy(&templong, i + 3, 4);
addr = (ULONG64)templong + (ULONG64)i + 7;
return addr;
}
}
}
return addr;
}
这个方法已经无效了


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (2)
雪    币: 181
活跃值: (621)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
超级模块.强力获取SSDT()
2020-4-30 09:21
0
雪    币: 193
活跃值: (1247)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
1809-1909下这个还能用:https://github.com/mrexodia/TitanHide/blob/master/TitanHide/ssdt.cpp
但是最新WIN10 2004没法用了...
2020-5-15 15:35
0
游客
登录 | 注册 方可回帖
返回
//