设为首页收藏本站
切换到窄版

 找回密码
 加入我们

QQ登录

只需一步,快速开始

搜索
紫水晶编程技术论坛 - 努力打造成全国最好的编程论坛»论坛广场 置顶区 WINDOWS核心编程 [求助]关于x64 SSDT HOOK . In FFFFF880`XXXXXXXX
返回列表 发新帖
查看: 15494|回复: 11

[求助]关于x64 SSDT HOOK . In FFFFF880`XXXXXXXX

 火.. [复制链接]
xmlpull

9

主题

117

回帖

0

精华

银牌会员

积分
422
发表于 2012-3-21 16:12:08 | 显示全部楼层 |阅读模式
本帖最后由 xmlpull 于 2012-3-21 16:14 编辑

RT.


Win x64 的SSDT 表 是4位的。 不支持。64位地址。  

So. 自己写的Function、是在 FFFFF880`XXXXXXXX 范围的。

而系统函数 是在 FFFFF800`XXXXXXXX 。


My - SSDT = 80`XXXXXXXX  。 写不进SSDT表了。


而我看老大的。 SSDT Hook。里面。

自己写的函数都是在 FFFFF800`XXXXXXXX  范围的。

QQ截图20120321161130.png



求高招、!
回复

举报

Tesla.Angela

857

主题

2632

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36130
发表于 2012-3-21 18:47:27 | 显示全部楼层
嘿嘿,这个就是有点技巧的活了,暂时不透露。。。




不过我个人建议WIN64上还是别搞SSDT/SSSDT HOOK了,太麻烦了,还是直接搞INLINE HOOK吧。。。
我的一些与WINDOWS驱动开发相关的PoC(列表)
回复

举报

xmlpull

9

主题

117

回帖

0

精华

银牌会员

积分
422
 楼主| 发表于 2012-3-21 22:58:18 | 显示全部楼层
Tesla.Angela 发表于 2012-3-21 18:47
嘿嘿,这个就是有点技巧的活了,暂时不透露。。。



  嘿嘿。 需要点技巧。我在想是不是这样。、


  以 SSSDT。为例。


  MyFunction -> FFFFF880`XXXXXXXX

            SSSDT-> FFFFF900`XXXXXXXX


    由于不能往回跳。  估计这样做。


  先 分配 (SSSDT-MyFunction) + n 那么大的空间。

-.-再分配 100 Size。 空间、

  然后 Memcpy (100Size , MyFunction , 100 );

    然后  feel 掉  (SSSDT-MyFunction) + n 。

  -。-接着 填充各种 硬编码给  MyFunction 、


Hook。SSSDT .Sucess..........{:soso__1243193949118710676_3:}



  
回复

举报

Tesla.Angela

857

主题

2632

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36130
发表于 2012-3-21 23:35:20 | 显示全部楼层
xmlpull 发表于 2012-3-21 22:58
嘿嘿。 需要点技巧。我在想是不是这样。、

呵呵,肯定不是这样子啦。

你仔细看看那张截图,就能猜出我是怎么做的了。。。

另外高级会员的权限应该是30吧,要不下载我的BIN逆向一下也行。。。
我的一些与WINDOWS驱动开发相关的PoC(列表)
回复

举报

xmlpull

9

主题

117

回帖

0

精华

银牌会员

积分
422
 楼主| 发表于 2012-3-22 00:39:44 | 显示全部楼层
本帖最后由 xmlpull 于 2012-3-22 00:41 编辑
Tesla.Angela 发表于 2012-3-21 23:35
呵呵,肯定不是这样子啦。

你仔细看看那张截图,就能猜出我是怎么做的了。。。


{:soso__6235880048239246314_3:} {:soso__6235880048239246314_3:} {:soso__6235880048239246314_3:}
{:soso__6235880048239246314_3:}

   超级打击。  居然不是这样。 这可是我想了半天的方法。

  -。-本来还有个想法。  记得以前用 XT 看 内核函数时 。 两个 函数之间 是有间隔的。

  -。-找一个比较大的间隔 。写个函数地址进去 。


  
老大。提示看图。 我啊直唔明白个是 KeBugCheckEx。 我总以为系防止BOSD-。-


   难道讲。  把KeBugCheckEx  全覆盖了。 写自己的函数进去。-。-

   这就解释了。 为什么  KeBugCheckEx 显示的地址跟 MYFunction一样。


  这样 岂不是 。又SSDT Hook .又防止蓝屏了。。。


  
回复

举报

Tesla.Angela

857

主题

2632

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36130
发表于 2012-3-22 17:36:34 | 显示全部楼层
xmlpull 发表于 2012-3-22 00:39
{ ...

我才没有这么做呢。。。
我的一些与WINDOWS驱动开发相关的PoC(列表)
回复

举报

kk1025

7

主题

414

回帖

1

精华

铂金会员

积分
2173
发表于 2013-4-11 21:36:21 | 显示全部楼层
Tesla.Angela 发表于 2012-3-22 17:36
我才没有这么做呢。。。

M。。。思考中~~~
回复

举报

shadow

0

主题

7

回帖

0

精华

铜牌会员

积分
37
发表于 2014-4-26 20:19:13 | 显示全部楼层
kk1025 发表于 2013-4-11 21:36
M。。。思考中~~~

有结果么?我的权限不够下载那个bin,可以帮下载一下么?
回复

举报

shadow

0

主题

7

回帖

0

精华

铜牌会员

积分
37
发表于 2014-4-26 20:19:55 | 显示全部楼层
Tesla.Angela 发表于 2012-3-22 17:36
我才没有这么做呢。。。

我也遇到这个问题,老大可以爆料下么?想不出方法。。。
回复

举报

shadow

0

主题

7

回帖

0

精华

铜牌会员

积分
37
发表于 2014-4-26 20:20:18 | 显示全部楼层
本帖最后由 shadow 于 2014-4-27 09:24 编辑
Tesla.Angela 发表于 2012-3-22 17:36
我才没有这么做呢。。。


我也遇到这个问题,老大可以爆料下么?想不出方法。。。

网速卡,发重了,不好意思。
回复

举报

shadow

0

主题

7

回帖

0

精华

铜牌会员

积分
37
发表于 2014-4-27 09:23:38 | 显示全部楼层
Tesla.Angela 发表于 2012-3-21 23:35
呵呵,肯定不是这样子啦。

你仔细看看那张截图,就能猜出我是怎么做的了。。。

受到警告,实在不好意思,望原谅。
我实现了一个,不知对不对,还望指教。
我查了下您放自己函数的那个位置,是ntoskrnl.exe的空间。我猜是您把自己函数的代码复制到了那个位置。
我就将自己的代码复制到那个位置,然后调整一下call的相对偏移,成功了。
不知您是否那样做的,若不是,还望指导。
回复

举报

Tesla.Angela

857

主题

2632

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36130
发表于 2014-4-27 10:46:06 | 显示全部楼层
shadow 发表于 2014-4-27 09:23
受到警告,实在不好意思,望原谅。
我实现了一个,不知对不对,还望指教。
我查了下您放自己函数的那个位 ...

http://www.vbasm.com/forum.php?mod=viewthread&tid=4778
我的一些与WINDOWS驱动开发相关的PoC(列表)
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

快速回复 返回顶部 返回列表