[求助]关于win10 x64下获取ssdt原始函数地址的问题（已解决）

T3Shell

最近在学习win64下的驱动编程， 想自己写一款ARK软件
在坛主的<<WIN64驱动编程基础教程>> 中的关于SSDT UnHook获取SSDT原始函数地址的算法：

代码是这么实现的基本就是教程里的代码，我稍微改动了一些：

获取NtosBase的函数:

1. VOID CUtils::GetNtosBase(ULONGLONG& NtosBase, CHAR* NtosName)
   
2. {
   
3.         char FileName[260] = { 0 }, *FullName;
   
4.         NtosBase = GetNtosBaseAndPath(FileName);
   
5.         FullName = cs("C:\\Windows\\system32\", FileName);
   
6.         strcpy(NtosName, FullName);
   
7.         printf("NTOSKRNL base: %llx\n", NtosBase);
   
8.         printf("NTOSKRNL name: %s\n", NtosName);
   
9. }

复制代码

获取NtosImageBase的函数

1. VOID CUtils::GetNtosImageBase(ULONGLONG  &NtosImageBase, char* NtosName)
   
2. {
   
3.         PIMAGE_NT_HEADERS64 pinths64;
   
4.         PIMAGE_DOS_HEADER pdih;
   
5.         char *NtosFileData = NULL;
   
6.         NtosFileData = LoadDllContext(NtosName);
   
7.         pdih = (PIMAGE_DOS_HEADER)NtosFileData;
   
8.         pinths64 = (PIMAGE_NT_HEADERS64)(NtosFileData + pdih->e_lfanew);
   
9.         NtosImageBase = pinths64->OptionalHeader.ImageBase;
   
10.         printf("ImageBase: %llx\n", NtosImageBase);
    
11.         free(NtosFileData);
    
12. }

复制代码

最终获取原始函数地址的函数：

1. ULONGLONG CSSDTHookView::GetFunctionOriginalAddress(DWORD index)
   
2. {
   
3.         //"C:\\Windows\\system32\\ntkrnlmp.exe"
   
4.         if (NtosInProcess == 0)
   
5.                 NtosInProcess = (ULONGLONG)LoadLibraryExA(NtosName, 0, DONT_RESOLVE_DLL_REFERENCES);  
   
6. 
   
7.         if (KiServiceTable == 0)
   
8.         {
   
9.                 DWORD dwRet = 0;
   
10.                 KiServiceTableAddr_INFO info;
    
11.                 DriverCtrl::GetInstance()->IoControl(0x807, 0, 0, &info, sizeof(KiServiceTableAddr_INFO), &dwRet);
    
12. 
    
13.                 if (dwRet <= 0)
    
14.                 {
    
15.                         MessageBox(L"获取KiServerTable地址失败", L"错误");
    
16.                         return 0;
    
17.                 }
    
18. 
    
19.                 KiServiceTable = info.addr;
    
20.         }
    
21. 
    
22.         ULONGLONG RVA = KiServiceTable - NtosBase;
    
23.         ULONGLONG test = (NtosInProcess + RVA + 8 * (ULONGLONG)index);
    
24.         ULONGLONG temp =  *(PULONGLONG) (NtosInProcess + RVA + 8 * (ULONGLONG)index);
    
25.         //IMAGE_OPTIONAL_HEADER64.ImageBase=0x140000000（这个值基本是固定的）  
    
26.         ULONGLONG RVA_index = temp - NtosImageBase;
    
27.         return RVA_index + NtosBase;
    
