半夜三更，紧急呼叫，TA 和 Xiaoly99

ok100fen

在xiaoly99的帮助下，终于找到了原始地址
可是，有一个很奇怪的问题，简直是奇了怪了。
如果单独做，ssdt表中函数的当前地址和原始地址，都能得到
但是和在一起，就不行了，为什么呢？
希望TA  和  Xiaoly99来救助.

ok100fen

当前地址的代码：

1. #include <ntddk.h>
   
2. VOID DDK_Unload (IN PDRIVER_OBJECT pDriverObject);
   
3. VOID DDK_Unload (IN PDRIVER_OBJECT pDriverObject)
   
4. {
   
5. 
   
6. }
   
7. 
   
8. NTSTATUS DriverEntry(PDRIVER_OBJECT pDriverObject,PUNICODE_STRING B)
   
9. {
   
10. extern long KeServiceDescriptorTable;
    
11. ULONG SSDT_NtOpenProcess_Addr;
    
12. KdPrint(("驱动加载成功"));
    
13. _asm
    
14. {
    
15. push ebx
    
16. push eax
    
17. mov ebx,KeServiceDescriptorTable
    
18. mov ebx,[ebx]
    
19. mov eax,0x7a
    
20. shl eax,2
    
21. add ebx,eax
    
22. mov ebx,[ebx]
    
23. mov SSDT_NtOpenProcess_Addr,ebx
    
24. pop eax
    
25. pop ebx
    
26. }
    
27. 
    
28. 
    
29. KdPrint(("SSDT的当前地址=%x",SSDT_NtOpenProcess_Addr));
    
30. pDriverObject->DriverUnload=DDK_Unload;
    
31. return (1);
    
32. }
    
33. 
    

复制代码

ok100fen

原始地址代码：

1. #include <ntddk.h>
   
2. #include "ntimage.h"
   
3. #include "KernelVoid.h"
   
4. VOID Unload(IN PDRIVER_OBJECT DriverObject)
   
5. {
   
6. }
   
7. NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,IN PUNICODE_STRING RegistryPath)
   
8. {
   
9. ULONG XXXX,yyyy,SSDT_NtOpenProcess_Cur_Addr;
   
10. XXXX=KvGetSSDTVoid("NtTerminateProcess");
    
11. DbgPrint("NtTerminateProcess的原始地址是0x%x.",KvGetSSDTVoid("NtTerminateProcess"));
    
12. 
    
13. DriverObject->DriverUnload = Unload;
    
14. 
    
15. return STATUS_SUCCESS;
    
16. }
    

复制代码

ok100fen

合在一起，就出错，为什么？
希望高人快快出现~~~~~~
天灵灵，地灵灵~~~~~

1. #include <ntddk.h>
   
2. #include "ntimage.h"
   
3. #include "KernelVoid.h"
   
4. VOID Unload(IN PDRIVER_OBJECT DriverObject)
   
5. {
   
6. }
   
7. NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject,IN PUNICODE_STRING RegistryPath)
   
8. { extern long KeServiceDescriptorTable;
   
9. ULONG SSDT_NtOpenProcess_Addr;
   
10. ULONG XXXX,yyyy,SSDT_NtOpenProcess_Cur_Addr;
    
11. XXXX=KvGetSSDTVoid("NtTerminateProcess");
    
12. DbgPrint("NtTerminateProcess的原始地址是0x%x.",KvGetSSDTVoid("NtTerminateProcess"));
    
13. 
    
14. 
    
15. 
    
16. 
    
17. 
    
18. 
    
19. _asm
    
20. {
    
21. push ebx
    
22. push eax
    
23. mov ebx,KeServiceDescriptorTable
    
24. mov ebx,[ebx]
    
25. mov eax,0x7a
    
26. shl eax,2
    
27. add ebx,eax
    
28. mov ebx,[ebx]
    
29. mov SSDT_NtOpenProcess_Addr,ebx
    
30. pop eax
    
31. pop ebx
    
32. }
    
33. 
    
34. 
    
35. KdPrint(("SSDT的当前地址=%x",SSDT_NtOpenProcess_Addr));
    
36. 
    
37. DriverObject->DriverUnload = Unload;
    
38. 
    
39. return STATUS_SUCCESS;
    
40. }
    

复制代码

Tesla.Angela

你干啥不用我给你的代码？？？

ok100fen

你说的这个？
看了，没看懂什么意思
你看看我的这个错在哪里？

驱动版本的在这里：
Tesla.Angela 发表于 2010-8-28 17:06

ok100fen

等了一天了