没人知道吗？55555555555

用别的工具加载一下看看 比如kmdmanager 如果成功就是你的代码的问题了.........

应该驱动没有问题，看来是代码的问题了！

上传的附件：

• 未命名.jpg （27.47kb，604次下载）

SSDT.rar

这是全部的代码，谁能帮我看看，谢谢了！

上传的附件：

• SSDT.rar （34.28kb，118次下载）

LZ你的驱动SYS文件的编译是用哪个代码编译的?Anskya的那个SSDT UnHook For Delphi的驱动吗?
还是VC的?

先检测StartService有没有成功

hDriver := CreateFile(
'\\\\.\\RESSDTDOS',...

不了解Delphi，\的转义符号和C++一样？？？
试试

hDriver := CreateFile(
'\\.\RESSDTDOS',...

我自己改了一个，从网上下了一个，这两个都是DELPHI的，还有VC那个我也试了，好像都不行！

我按照你说的试了，还是不行，我下午再弄弄，看看结果，郁闷啊！

StartService没有成功，不知道什么原因

对额,delphi里不需要转义吧

我用kmdmanager的源码跟踪了一下，其中hSCManager与hService的返回值与我程序中的不一样，这是正常的吗？

问题解决了，是我疏忽了，用错了一个函数，谢谢大家了！

nibul
楼主能否留下个邮箱或者QQ之类的联系方式.我还有问题得向你请教.

请问下你说的用错了哪一个函数的?

楼主请问能否帖下你修改好的那个代码.或者你说的用错一函数?我没找出来.谢谢

void ReSSDT( IN HANDLE hDriver)
{
    HMODULE    hKernel;
    DWORD    dwKSDT;                // rva of KeServiceDescriptorTable
    DWORD    dwKiServiceTable;    // rva of KiServiceTable
    PMODULES    pModules=(PMODULES)&pModules;
    DWORD    dwNeededSize,rc;
    DWORD    dwKernelBase,dwServices=0;
    PCHAR    pKernelName;
    PDWORD    pService;
    PIMAGE_FILE_HEADER    pfh;
    PIMAGE_OPTIONAL_HEADER    poh;
    PIMAGE_SECTION_HEADER    psh;

   
        FARPROC NtQuerySystemInformationAddr=GetProcAddress(GetModuleHandle("ntdll.dll"),"NtQuerySystemInformation");
    // get system modules - ntoskrnl is always first there
    rc=((PFNNtQuerySystemInformation)NtQuerySystemInformationAddr)(11,pModules,4,&dwNeededSize);
    if (rc==STATUS_INFO_LENGTH_MISMATCH) {
        pModules=(MODULES *)GlobalAlloc(GPTR,dwNeededSize);
        rc=((PFNNtQuerySystemInformation)NtQuerySystemInformationAddr)(11,pModules,dwNeededSize,NULL);
    } else {
strange:
        return;
    }
    if (!NT_SUCCESS(rc)) goto strange;
   
    // imagebase
    dwKernelBase=(DWORD)pModules->smi.Base;
    // filename - it may be renamed in the boot.ini
    pKernelName=pModules->smi.ModuleNameOffset+pModules->smi.ImageName;
   
    // map ntoskrnl - hopefully it has relocs
    hKernel=LoadLibraryEx(pKernelName,0,DONT_RESOLVE_DLL_REFERENCES);
    if (!hKernel) {
        return;        
    }

    GlobalFree(pModules);

    // our own export walker is useless here - we have GetProcAddress :)   
    if (!(dwKSDT=(DWORD)GetProcAddress(hKernel,"KeServiceDescriptorTable"))) {
        return;
    }

    // get KeServiceDescriptorTable rva
    dwKSDT-=(DWORD)hKernel;   
    // find KiServiceTable
    if (!(dwKiServiceTable=FindKiServiceTable(hKernel,dwKSDT))) {
        return;
    }

    // let's dump KiServiceTable contents        
   
    // MAY FAIL!!!
    // should get right ServiceLimit here, but this is trivial in the kernel mode
    GetHeaders((PCHAR)hKernel,&pfh,&poh,&psh);

    for (pService=(PDWORD)((DWORD)hKernel+dwKiServiceTable);
            *pService-poh->ImageBase<poh->SizeOfImage;
            pService++,dwServices++)
        {
                ULONG ulAddr=*pService-poh->ImageBase+dwKernelBase;
                SetProc( hDriver,dwServices, &ulAddr );       
                //printf("%08X\n",ulAddr);   
        }

    FreeLibrary(hKernel);

}
请教下这部分如何翻译成DELPHI.

QQ:41710031，我也在学习中，一起研究吧！

如何解决应该贴出来 这才是正道。也是论坛存在的意义

不然下次遇到问题没有人会帮你

是我疏忽了。
ExtractFilePath函数我给用成了ExtractFileDir
结果结果少个\

//ReSSDT(hDriver);
请教下这里的  ReSSDT这个是那里来的，代码里怎么没有？

http://bbs.pediy.com/attachment.php?attachmentid=14190&d=1211032885

望楼主看到回贴后速加我QQ9471886  找你有人商谈