找回密码
 加入我们

QQ登录

只需一步,快速开始

搜索
查看: 6867|回复: 3

WIN10(32)寻找SHADOW表是不是需要什么特别的方法?

[复制链接]

28

主题

116

回帖

0

精华

铜牌会员

积分
273
发表于 2017-5-29 23:11:15 | 显示全部楼层 |阅读模式
以前在XP上很好使的代码忽然从WIN10开始不能用了。注意是WIN10的32位,64位用TA的代码很好使。

857

主题

2632

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36130
发表于 2017-5-30 13:11:35 | 显示全部楼层
你说的SHADOW表,是指向SSSDT的PSYSTEM_SERVICE_TABLE类型的变量吧。
不知道你代码怎么写的,一般在KeServiceDescriptorTable的正负PAGE_SIZE范围内暴力搜索一下即可。
  1. PUCHAR p=NULL;
  2. PSYSTEM_SERVICE_TABLE KeServiceDescriptorTableWIN32K=NULL;
  3. for(p=(PUCHAR)KeServiceDescriptorTable-PAGE_SIZE; p<(PUCHAR)KeServiceDescriptorTable+PAGE_SIZE; p++)
  4. {
  5.         if(p!=(PUCHAR)KeServiceDescriptorTable)
  6.         {
  7.                 if(memcmp(p, KeServiceDescriptorTable, sizeof(SYSTEM_SERVICE_TABLE))==0)
  8.                 {
  9.                         KeServiceDescriptorTableWIN32K = (PSYSTEM_SERVICE_TABLE)(p + sizeof(SYSTEM_SERVICE_TABLE));
  10.                         break;
  11.                 }
  12.         }
  13. }
复制代码
头像被屏蔽

0

主题

37

回帖

0

精华

铜牌会员

积分
75
发表于 2017-6-15 23:04:06 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽

857

主题

2632

回帖

2

精华

管理员

此生无悔入华夏,  长居日耳曼尼亚。  

积分
36130
发表于 2020-7-31 02:39:44 | 显示全部楼层
Krueger 发表于 2020-7-29 02:30
我也在搜索一種方式/代碼,該傳統代碼(基於KeAddSystemServiceTable函數)不適用於Win10 32位。 PS:上面 ...

你获取地址的目的是为了HOOK吗?如果是的话,在WIN10上有简单的方式。
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

快速回复 返回顶部 返回列表