[求助]关于ShaDow SSDT UnHook 有没有驱动层获取原始地址的例呢?-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]关于ShaDow SSDT UnHook 有没有驱动层获取原始地址的例呢?

发表于: 2008-12-27 04:01 9381

[求助]关于ShaDow SSDT UnHook 有没有驱动层获取原始地址的例呢?

bujin888

2008-12-27 04:01

9381

关于ShaDow SSDT UnHook 有没有驱动层获取原始函数地址的例呢?

[课程]Linux pwn 探索篇！

收藏・3

免费・0

支持

最新回复 (22)
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 2 楼有  2008-12-27 09:21 0
海风月影雪币： 7309 活跃值： (3778) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 3 楼  2008-12-27 11:11 0
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 74 回帖 365 粉丝 3 关注私信	bujin888 4 4 楼偶想学偶想学 2008-12-27 15:48 0
panti 雪币： 1602 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 254 粉丝 0 关注私信	panti 5 楼交学费 2008-12-27 15:49 0
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 74 回帖 365 粉丝 3 关注私信	bujin888 4 6 楼国家政策义务教育特殊困难户可免学杂费 2008-12-27 16:02 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 7 楼跟SSDT一样.... 2008-12-27 16:36 0
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 74 回帖 365 粉丝 3 关注私信	bujin888 4 8 楼 SSDT 的函数是有导出的 shadow 是没有吧因为用vatoRAW 一用就bsod了 2008-12-27 16:47 0
easystone 雪币： 27 活跃值： (12) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 35 粉丝 0 关注私信	easystone 1 9 楼搜zhuwg的帖子。。。 2008-12-27 17:46 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 10 楼原理是一样的...只是多个找KeServiceDescriptorTableShadow 摘了段yas kit 驱动的代码 /-----------------------------------------------------------/ //目前XP和2K3都可以,但不排除其他版本也是这样 //NumberOfservice :用于返回服务数目 //返回值: ShadowTableBaseAddress /------------------------------------------------------------/ ULONG GetShadowTableBaseAddress(IN OUT ULONG* NumberOfservice) { /* lkd> u nt!KeAddSystemServiceTable+0x18: 805a10a2 7551 jne nt!KeAddSystemServiceTable+0x6b (805a10f5) 805a10a4 8d88a0c65580 lea ecx,nt!KeServiceDescriptorTableShadow (8055c6a0)[eax] ---->>> / BYTE FunctionAddress; BYTE* CurrentAddress; ULONG tempAddr,TableShadowAddress = 0; FunctionAddress=(BYTE)KeAddSystemServiceTable; for(CurrentAddress=FunctionAddress;CurrentAddress<FunctionAddress+0x100; CurrentAddress++) { if(MmIsAddressValid((BYTE)CurrentAddress)) if((BYTE)CurrentAddress==0x8d&&(BYTE)(CurrentAddress+1)==0x88) { tempAddr = (ULONG)(CurrentAddress+2); TableShadowAddress = ((ULONG)tempAddr)[4]; NumberOfservice = ((ULONG*)tempAddr)[6]; break; } } return TableShadowAddress; } 2008-12-27 18:13 0
六月雪币： 129 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 299 粉丝 1 关注私信	六月 11 楼 bujin888,我能否加下你的QQ.可以吗?我的QQ:87262886 2008-12-27 19:18 0
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 74 回帖 365 粉丝 3 关注私信	bujin888 4 12 楼感谢10楼但是这个方法偶知道,这个方法无法获取已经被HOOK的函数的原始地址这个是指向当前的SHADOW TABLE 而不是没改动前的 2008-12-27 19:39 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 13 楼汗...你不懂我的意思..有这个地址就可以计算读磁盘文件获取原始地址了.... 2008-12-27 19:59 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 14 楼读文件就可以了 2008-12-27 20:30 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 6 关注私信	zhuwg 11 15 楼请先读读偶的破文章好不好啊。偶感觉你完全不会的说。。似乎你没明白table怎么运作的似乎你根本就是简单的套用别人的代码。。而不去自己理解原理很简单。。得到了内存中的地址。然后去读文件比较呗如果你不懂先补补内核基础知识吧 2008-12-28 11:45 0
网上勇士雪币： 203 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 41 粉丝 0 关注私信	网上勇士 16 楼要学会举一反三，网上没有现成的代码，让你用。 2008-12-28 22:28 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 17 楼顶猪乌龟同学 2008-12-28 22:30 0
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 74 回帖 365 粉丝 3 关注私信	bujin888 4 18 楼偶的确在10天前刚接触驱动这个东西,人又笨入门还没有 2008-12-29 00:07 0
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 74 回帖 365 粉丝 3 关注私信	bujin888 4 19 楼 "得到了内存中的地址。然后去读文件比较呗" 这个我会没想到这点太苯了已经解决问题结贴 2008-12-29 00:09 0
wowocock 雪币： 405 活跃值： (2150) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 19 关注私信	wowocock 1 20 楼说明你的文章写的不够好,即使读者是一个完全不懂的人,你也应该写的让其完全能懂,所以写的再详细点吧,嘿嘿..... 2008-12-29 10:53 0
haras 雪币： 342 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 93 粉丝 0 关注私信	haras 21 楼 20 2008-12-29, 10:53 -------------------------------------------------------------------------------- 说明你的文章写的不够好,即使读者是一个完全不懂的人,你也应该写的让其完全能懂,所以写的再详细点吧,嘿嘿..... 这才是大学家，那一天你写的东东像你说的那样，..... 2008-12-29 15:17 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 22 楼跟SSDT一摸一样 2009-11-15 15:00 0
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 23 楼这种方法不错 2009-12-7 16:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

