[原创]用symbol来获得ShadowSSDT的原始地址和函数名-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]用symbol来获得ShadowSSDT的原始地址和函数名

发表于: 2009-7-30 17:26 17018

[原创]用symbol来获得ShadowSSDT的原始地址和函数名

nightxie

2009-7-30 17:26

17018

在网上看了下，获得ShadowSSDT的函数名和原始地址的方法和文章不是很多。比较简单的应该算是设计张函数名表和用symbol的方法。

个人觉得用symbol来获得ShadowSSDT还是比较方便的，而且自己也不用去创建一张表，何乐而不为。^_^

这办法简单的原因是我只需要一个win32.sys，win32.pdb，以及调用不到10个的API就能完成工作。

好，来看看怎么调用这些函数。

1.调用SymInitialize初始化Dbghelp这系列的函数。
2.调用ImageLoad读取文件win32.sys。
3.调用SymLoadModule来读取pdb文件。
4.调用SymEnumSymbols枚举符号，其中一个参数是回调函数SymEnumSymbolsProc，that's the key。
SymEnumSymbolsProc中有一个系统会帮忙填充一个为PSYMBOL_INFO结构的参数。在这个结构中我主要用到的是Name和Address。
5.调用ImageUnload和SymCleanup做一些清理工作。

OK，看一下我的思路。

首先是获得W32pServiceTable的地址。熟悉ShadowSSDT都知道，W32pServiceTable是在内核初始化用来填充ShadowSSDT的表。
然后，知道了W32pServiceTable的地址，后面的事情也很容易。用SymEnumSymbolsProc把ShadowSSDT每个函数的地址和函数名保存下来。

说起来有点复杂，但代码很简单的。

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

ShadowSSDT.jpg （186.86kb，788次下载）
ShadowSSDT.rar （0.98kb，319次下载）

收藏・35

免费・7

支持

最新回复 (19)
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 2 楼 2009-7-30 18:28 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 3 楼太牛逼了，无法学习，只能膜拜 2009-7-30 18:39 0
chimney 雪币： 268 活跃值： (95) 能力值： ( LV8，RANK：130 ) 在线值：发帖 5 回帖 118 粉丝 0 关注私信	chimney 3 4 楼学习！ 2009-7-30 18:51 0
nightxie 雪币： 86 活跃值： (56) 能力值： ( LV9，RANK：160 ) 在线值：发帖 11 回帖 71 粉丝 2 关注私信	nightxie 3 5 楼菜鸟一只而已~~~ 2009-7-30 18:56 0
haras 雪币： 342 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 93 粉丝 0 关注私信	haras 6 楼我看行，再顶L 2009-7-30 19:09 0
木桩雪币： 296 活跃值： (89) 能力值： ( LV15，RANK：340 ) 在线值：发帖 13 回帖 241 粉丝 4 关注私信	木桩 8 7 楼 SymLoadModule加载PDB啊，头一次见到这个方法。之前我还手动复制了一份ShadowSSDT的函数名表到程序里... 学习了。 2009-7-30 20:12 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 8 楼太谦虚了，你写的不是代码，是寂寞 2009-7-30 21:31 0
你猜雪币： 105 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 49 粉丝 0 关注私信	你猜 9 楼无语 123456 2009-7-30 21:51 0
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 10 楼 MJ回的不是贴，是寂寞 2009-7-30 23:29 0
ImHolly 雪币： 412 活跃值： (30) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 293 粉丝 1 关注私信	ImHolly 1 11 楼寂寞 2009-7-31 10:48 0
boywhp 雪币： 1233 活跃值： (907) 能力值： ( LV12，RANK：750 ) 在线值：发帖 98 回帖 595 粉丝 26 关注私信	boywhp 12 12 楼唉，每个系统的pdb文件都不一样，你还不如硬编码呢 2009-8-2 08:13 0
chzhn 雪币： 170 活跃值： (45) 能力值： ( LV6，RANK：90 ) 在线值：发帖 11 回帖 66 粉丝 0 关注私信	chzhn 2 13 楼太强大了，如果没有pdb文件是不是可以从微软服务器下载下来再用呢？ 2009-8-2 12:51 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 14 楼传说某工具就是那样的从服务器下载的~ 但是万一我不小心把file给改了，就下载不到符号了~ 2009-8-2 13:21 0
sisess 雪币： 8192 活跃值： (3861) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 122 粉丝 1 关注私信	sisess 1 15 楼强悍啊这样也可以 2010-2-14 13:02 0
tmxfh 雪币： 101 活跃值： (144) 能力值： ( LV3，RANK：20 ) 在线值：发帖 19 回帖 141 粉丝 0 关注私信	tmxfh 16 楼偶没有成功，是全0.。出错在SymLoadModule,总是不能成功 2010-2-18 19:04 0
pull 雪币： 242 活跃值： (89) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 26 粉丝 0 关注私信	pull 1 17 楼 KERNEL_PROCESS_HANDLE = 0xF0F0F0F0; KERNEL_64Value_HIGH = 0xFFFFFFFF; 2010-9-21 18:15 0
红尘岁月雪币： 517 活跃值： (64) 能力值： ( LV8，RANK：130 ) 在线值：发帖 23 回帖 476 粉丝 2 关注私信	红尘岁月 2 18 楼 SymLoadModule 顶上来 2011-1-12 20:32 0
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 19 楼收下，感谢分享 2011-1-14 15:57 0
cjbclown 雪币： 29 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 32 粉丝 0 关注私信	cjbclown 20 楼 ShadowSSDT到底是什么SSDT 2011-1-14 16:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

