WinDbg 產生 Shadow SSDT 腳本(Win7x64)
有了SSDT, 不免俗也要發個 Shadow SSDT {:soso_e120:}$$ Windows 7 SP1 x64
$$ variables
aS lnkS "<u><col fg=\\\"emphfg\\\"><link name=\\\"%p\\\" cmd=\\\"u 0x%p\\\">";
aS lnkE "</link></col></u>";
r $t1 = nt!KeServiceDescriptorTableShadow;
r $t2 = poi(@$t1 + 30);
r $t3 = poi(@$t1 + 20);
$$ select explorer.exe thread
.foreach /pS 1 /ps 13 (obj {.shell -i - -ci "!process 0 0 explorer.exe" FIND " "}){.process /p ${obj}}
.printf "\nKeServiceDescriptorTableShadow = 0x%p\n", @$t1;
.printf "ServiceSectionCount = 0x%X\n", @$t2;
.printf "ServiceTable = 0x%p\n", @$t3;
.printf " Index FunctionAddr Symbols\n";
.printf "---------------------------------------------\n\n";
.for (r $t0 = 0; @$t0 < @$t2 ; r $t0 = @$t0 + 1)
{
$$ ln win32k!W32pServiceTable+((poi(win32k!W32pServiceTable+4*index) & 0x00000000ffffffff)>>4)-10000000
r $t4 = dwo((@$t3 + (@$t0 * 4))) >> 4;
.if (@$t4 > 0x7ffffff)
{
r $t5 = @$t3 + @$t4 - 10000000;
}
.else
{
r $t5 = @$t3 + @$t4;
}
.printf /D "[%4d] ${lnkS}%p${lnkE}: (%y)\n", @$t0, @$t5, @$t5, @$t5, @$t5;
}
.printf "\n- end -\n";
ad lnkS;
ad lnkE;
主要難度在於由 kernel 進到 exploer 進程, 再去問資料, 腳本的寫法不熟, 花了不少時間... {:soso_e106:}
广告位招租,10美元/年。
为什么顶这个帖子的人少,这个技术水平更高啊。 过来看看,到底是个什么东西。 因为不具备实用性,可能是锻炼自己写脚本能力吧! 学习一下,一直以来windbg用的不是很熟 支持原创!希望更多发发技术! 正在学习,不知道怎么弄
页:
[1]