论坛广场 › WINDOWS核心编程 › [求助]关于x64 SSDT HOOK . In FFFFF880`XXXXXXXX

xmlpull 发表于 2012-3-21 16:12:08

[求助]关于x64 SSDT HOOK . In FFFFF880`XXXXXXXX

本帖最后由 xmlpull 于 2012-3-21 16:14 编辑

RT.


Win x64 的SSDT 表 是4位的。 不支持。64位地址。

So. 自己写的Function、是在 FFFFF880`XXXXXXXX 范围的。

而系统函数 是在 FFFFF800`XXXXXXXX 。


My - SSDT = 80`XXXXXXXX。 写不进SSDT表了。


而我看老大的。 SSDT Hook。里面。

自己写的函数都是在 FFFFF800`XXXXXXXX范围的。




求高招、！

Tesla.Angela 发表于 2012-3-21 18:47:27

嘿嘿，这个就是有点技巧的活了，暂时不透露。。。




不过我个人建议WIN64上还是别搞SSDT/SSSDT HOOK了，太麻烦了，还是直接搞INLINE HOOK吧。。。

xmlpull 发表于 2012-3-21 22:58:18

Tesla.Angela 发表于 2012-3-21 18:47 static/image/common/back.gif
嘿嘿，这个就是有点技巧的活了，暂时不透露。。。






嘿嘿。 需要点技巧。我在想是不是这样。、


以 SSSDT。为例。


MyFunction -> FFFFF880`XXXXXXXX

            SSSDT-> FFFFF900`XXXXXXXX


    由于不能往回跳。估计这样做。


先 分配 (SSSDT-MyFunction) + n 那么大的空间。

-.-再分配 100 Size。 空间、

然后 Memcpy （100Size , MyFunction , 100 ）;

    然后feel 掉(SSSDT-MyFunction) + n 。

-。-接着 填充各种 硬编码给MyFunction 、


Hook。SSSDT .Sucess..........{:soso__1243193949118710676_3:}

Tesla.Angela 发表于 2012-3-21 23:35:20

xmlpull 发表于 2012-3-21 22:58 static/image/common/back.gif
嘿嘿。 需要点技巧。我在想是不是这样。、




呵呵，肯定不是这样子啦。

你仔细看看那张截图，就能猜出我是怎么做的了。。。

另外高级会员的权限应该是30吧，要不下载我的BIN逆向一下也行。。。

xmlpull 发表于 2012-3-22 00:39:44

本帖最后由 xmlpull 于 2012-3-22 00:41 编辑

Tesla.Angela 发表于 2012-3-21 23:35 static/image/common/back.gif
呵呵，肯定不是这样子啦。

你仔细看看那张截图，就能猜出我是怎么做的了。。。


{:soso__6235880048239246314_3:} {:soso__6235880048239246314_3:} {:soso__6235880048239246314_3:}
{:soso__6235880048239246314_3:}

   超级打击。居然不是这样。 这可是我想了半天的方法。

-。-本来还有个想法。记得以前用 XT 看 内核函数时 。 两个 函数之间 是有间隔的。

-。-找一个比较大的间隔 。写个函数地址进去 。



老大。提示看图。 我啊直唔明白个是 KeBugCheckEx。 我总以为系防止BOSD-。-


   难道讲。把KeBugCheckEx全覆盖了。 写自己的函数进去。-。-

   这就解释了。 为什么KeBugCheckEx 显示的地址跟 MYFunction一样。


这样 岂不是 。又SSDT Hook .又防止蓝屏了。。。

Tesla.Angela 发表于 2012-3-22 17:36:34

xmlpull 发表于 2012-3-22 00:39 static/image/common/back.gif
{ ...

我才没有这么做呢。。。

kk1025 发表于 2013-4-11 21:36:21

Tesla.Angela 发表于 2012-3-22 17:36 static/image/common/back.gif
我才没有这么做呢。。。

M。。。思考中～～～

shadow 发表于 2014-4-26 20:19:13

kk1025 发表于 2013-4-11 21:36
M。。。思考中～～～

有结果么？我的权限不够下载那个bin，可以帮下载一下么？

shadow 发表于 2014-4-26 20:19:55

Tesla.Angela 发表于 2012-3-22 17:36
我才没有这么做呢。。。

我也遇到这个问题，老大可以爆料下么？想不出方法。。。

shadow 发表于 2014-4-26 20:20:18

本帖最后由 shadow 于 2014-4-27 09:24 编辑

Tesla.Angela 发表于 2012-3-22 17:36
我才没有这么做呢。。。

我也遇到这个问题，老大可以爆料下么？想不出方法。。。

网速卡，发重了，不好意思。

shadow 发表于 2014-4-27 09:23:38

Tesla.Angela 发表于 2012-3-21 23:35
呵呵，肯定不是这样子啦。

你仔细看看那张截图，就能猜出我是怎么做的了。。。


受到警告，实在不好意思，望原谅。
我实现了一个，不知对不对，还望指教。
我查了下您放自己函数的那个位置，是ntoskrnl.exe的空间。我猜是您把自己函数的代码复制到了那个位置。
我就将自己的代码复制到那个位置，然后调整一下call的相对偏移，成功了。
不知您是否那样做的，若不是，还望指导。

Tesla.Angela 发表于 2014-4-27 10:46:06

shadow 发表于 2014-4-27 09:23
受到警告，实在不好意思，望原谅。
我实现了一个，不知对不对，还望指教。
我查了下您放自己函数的那个位 ...

http://www.vbasm.com/forum.php?mod=viewthread&tid=4778

查看完整版本: [求助]关于x64 SSDT HOOK . In FFFFF880`XXXXXXXX