-
-
[原创]用symbol来获得ShadowSSDT的原始地址和函数名
-
2009-7-30 17:26
-
在网上看了下,获得ShadowSSDT的函数名和原始地址的方法和文章不是很多。比较简单的应该算是设计张函数名表和用symbol的方法。
个人觉得用symbol来获得ShadowSSDT还是比较方便的,而且自己也不用去创建一张表,何乐而不为。^_^
这办法简单的原因是我只需要一个win32.sys,win32.pdb,以及调用不到10个的API就能完成工作。
好,来看看怎么调用这些函数。
1.调用SymInitialize初始化Dbghelp这系列的函数。
2.调用ImageLoad读取文件win32.sys。
3.调用SymLoadModule来读取pdb文件。
4.调用SymEnumSymbols枚举符号,其中一个参数是回调函数SymEnumSymbolsProc,that's the key。
SymEnumSymbolsProc中有一个系统会帮忙填充一个为PSYMBOL_INFO结构的参数。在这个结构中我主要用到的是Name和Address。
5.调用ImageUnload和SymCleanup做一些清理工作。
OK,看一下我的思路。
首先是获得W32pServiceTable的地址。熟悉ShadowSSDT都知道,W32pServiceTable是在内核初始化用来填充ShadowSSDT的表。
然后,知道了W32pServiceTable的地址,后面的事情也很容易。用SymEnumSymbolsProc把ShadowSSDT每个函数的地址和函数名保存下来。
说起来有点复杂,但代码很简单的。
先放张图片吧:
嗯,很成功~~~hoho~~~
个人觉得用symbol来获得ShadowSSDT还是比较方便的,而且自己也不用去创建一张表,何乐而不为。^_^
这办法简单的原因是我只需要一个win32.sys,win32.pdb,以及调用不到10个的API就能完成工作。
好,来看看怎么调用这些函数。
1.调用SymInitialize初始化Dbghelp这系列的函数。
2.调用ImageLoad读取文件win32.sys。
3.调用SymLoadModule来读取pdb文件。
4.调用SymEnumSymbols枚举符号,其中一个参数是回调函数SymEnumSymbolsProc,that's the key。
SymEnumSymbolsProc中有一个系统会帮忙填充一个为PSYMBOL_INFO结构的参数。在这个结构中我主要用到的是Name和Address。
5.调用ImageUnload和SymCleanup做一些清理工作。
OK,看一下我的思路。
首先是获得W32pServiceTable的地址。熟悉ShadowSSDT都知道,W32pServiceTable是在内核初始化用来填充ShadowSSDT的表。
然后,知道了W32pServiceTable的地址,后面的事情也很容易。用SymEnumSymbolsProc把ShadowSSDT每个函数的地址和函数名保存下来。
说起来有点复杂,但代码很简单的。
#include <windows.h>
#include <stdio.h>
#include <Dbghelp.h>
#pragma comment(lib, "Dbghelp.lib")
#pragma comment(lib, "Imagehlp.lib")
extern "C" {
PLOADED_IMAGE
IMAGEAPI
ImageLoad(
PCSTR DllName,
PCSTR DllPath
);
BOOL
IMAGEAPI
ImageUnload(
PLOADED_IMAGE LoadedImage
);
}
//
//用于存放得到的ShadowSSDT的函数和函数名
//
typedef struct _SHADOWFUNC
{
CHAR FuncName[100];
DWORD FuncAddr;
}SHADOWFUNC, *PSHADOWFUNC;
DWORD g_W32pServiceTable = 0;
SHADOWFUNC g_ShadowFunc[667] = {0};
//
//回调函数,用于获得ShadowSSDT的函数和函数名
//
BOOL CALLBACK SymEnumSymbolsProc(
PSYMBOL_INFO pSymInfo,
ULONG SymbolSize,
PVOID UserContext
)
{
PDWORD pW32pServiceTable = NULL;
INT i = 0;
if (!UserContext)
{
if (strstr(pSymInfo->Name, "W32pServiceTable"))
{
printf("%s, %#x\n", pSymInfo->Name, pSymInfo->Address);
g_W32pServiceTable = (DWORD)pSymInfo->Address;
}
}
else
{
pW32pServiceTable = (PDWORD)UserContext;
for (i = 0; i < 667; i++)
{
if (*(pW32pServiceTable + i) == (DWORD)pSymInfo->Address)
{
g_ShadowFunc[i].FuncAddr = (DWORD)pSymInfo->Address;
lstrcpyn(g_ShadowFunc[i].FuncName, pSymInfo->Name, 100);
}
}
}
return TRUE;
}
void main()
{
INT i = 0;
PDWORD pW32pServiceTable = 0;
HANDLE hHandle = 0;
PLOADED_IMAGE ploadImage = {0};
DWORD dwload = 0;
hHandle = GetCurrentProcess();
SymInitialize(hHandle, NULL, TRUE);
ploadImage = ImageLoad("win32k.sys", NULL);
dwload = SymLoadModule (hHandle, ploadImage->hFile,
"win32k.sys", "win32k.pdb",
0, ploadImage->SizeOfImage);
SymEnumSymbols(hHandle, dwload, NULL, SymEnumSymbolsProc, NULL);
if (g_W32pServiceTable)
{
pW32pServiceTable = (PDWORD)(g_W32pServiceTable - dwload
+ (DWORD)ploadImage->MappedAddress);
SymEnumSymbols(hHandle, dwload, NULL, SymEnumSymbolsProc, pW32pServiceTable);
}
for (i = 0; i < 667; i++)
{
printf("%03d, 0x%08X, %s\n", i, g_ShadowFunc[i].FuncAddr, g_ShadowFunc[i].FuncName);
}
ImageUnload(ploadImage);
SymCleanup(hHandle);
}
先放张图片吧:
嗯,很成功~~~hoho~~~
[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》,视频+靶场+题目!助力进入CTF世界
|
|
|---|---|
|
|
|
|
|
|
|
|
学习!
|
|
|
菜鸟一只而已~~~
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
MJ回的不是贴,是寂寞
|
|
|
寂寞
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
收下 ,感谢分享
|
|
|
|