28. }

复制代码

我调试看了，其中的KiServiceTable  的地址是没问题的， 这是一次我调试断点变量的值

1. NtosInProcess   7ff6f7ff0000
   
2. NtosBase   fffff800e881e000
   
3. KiServiceTable  fffff800e8b6d000
   
4. NtosImageBase 140000000

复制代码

好像也都没什么问题，但是计算结果还有很大误差，我本机没有开任何可能hook ssdt(修该)函数地址的软件
下面是我的程序获取到的截图


这是我的系统版本信息






这个问题困扰我好几天了， 各种百度谷歌没有找到好的解决办法， 希望路过的大牛不吝赐教，指点一下， 先谢谢了！

Tesla.Angela

从WIN10某版本开始获取原始地址的方法变化了。具体公式是：

游客，如果您要查看本帖隐藏内容请回复

由于已转PHP开发，具体细节我记不清了。你应该用IDA看看。

tangptr@126.com

简单说一下，win10x64th2及之前的版本，原始地址的保存方式是八字节的，每个地址是需要重定向的绝对地址，但从win10x64rs1开始，原始地址保存方式是四字节的，每个地址是不需要重定向的相对地址。
简单说公式就是
original_address=image_base+address_read_from_file
其中original_address和image_base是八字节整形，address_read_from_file是四字节整形
之前的公式是：
original_address=image_base+(address_read_from_file-file_image_base)
这四个变量都是八字节整形，括号内计算的是重定向

T3Shell

Tesla.Angela 发表于 2018-2-28 21:30
从WIN10某版本开始获取原始地址的方法变化了。具体公式是：**** 本内容被作者隐藏 ****由于已转PHP开发，具 ...

嗯， 你说的新公式我试了下是可以的，谢谢

T3Shell

tangptr@126.com 发表于 2018-2-28 23:39
简单说一下，win10x64th2及之前的版本，原始地址的保存方式是八字节的，每个地址是需要重定向的绝对地址， ...

嗯， 很佩服像你这样驾轻就熟的大牛，  我用ida 查看 ntosknrl.exe ，找了半天也没找到KiServerTable它初始化函数地址的地方【类似下面这张图片展示的地方】


哎。。。， 这次算是从你这里直接拿了条鱼回家吧，万分感谢。

T3Shell

感谢Tesla.Angela、tangptr 两位大大的解答

坛主在《WIN64驱动编程基础教程>》 中提到的关于SSDT UnHook获取SSDT原始函数地址的算法是这样的：


计算ssdt原始地址的关键算法是这样写的【代码大部分都是坛主和网友写的】

1. ULONGLONG CSSDTHookView::GetFunctionOriginalAddress(DWORD index)
   
2. {
   
3.         //"C:\\Windows\\system32\\ntkrnlmp.exe"
   
4.         if (NtosInProcess == 0)
   
5.                 NtosInProcess = (ULONGLONG)LoadLibraryExA(NtosName, 0, DONT_RESOLVE_DLL_REFERENCES);  
   
6. 
   
7.         if (KiServiceTable == 0)
   
8.         {
   
9.                 DWORD dwRet = 0;
   
10.                 KiServiceTableAddr_INFO info;
    
11.                 DriverCtrl::GetInstance()->IoControl(0x807, 0, 0, &info, sizeof(KiServiceTableAddr_INFO), &dwRet);
    
12. 
    
13.                 if (dwRet <= 0)
    
14.                 {
    
15.                         MessageBox(L"获取KiServerTable地址失败", L"错误");
    
16.                         return 0;
    
17.                 }
    
18. 
    
19.                 KiServiceTable = info.addr;
    
20.         }
    
21. 
    
22.         ULONGLONG RVA = KiServiceTable - NtosBase;
    
23.         ULONGLONG test = (NtosInProcess + RVA + 8 * (ULONGLONG)index);
    
24.         ULONGLONG temp =  *(PULONGLONG) (NtosInProcess + RVA + 8 * (ULONGLONG)index);
    
25.         //IMAGE_OPTIONAL_HEADER64.ImageBase=0x140000000（这个值基本是固定的）  
    
26.         ULONGLONG RVA_index = temp - NtosImageBase;
    
27.         return RVA_index + NtosBase;
    
28. }

复制代码

但是最近我在测试最新的win10 x64(1709)版本的时候发现获取的地址不对，在论坛提问
原提问帖子地址： [求助]关于win10 x64下获取ssdt原始函数地址的问题
tangptrz 大大是这么说的：