bujin888

发帖

365

回帖

210

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 2 楼有  2008-12-27 09:21 0
海风月影雪币： 7309 活跃值： (3778) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 3 楼  2008-12-27 11:11 0
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 74 回帖 365 粉丝 3 关注私信	bujin888 4 4 楼偶想学偶想学 2008-12-27 15:48 0
panti 雪币： 1602 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 254 粉丝 0 关注私信	panti 5 楼交学费 2008-12-27 15:49 0
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 74 回帖 365 粉丝 3 关注私信	bujin888 4 6 楼国家政策义务教育特殊困难户可免学杂费 2008-12-27 16:02 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 7 楼跟SSDT一样.... 2008-12-27 16:36 0
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 74 回帖 365 粉丝 3 关注私信	bujin888 4 8 楼 SSDT 的函数是有导出的 shadow 是没有吧因为用vatoRAW 一用就bsod了 2008-12-27 16:47 0
easystone 雪币： 27 活跃值： (12) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 35 粉丝 0 关注私信	easystone 1 9 楼搜zhuwg的帖子。。。 2008-12-27 17:46 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 10 楼原理是一样的...只是多个找KeServiceDescriptorTableShadow 摘了段yas kit 驱动的代码 /-----------------------------------------------------------/ //目前XP和2K3都可以,但不排除其他版本也是这样 //NumberOfservice :用于返回服务数目 //返回值: ShadowTableBaseAddress /------------------------------------------------------------/ ULONG GetShadowTableBaseAddress(IN OUT ULONG* NumberOfservice) { /* lkd> u nt!KeAddSystemServiceTable+0x18: 805a10a2 7551 jne nt!KeAddSystemServiceTable+0x6b (805a10f5) 805a10a4 8d88a0c65580 lea ecx,nt!KeServiceDescriptorTableShadow (8055c6a0)[eax] ---->>> / BYTE FunctionAddress; BYTE* CurrentAddress; ULONG tempAddr,TableShadowAddress = 0; FunctionAddress=(BYTE)KeAddSystemServiceTable; for(CurrentAddress=FunctionAddress;CurrentAddress<FunctionAddress+0x100; CurrentAddress++) { if(MmIsAddressValid((BYTE)CurrentAddress)) if((BYTE)CurrentAddress==0x8d&&(BYTE)(CurrentAddress+1)==0x88) { tempAddr = (ULONG)(CurrentAddress+2); TableShadowAddress = ((ULONG)tempAddr)[4]; NumberOfservice = ((ULONG*)tempAddr)[6]; break; } } return TableShadowAddress; } 2008-12-27 18:13 0
