自己写的代码还是太菜。。。

tangptr@126.com

无聊的时候写了个获取PspExitThread原始的玩意，于是蓝屏了。。。

1. #include <ntddk.h>
   
2. #include <windef.h>
   
3. #include <ntimage.h>
   
4. #include "LDE64.h"
   
5. 
   
6. ULONG32 Rva_PsTST;
   
7. ULONG32 Rva_PspTTBP;
   
8. ULONG32 Rva_PspET;
   
9. 
   
10. ULONG RvaToRaw(PIMAGE_SECTION_HEADER pSections,USHORT SectionNumbers,ULONG dwRvaAddr)
    
11. {
    
12.         USHORT i;
    
13.     ULONG AposRva;
    
14.     ULONG dwOffset;
    
15.     for(i=0;i<=SectionNumbers-1;i++)
    
16.         {
    
17.         if(dwRvaAddr>=pSections[i].VirtualAddress && dwRvaAddr<pSections[i].VirtualAddress+pSections[i].Misc.VirtualSize)
    
18.                 {
    
19.             AposRva=dwRvaAddr-pSections[i].VirtualAddress;
    
20.             dwOffset=pSections[i].PointerToRawData+AposRva;
    
21.             break;
    
22.         }
    
23.         }
    
24.         return dwOffset;
    
25. }
    
26. 
    
27. void GetPspExitThread()
    
28. {
    
29.         NTSTATUS st;
    
30.         HANDLE hFile;
    
31.         OBJECT_ATTRIBUTES oa;
    
32.         UNICODE_STRING uniFileName;
    
33.         BYTE ansFuncName[23]="PsTerminateSystemThread";
    
34.         IO_STATUS_BLOCK iosb;
    
35.         LARGE_INTEGER Offset;
    
36.         IMAGE_DOS_HEADER DosHead;
    
37.         IMAGE_NT_HEADERS64 NtHead;
    
38.         PIMAGE_SECTION_HEADER pSection;
    
39.         IMAGE_EXPORT_DIRECTORY ExpDir;
    
40.         PULONG32 FuncRva;
    
41.         PULONG32 NameRva;
    
42.         PUSHORT OridRva;
    
43.         PVOID PsBuffer;
    
44.         PVOID PspBuffer;
    
45.         BYTE pName[23]={0};
    
46.         ULONG i;
    
47.         ULONG64 j;
    
48.         ULONG64 k;
    
49.         ULONG pLen=0;
    
50.         RtlInitUnicodeString(&uniFileName,L"C:\\Windows\\System32\\ntoskrnl.exe");
    
51.         InitializeObjectAttributes(&oa,&uniFileName,OBJ_KERNEL_HANDLE | OBJ_CASE_INSENSITIVE,NULL,NULL);
    
52.         st=IoCreateFile(&hFile,GENERIC_READ,&oa,&iosb,0,FILE_ATTRIBUTE_NORMAL,FILE_SHARE_READ,FILE_OPEN,0,NULL,0,0,NULL,IO_NO_PARAMETER_CHECKING);
    
53.         if(NT_SUCCESS(st))
    
54.         {
    
55.                 RtlZeroMemory(&Offset,sizeof(Offset));
    
56.                 st=ZwReadFile(hFile,NULL,NULL,NULL,&iosb,&DosHead,sizeof(DosHead),&Offset,NULL);
    
57.                 if(NT_SUCCESS(st) && DosHead.e_magic==0x5A4D)
    
58.                 {
    
59.                         Offset.LowPart=DosHead.e_lfanew;
    
60.                         st=ZwReadFile(hFile,NULL,NULL,NULL,&iosb,&NtHead,sizeof(NtHead),&Offset,NULL);
    
61.                         if(NT_SUCCESS(st) && NtHead.Signature==0x4550)
    
62.                         {
    
63.                                 pSection=ExAllocatePool(NonPagedPool,NtHead.FileHeader.NumberOfSections * sizeof(IMAGE_SECTION_HEADER));
    
64.                                 Offset.LowPart+=sizeof(NtHead);
    
65.                                 ZwReadFile(hFile,NULL,NULL,NULL,&iosb,pSection,NtHead.FileHeader.NumberOfSections * sizeof(IMAGE_SECTION_HEADER),&Offset,NULL);
    
66.                                 Offset.LowPart=RvaToRaw(pSection,NtHead.FileHeader.NumberOfSections,NtHead.OptionalHeader.DataDirectory[1].VirtualAddress);
    
