WIN10（32）寻找SHADOW表是不是需要什么特别的方法？

gfw · 发表于 2017-5-29 23:11:15

以前在XP上很好使的代码忽然从WIN10开始不能用了。注意是WIN10的32位，64位用TA的代码很好使。

Tesla.Angela · 发表于 2017-5-30 13:11:35

你说的SHADOW表，是指向SSSDT的PSYSTEM_SERVICE_TABLE类型的变量吧。
不知道你代码怎么写的，一般在KeServiceDescriptorTable的正负PAGE_SIZE范围内暴力搜索一下即可。

PUCHAR p=NULL;
PSYSTEM_SERVICE_TABLE KeServiceDescriptorTableWIN32K=NULL;
for(p=(PUCHAR)KeServiceDescriptorTable-PAGE_SIZE; p<(PUCHAR)KeServiceDescriptorTable+PAGE_SIZE; p++)
{
if(p!=(PUCHAR)KeServiceDescriptorTable)
{
if(memcmp(p, KeServiceDescriptorTable, sizeof(SYSTEM_SERVICE_TABLE))==0)
{
KeServiceDescriptorTableWIN32K = (PSYSTEM_SERVICE_TABLE)(p + sizeof(SYSTEM_SERVICE_TABLE));
break;
}
}
}

复制代码

锅炉猫MC · 发表于 2017-6-15 23:04:06

提示: 作者被禁止或删除内容自动屏蔽

Tesla.Angela · 发表于 2020-7-31 02:39:44

Krueger 发表于 2020-7-29 02:30
我也在搜索一種方式/代碼，該傳統代碼（基於KeAddSystemServiceTable函數）不適用於Win10 32位。 PS：上面 ...

账号		自动登录	找回密码
密码			加入我们