枚举ssdt 地址表
来源:互联网 发布:农村淘宝 app 下载 编辑:程序博客网 时间:2024/06/06 00:04
dd keserviceDescriptorTable
查看地址
typedef struct _SERVICE_DESCRIPTOR_TABLE
{
PVOID ServiceTableBase; //基址
PULONG ServiceCounterTableBase;
ULONG NumberOfService; //个数函数
ULONG ParamTableBase;//sspt 表
}SERVICE_DESCRIPTOR_TABLE,*PSERVICE_DESCRIPTOR_TABLE;
实现代码如下
#ifndef CXX_ENUMSSDT_H#include "EnumSSDT.h"#endif//#include "struct.h"extern "C" KeServiceDescriptorTable;VOIDDriverUnload(__in struct _DRIVER_OBJECT *DriverObject){ KdPrint(("驱动卸载成功!"));}extern "C"NTSTATUSDriverEntry(IN PDRIVER_OBJECT pDriverObj, IN PUNICODE_STRING pRegistryString){ KdPrint(("驱动加载成功!")); ULONG uBaaseAddress=*(PULONG)KeServiceDescriptorTable; int uCount=*(PULONG)(KeServiceDescriptorTable+8); KdPrint(("base address:%x,%x",uBaaseAddress,uCount)); int i=0; for (i=0;i<uCount;i++) { KdPrint(("num:%d ,ssdt address:%X",i,*(PULONG)(uBaaseAddress+i*4))); } pDriverObj->DriverUnload = DriverUnload; return 0;}Debug view查看输出地址和pchunter 地址对应
枚举成功
0 0
- 枚举ssdt 地址表
- 枚举SSDT 系统服务表中的函数地址
- 寻找SSDT表地址
- 读取SSDT表和原函数地址
- SSDT原始地址, 现在地址
- SSDT原始地址, 现在地址
- 读取SSDT当前函数地址
- 读取无保护的SSDT表中的NtOpenProcess函数的当前地址
- XP取SSDT表中指定索引号的函数地址
- RING3下SSDT原始地址的获取
- RING3下SSDT原始地址的获取
- 获取SSDT,SSSDT原始函数地址
- Windbg 查看SSDT表
- SSDT表的遍历
- SSDT表概念详解
- XP获取SSDT表
- SSDT
- SSDT
- 状态压缩DP
- adb shell 命令详解
- 数组名 和 &数组名
- nyoj 733 万圣节派对
- iOS和JS的交互之在代理方法拦截Url,识别判断
- 枚举ssdt 地址表
- 机器学习(周志华) 参考答案 第五章 神经网络 5.5
- POJ 2299 Ultra-QuickSort (树状数组、归并排序)
- actor model && Big Data
- SVN中增加所有新增文件
- iOS开发----IOS项目自动生成技术文档
- 机器学习(周志华) 参考答案 第五章 神经网络 5.7
- 读《精通JavaScript+jQuery》笔记三
- CABasicAnimation animationWithKeyPath 一些规定的值
