BUG：SSDT函数名获取SSDT函数号

绿林科技

一个有BUG的SSDT函数名返回SSDT函数序列号。

一运行就蓝屏。不知道是怎的。大神如果有空帮我看看。然后就是你的代码了，你可以拿去用，谢谢！

这样测试

1. __try
   
2.         {
   
3.                 KdPrint(("ZwOpenProcess的函数服务号为：%d", GetFunctionId("NtOpenProcess")));
   
4.         }
   
5.         __except (EXCEPTION_EXECUTE_HANDLER)
   
6.         {
   
7.                 KdPrint(("GetFunctionId出错了！"));
   
8.         }

复制代码

1. ULONG GetFunctionId(char* FunctionName)
   
2. /*++
   
3. 
   
4. Routine Description:
   
5. 
   
6.         [已删除，请勿再提任何无理要求。]
   
7. 
   
8. Arguments:
   
9. 
   
10.         FunctionName - 导出的函数名.
    
11. 
    
12. Return Value:
    
13. 
    
14.         函数的服务号的地址.
    
15. 
    
16. --*/
    
17. {
    
18.         NTSTATUS ntstatus;
    
19.         HANDLE hFile = NULL;
    
20.         HANDLE hSection = NULL;
    
21.         OBJECT_ATTRIBUTES object_attributes;
    
22.         IO_STATUS_BLOCK io_status = { 0 };
    
23.         PVOID baseaddress = NULL;
    
24.         SIZE_T size = 0;
    
25.         //模块基址
    
26. //        PVOID ModuleAddress = NULL;
    
27.         //偏移量
    
28.         ULONG dwOffset = 0;
    
29. 
    
30.         PIMAGE_DOS_HEADER dos = NULL;
    
31. #ifdef _WIN64
    
32.         PIMAGE_NT_HEADERS64 nt = NULL;
    
33. #else
    
34.         PIMAGE_NT_HEADERS nt = NULL;
    
35. #endif
    
36. 
    
37.        
    
38.         PIMAGE_DATA_DIRECTORY expdir = NULL;
    
39.         PIMAGE_EXPORT_DIRECTORY exports = NULL;
    
40. 
    
41.         ULONG addr;
    
42.         ULONG Size;
    
43. 
    
44.         PULONG functions;
    
45.         PSHORT ordinals;
    
46.         PULONG names;
    
47. 
    
48.         ULONG max_name;
    
49.         ULONG max_func;
    
50.         ULONG i;
    
51. 
    
52.         ULONG pFunctionAddress = 0;
    
53. 
    
54.         ULONG ServiceId;
    
55. 
    
56.         UNICODE_STRING DllName;
    
57.         RtlInitUnicodeString(&DllName, L"\\SystemRoot\\system32\\ntdll.dll");
    
58.         //初始化OBJECT_ATTRIBUTES结构
    
59.         InitializeObjectAttributes(
    
60.                 &object_attributes,
    
61.                 &DllName,
    
62.                 OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE,
    
63.                 NULL,
    
64.                 NULL);
    
65.         //打开文件
    
66.         ntstatus = ZwCreateFile(
    
67.                 &hFile,
    
68.                 FILE_EXECUTE | SYNCHRONIZE,
    
69.                 &object_attributes,
    
70.                 &io_status,
    
71.                 NULL,
    
72.                 FILE_ATTRIBUTE_NORMAL,
    
73.                 FILE_SHARE_READ,
    
74.                 FILE_OPEN,
    
75.                 FILE_NON_DIRECTORY_FILE |
    
76.                 FILE_RANDOM_ACCESS |
    
77.                 FILE_SYNCHRONOUS_IO_NONALERT,
    
78.                 NULL,
    
79.                 0);
    
80.         if (!NT_SUCCESS(ntstatus))
    
81.         {
    
82.                 KdPrint(("[GetFunctionAddress] error0\n"));
    
83.                 KdPrint(("[GetFunctionAddress] ntstatus = 0x%x\n", ntstatus));
    
84.                 return 0;
    
85.         }
    
86.         //创建区段
    
87.         InitializeObjectAttributes(
    
88.                 &object_attributes,
    
89.                 NULL,
    
90.                 OBJ_CASE_INSENSITIVE | OBJ_KERNEL_HANDLE,
    
91.                 NULL,
    
92.                 NULL);
    
93. #ifndef SEC_IMAGE
    
94. #define SEC_IMAGE 0x1000000
    
95. #endif
    
96.         ntstatus = ZwCreateSection(
    
97.                 &hSection,
    
98.                 SECTION_ALL_ACCESS,
    
99.                 &object_attributes,
    
100.                 0,
     
101.                 PAGE_EXECUTE,
     
102.                 SEC_IMAGE,
     
103.                 hFile);
     
104.         if (!NT_SUCCESS(ntstatus))
     