简单说一下，win10x64th2及之前的版本，原始地址的保存方式是八字节的，每个地址是需要重定向的绝对地址，但从win10x64rs1开始，原始地址保存方式是四字节的，每个地址是不需要重定向的相对地址。
简单说公式就是
original_address=image_base+address_read_from_file
其中original_address和image_base是八字节整形，address_read_from_file是四字节整形
之前的公式是：
original_address=image_base+(address_read_from_file-file_image_base)
这四个变量都是八字节整形，括号内计算的是重定向

Tesla.Angela 则给出了新的计算公式

VA = KiServiceTable - NtosBase + ReloadedNtosBase;
OriAddr = getdword(VA+Index*4) + NtosBase;


我最终修正后的算法是这样的：

1. ULONGLONG CSSDTHookView::GetFunctionOriginalAddress(DWORD index)
   
2. {
   
3.         //"C:\\Windows\\system32\\ntkrnlmp.exe"
   
4.         if (NtosInProcess == 0)
   
5.                 NtosInProcess = (ULONGLONG)LoadLibraryExA(NtosName, 0, DONT_RESOLVE_DLL_REFERENCES);  
   
6. 
   
7.         if (KiServiceTable == 0)
   
8.         {
   
9.                 DWORD dwRet = 0;
   
10.                 KiServiceTableAddr_INFO info;
    
11.                 DriverCtrl::GetInstance()->IoControl(0x807, 0, 0, &info, sizeof(KiServiceTableAddr_INFO), &dwRet);
    
12. 
    
13.                 if (dwRet <= 0)
    
14.                 {
    
15.                         MessageBox(L"获取KiServerTable地址失败", L"错误");
    
16.                         return 0;
    
17.                 }
    
18. 
    
19.                 KiServiceTable = info.addr;
    
20.         }
    
21. 
    
22.         ULONGLONG RVA = KiServiceTable - NtosBase;
    
23.         ULONGLONG temp =  *(PULONG) (NtosInProcess + RVA + 4 * (ULONGLONG)index);
    
24.         //IMAGE_OPTIONAL_HEADER64.ImageBase=0x140000000（这个值基本是固定的）  
    
25.         ULONGLONG RVA_index = temp - NtosImageBase;
    
26.         return temp + NtosBase;
    
27. }

复制代码

图：


最后非常感谢论坛积极热心的朋友们的耐心解答， 希望以后能和大家一起学习交流进步

祝大家狗年大吉大利，哈哈哈

Tesla.Angela

两条公式分别生效于不同的系统，需要区分版本号。

此外，同样的内容没必要分成两个主题帖。

x8680800

我来看看吧

x8680800

希望楼主发个完整的代码获取SSDT地址的 小白可以学习

tangptr@126.com

T3Shell 发表于 2018-3-1 11:55
嗯， 很佩服像你这样驾轻就熟的大牛，  我用ida 查看 ntosknrl.exe ，找了半天也没找到KiServerTable它初 ...

IDA有个功能叫jump by name的，直接输入KiServiceTable就行（对窗口凭空敲键盘）。如果没有就写_KiServiceTable

CleanLove

看下 学习下，谢谢开源

flasco

学习学习

309100

win10 x64下获取ssdt

sqdwr

学习一下。

YOUBADBAD

谢谢楼主

li53133

看下！！！

dsqyg

学习一下。。。

sc12345

谢谢分析，看看

aqtata

看看什么变化。

269141225

66666666666666666666

longjianfei

谢谢分享

委员长

看看隐藏的高级内容

yxxxxxxx

谢谢

602621480

学习一下方法

cloud1983

看看公式

zoandcom

从哪个版本开始变的？

JX小丶

来看看回复

flappy

谢谢层主

96613686

66666666666

ol8080

小白可以学习

ol8080

我来看看吧

kanren

巩固一下