六月雪币： 129 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 32 回帖 299 粉丝 1 关注私信	六月 11 楼 bujin888,我能否加下你的QQ.可以吗?我的QQ:87262886 2008-12-27 19:18 0
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 74 回帖 365 粉丝 3 关注私信	bujin888 4 12 楼感谢10楼但是这个方法偶知道,这个方法无法获取已经被HOOK的函数的原始地址这个是指向当前的SHADOW TABLE 而不是没改动前的 2008-12-27 19:39 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 13 楼汗...你不懂我的意思..有这个地址就可以计算读磁盘文件获取原始地址了.... 2008-12-27 19:59 0
xPLK 雪币： 375 活跃值： (12) 能力值： ( LV8，RANK：130 ) 在线值：发帖 18 回帖 705 粉丝 0 关注私信	xPLK 3 14 楼读文件就可以了 2008-12-27 20:30 0
zhuwg 雪币： 451 活跃值： (78) 能力值： ( LV12，RANK：470 ) 在线值：发帖 40 回帖 739 粉丝 6 关注私信	zhuwg 11 15 楼请先读读偶的破文章好不好啊。偶感觉你完全不会的说。。似乎你没明白table怎么运作的似乎你根本就是简单的套用别人的代码。。而不去自己理解原理很简单。。得到了内存中的地址。然后去读文件比较呗如果你不懂先补补内核基础知识吧 2008-12-28 11:45 0
网上勇士雪币： 203 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 41 粉丝 0 关注私信	网上勇士 16 楼要学会举一反三，网上没有现成的代码，让你用。 2008-12-28 22:28 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1582 粉丝 64 关注私信	sudami 25 17 楼顶猪乌龟同学 2008-12-28 22:30 0
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 74 回帖 365 粉丝 3 关注私信	bujin888 4 18 楼偶的确在10天前刚接触驱动这个东西,人又笨入门还没有 2008-12-29 00:07 0
bujin888 雪币： 193 活跃值： (26) 能力值： ( LV9，RANK：210 ) 在线值：发帖 74 回帖 365 粉丝 3 关注私信	bujin888 4 19 楼 "得到了内存中的地址。然后去读文件比较呗" 这个我会没想到这点太苯了已经解决问题结贴 2008-12-29 00:09 0
wowocock 雪币： 405 活跃值： (2150) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 19 关注私信	wowocock 1 20 楼说明你的文章写的不够好,即使读者是一个完全不懂的人,你也应该写的让其完全能懂,所以写的再详细点吧,嘿嘿..... 2008-12-29 10:53 0
haras 雪币： 342 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 93 粉丝 0 关注私信	haras 21 楼 20 2008-12-29, 10:53 -------------------------------------------------------------------------------- 说明你的文章写的不够好,即使读者是一个完全不懂的人,你也应该写的让其完全能懂,所以写的再详细点吧,嘿嘿..... 这才是大学家，那一天你写的东东像你说的那样，..... 2008-12-29 15:17 0
竹君雪币： 170 活跃值： (90) 能力值： ( LV12，RANK：210 ) 在线值：发帖 66 回帖 911 粉丝 7 关注私信	竹君 5 22 楼跟SSDT一摸一样 2009-11-15 15:00 0
房有亮雪币： 773 活跃值： (442) 能力值： ( LV9，RANK：200 ) 在线值：发帖 100 回帖 655 粉丝 21 关注私信	房有亮 3 23 楼这种方法不错 2009-12-7 16:10 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复