105.         {
     
106.                 KdPrint(("[GetFunctionAddress] error1\n"));
     
107.                 KdPrint(("[GetFunctionAddress] ntstatus = 0x%x\n", ntstatus));
     
108.                 return 0;
     
109.         }
     
110.         //映射区段到进程虚拟空间
     
111.         ntstatus = ZwMapViewOfSection(
     
112.                 hSection,
     
113.                 NtCurrentProcess(), //ntddk.h定义的宏用来获取当前进程句柄
     
114.                 &baseaddress,
     
115.                 0,
     
116.                 1000,
     
117.                 0,
     
118.                 &size,
     
119.                 (SECTION_INHERIT)1,
     
120.                 MEM_TOP_DOWN,
     
121.                 PAGE_READWRITE);
     
122.         if (!NT_SUCCESS(ntstatus))
     
123.         {
     
124.                 KdPrint(("[GetFunctionAddress] error2\n"));
     
125.                 KdPrint(("[GetFunctionAddress] ntstatus = 0x%x\n", ntstatus));
     
126.                 return 0;
     
127.         }
     
128.         //得到模块基址
     
129.         dwOffset = (ULONG)baseaddress;
     
130.         //验证基址
     
131.         //KdPrint(("[GetFunctionAddress] BaseAddress:0x%x\n", dwOffset));
     
132.         dos = (PIMAGE_DOS_HEADER)baseaddress;
     
133. #ifdef _WIN64
     
134.         nt = (PIMAGE_NT_HEADERS64)((ULONG)baseaddress + dos->e_lfanew);
     
135. #else
     
136.         nt = (PIMAGE_NT_HEADERS)((ULONG)baseaddress + dos->e_lfanew);
     
137. #endif
     
138.        
     
139.         expdir = (PIMAGE_DATA_DIRECTORY)(nt->OptionalHeader.DataDirectory + IMAGE_DIRECTORY_ENTRY_EXPORT);
     
140. 
     
141.         addr = expdir->VirtualAddress;//数据块起始RVA
     
142.         Size = expdir->Size;    //数据块长度
     
143. 
     
144.         exports = (PIMAGE_EXPORT_DIRECTORY)((ULONG)baseaddress + addr);
     
145. 
     
146.         functions = (PULONG)((ULONG)baseaddress + exports->AddressOfFunctions);
     
147.         ordinals = (PSHORT)((ULONG)baseaddress + exports->AddressOfNameOrdinals);
     
148.         names = (PULONG)((ULONG)baseaddress + exports->AddressOfNames);
     
149. 
     
150.         max_name = exports->NumberOfNames;
     
151.         max_func = exports->NumberOfFunctions;
     
152. 
     
153. 
     
154.         for (i = 0; i < max_name; i++)
     
155.         {
     
156.                 ULONG ord = ordinals[i];
     
157.                 if (i >= max_name || ord >= max_func)
     
158.                 {
     
159.                         return 0;
     
160.                 }
     
161.                 if (functions[ord] < addr || functions[ord] >= addr + Size)
     
162.                 {
     
163.                         if (strncmp((PCHAR)baseaddress + names[i], FunctionName, strlen(FunctionName)) == 0)
     
164.                         {
     
165.                                 pFunctionAddress = (ULONG)((ULONG)baseaddress + functions[ord]);
     
166.                                 break;
     
167.                         }
     
168.                 }
     
169.         }
     
170. 
     
171. 
     
172.         //KdPrint(("[GetFunctionAddress] %s:0x%x\n",FunctionName, pFunctionAddress));
     
173.         ServiceId = *(PSHORT)(pFunctionAddress + 1);
     
174.         //打印导出函数服务号
     
175.         //KdPrint(("[GetServiceId] ServiceId:0x%x\n",ServiceId));
     
176.         //卸载区段，释放内存,关闭句柄
     
177.         ZwUnmapViewOfSection(NtCurrentProcess(), baseaddress);
     
178.         ZwClose(hSection);
     
179.         ZwClose(hFile);
     
180.        
     
181.         return ServiceId;
     
182. }

复制代码

tangptr@126.com

我发过动态取得SSDT函数的帖子的，地址：http://www.m5home.com/bbs/thread-8518-1-1.html
就是像ZwProtectVirtualMemory这样的未导出函数不好用。思路很简单，获取对应的ZwXXX函数的地址，从第二个字节开始读四个字节，该数据就是服务编号了

tangptr@126.com

额。。。那是32位的，64位的也有办法，用反汇编引擎解析出每一条指令，并判断指令的机器码是不是0xB8。第一个0xB8(mov)指令后面的四个字节就是这个函数的服务号

Tesla.Angela

KernelLoadLibary+KernelGetProcAddress。获得的地址虽然是“假的”（可以简单理解为一个随机BASE+RVA），但数据是“真的”。足以从中提取出INDEX。

loriYagami

和baseaddress 相关的计算，不能直接使用ULONG强制转换，需要使用ULONG_PTR。