nightxie

发帖

回帖

160

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 2 楼 2009-7-30 18:28 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 3 楼太牛逼了，无法学习，只能膜拜 2009-7-30 18:39 0
chimney 雪币： 268 活跃值： (95) 能力值： ( LV8，RANK：130 ) 在线值：发帖 5 回帖 118 粉丝 0 关注私信	chimney 3 4 楼学习！ 2009-7-30 18:51 0
nightxie 雪币： 86 活跃值： (56) 能力值： ( LV9，RANK：160 ) 在线值：发帖 11 回帖 71 粉丝 2 关注私信	nightxie 3 5 楼菜鸟一只而已~~~ 2009-7-30 18:56 0
haras 雪币： 342 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 93 粉丝 0 关注私信	haras 6 楼我看行，再顶L 2009-7-30 19:09 0
木桩雪币： 296 活跃值： (89) 能力值： ( LV15，RANK：340 ) 在线值：发帖 13 回帖 241 粉丝 4 关注私信	木桩 8 7 楼 SymLoadModule加载PDB啊，头一次见到这个方法。之前我还手动复制了一份ShadowSSDT的函数名表到程序里... 学习了。 2009-7-30 20:12 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 24 关注私信	qihoocom 9 8 楼太谦虚了，你写的不是代码，是寂寞 2009-7-30 21:31 0
你猜雪币： 105 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 49 粉丝 0 关注私信	你猜 9 楼无语 123456 2009-7-30 21:51 0
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 10 楼 MJ回的不是贴，是寂寞 2009-7-30 23:29 0
ImHolly 雪币： 412 活跃值： (30) 能力值： ( LV5，RANK：70 ) 在线值：发帖 6 回帖 293 粉丝 1 关注私信	ImHolly 1 11 楼寂寞 2009-7-31 10:48 0
boywhp 雪币： 1233 活跃值： (907) 能力值： ( LV12，RANK：750 ) 在线值：发帖 98 回帖 595 粉丝 26 关注私信	boywhp 12 12 楼唉，每个系统的pdb文件都不一样，你还不如硬编码呢 2009-8-2 08:13 0
chzhn 雪币： 170 活跃值： (45) 能力值： ( LV6，RANK：90 ) 在线值：发帖 11 回帖 66 粉丝 0 关注私信	chzhn 2 13 楼太强大了，如果没有pdb文件是不是可以从微软服务器下载下来再用呢？ 2009-8-2 12:51 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 14 楼传说某工具就是那样的从服务器下载的~ 但是万一我不小心把file给改了，就下载不到符号了~ 2009-8-2 13:21 0
sisess 雪币： 8192 活跃值： (3861) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 122 粉丝 1 关注私信	sisess 1 15 楼强悍啊这样也可以 2010-2-14 13:02 0
tmxfh 雪币： 101 活跃值： (144) 能力值： ( LV3，RANK：20 ) 在线值：发帖 19 回帖 141 粉丝 0 关注私信	tmxfh 16 楼偶没有成功，是全0.。出错在SymLoadModule,总是不能成功 2010-2-18 19:04 0
pull 雪币： 242 活跃值： (89) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 26 粉丝 0 关注私信	pull 1 17 楼 KERNEL_PROCESS_HANDLE = 0xF0F0F0F0; KERNEL_64Value_HIGH = 0xFFFFFFFF; 2010-9-21 18:15 0
红尘岁月雪币： 517 活跃值： (64) 能力值： ( LV8，RANK：130 ) 在线值：发帖 23 回帖 476 粉丝 2 关注私信	红尘岁月 2 18 楼 SymLoadModule 顶上来 2011-1-12 20:32 0
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 19 楼收下，感谢分享 2011-1-14 15:57 0
cjbclown 雪币： 29 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 32 粉丝 0 关注私信	cjbclown 20 楼 ShadowSSDT到底是什么SSDT 2011-1-14 16:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复