67.                                 ZwReadFile(hFile,NULL,NULL,NULL,&iosb,&ExpDir,sizeof(ExpDir),&Offset,NULL);
    
68.                                 Offset.LowPart=RvaToRaw(pSection,NtHead.FileHeader.NumberOfSections,ExpDir.AddressOfFunctions);
    
69.                                 FuncRva=ExAllocatePool(NonPagedPool,4 * ExpDir.NumberOfFunctions);
    
70.                                 ZwReadFile(hFile,NULL,NULL,NULL,&iosb,FuncRva,4 * ExpDir.NumberOfFunctions,&Offset,NULL);
    
71.                                 Offset.LowPart=RvaToRaw(pSection,NtHead.FileHeader.NumberOfSections,ExpDir.AddressOfNames);
    
72.                                 NameRva=ExAllocatePool(NonPagedPool,4 * ExpDir.NumberOfNames);
    
73.                                 ZwReadFile(hFile,NULL,NULL,NULL,&iosb,NameRva,4 * ExpDir.NumberOfNames,&Offset,NULL);
    
74.                                 Offset.LowPart=RvaToRaw(pSection,NtHead.FileHeader.NumberOfSections,ExpDir.AddressOfNameOrdinals);
    
75.                                 OridRva=ExAllocatePool(NonPagedPool,2 * ExpDir.NumberOfFunctions);
    
76.                                 ZwReadFile(hFile,NULL,NULL,NULL,&iosb,OridRva,2 * ExpDir.NumberOfFunctions,&Offset,NULL);
    
77.                                 for(i=1;i<=ExpDir.NumberOfNames;i++)
    
78.                                 {
    
79.                                         Offset.LowPart=RvaToRaw(pSection,NtHead.FileHeader.NumberOfSections,NameRva[i]);
    
80.                                         ZwReadFile(hFile,NULL,NULL,NULL,&iosb,pName,23,&Offset,NULL);
    
81.                                         if(RtlCompareMemory(pName,ansFuncName,23)==23)
    
82.                                         {
    
83.                                                 Rva_PsTST=FuncRva[OridRva[i]-ExpDir.Base];
    
84.                                                 PsBuffer=ExAllocatePool(NonPagedPool,50);
    
85.                                                 Offset.LowPart=RvaToRaw(pSection,NtHead.FileHeader.NumberOfSections,Rva_PsTST);
    
86.                                                 ZwReadFile(hFile,NULL,NULL,NULL,&iosb,PsBuffer,50,&Offset,NULL);
    
87.                                                 for(j=(ULONG64)PsBuffer;j<=(ULONG64)PsBuffer+50;j+=pLen)
    
88.                                                 {
    
89.                                                         pLen=SizeOfCode((PVOID)j,64);
    
90.                                                         if(pLen==5 && *(PBYTE)j==0xE8)
    
91.                                                         {
    
92.                                                                 Rva_PspTTBP=(ULONG32)(*(PULONG32)(j+1)+(j-(ULONG64)PsBuffer)+5);
    
93.                                                                 PspBuffer=ExAllocatePool(NonPagedPool,0x100);
    
94.                                                                 Offset.LowPart=RvaToRaw(pSection,NtHead.FileHeader.NumberOfSections,Rva_PspTTBP);
    
95.                                                                 ZwReadFile(hFile,NULL,NULL,NULL,&iosb,PspBuffer,0x100,&Offset,NULL);
    
96.                                                                 pLen=0;
    
97.                                                                 for(k=(ULONG64)PspBuffer;k<=(ULONG64)PspBuffer+0x100;k+=pLen)
    
98.                                                                 {
    
99.                                                                         pLen=SizeOfCode((PVOID)k,64);
    
100.                                                                         if(pLen==5 && *(PBYTE)k==0xE8)
     
101.                                                                         {
     
102.                                                                                 Rva_PspET=(ULONG32)(*(PULONG32)(k+1)+(k-(ULONG64)PspBuffer)+5);
     
103.                                                                                 break;
     
104.                                                                         }
     
105.                                                                 }
     
106.                                                         }
     
107.                                                 }
     
108.                                         }
     
109.                                 }
     
110.                         }
     
111.                 }
     
112.                 ZwClose(hFile);
     
113.         }
     
114. }

复制代码

Tesla.Angela

用符号！！！