[原创开源]在Win64上获得SSDT基址和函数地址

Tesla.Angela · 发表于 2011-8-22 08:22:44

原理太复杂，懒得解释了。
自己看代码以及结合WINDBG调试吧。。。

xiaoly99 · 发表于 2011-8-22 12:59:22

膜拜 TA

Tesla.Angela · 发表于 2011-8-22 16:02:22

xiaoly99 发表于 2011-8-22 12:59
膜拜 TA

回拜装菜的小力同学。。。

ithurricane · 发表于 2011-8-23 16:11:22

提示: 作者被禁止或删除内容自动屏蔽

马大哈 · 发表于 2011-8-24 21:56:17

支持一下,顶

rksec · 发表于 2011-10-13 23:46:14

我觉得老大的无私奉献我应该顶贴的。

rksec · 发表于 2011-10-13 23:46:56

我的钱太少，老大让我多顶几次吧，没办法太菜了

coody · 发表于 2011-10-14 12:38:55

xi谢谢分享了!

opq211211 · 发表于 2012-2-13 18:25:20

嗯不错我也做过

opq211211 · 发表于 2012-2-13 18:32:21

公司需要不过只是找到特定的函数地址关键SSDT表在64位里的信息要>>4 +DescriptorTable才是真实地址

wenh7788 · 发表于 2012-2-16 13:57:10

楼主，您好，我看了下源码，在MyGetKeServiceDescriptorTable64()这个函数里面你有一句
PUCHAR StartSearchAddress=(PUCHAR)__readmsr(0xC0000082)
0xC0000082您是怎么算出来的？
还有下面的代码
0x4c8d15是怎么来的？

真的没有看懂，希望等到您的回复。谢谢！

wenh7788 · 发表于 2012-2-16 16:26:12

fffff800`03c7fff2 4c8d1547782300 lea r10,[nt!KeServiceDescriptorTable (fffff800`03eb7840)]
fffff800`03c7fff9 4c8d1d80782300 lea r11,[nt!KeServiceDescriptorTableShadow (fffff800`03eb7880)]

复制代码

哎呦，老大啊，如何通过前面的opcode 来算出 KeServiceDescriptorTable 即fffff800`03eb7840他的值
我通过代码观察好像是
fffff800`03c7fff9+237847

到底是怎么算的？
求指点，谢谢老大！！！！

xingweizzxx · 发表于 2012-2-20 21:56:38

下载学习代码

mysmartid · 发表于 2013-2-18 10:54:26

顶贴感謝!

kk1025 · 发表于 2013-3-13 23:55:46

感謝分享

hulixisi · 发表于 2014-9-21 12:36:12

opq211211 发表于 2012-2-13 18:32
公司需要不过只是找到特定的函数地址关键SSDT表在64位里的信息要>>4 +DescriptorTable才是真实地址 ...

加1

upring · 发表于 2015-6-8 10:24:05

支持开源支持分享

yzwang · 发表于 2016-2-28 16:51:46

谢谢分享。。。。

woddy · 发表于 2016-4-2 22:12:01

解压时提示数据损坏？

账号		自动登录	找回密码
密码			加入我们

[原创开源]在Win64上获得SSDT基址和函数地址

论坛牛人

贡献奖

关注奖

最佳版主

进步奖

人气王

疯狂作品奖

精英奖

赞助论坛勋章

乐于助人勋章