分享一个在最新WIN10获取KeServiceDescriptorTable的方法

125096

原来我们64位搜索KeServiceDescriptorTable是通过msr的0xc0000082获得KiSystemCall64字段, 但是现在msr[0xc0000082]变成了KiSystemCall64Shadow函数, 而且这个函数无法直接搜索到KeServiceDescriptorTable

1. ULONGLONG SearchforKeServiceDescriptorTable64(ULONGLONG StartSearchAddress, ULONGLONG EndSearchAddress)
   
2. {
   
3.     UCHAR b1 = 0, b2 = 0, b3 = 0;
   
4.     ULONG templong = 0;
   
5.     ULONGLONG KeServiceDescriptorTable = 0;
   
6. 
   
7.     //地址效验
   
8.     if (MmIsAddressValid(StartSearchAddress) == FALSE)return NULL;
   
9.     if (MmIsAddressValid(EndSearchAddress) == FALSE)return NULL;
   
10. 
    
11.     for (PUCHAR i = StartSearchAddress; i < EndSearchAddress; i++)
    
12.     {
    
13.         if (MmIsAddressValid(i) && MmIsAddressValid(i + 1) && MmIsAddressValid(i + 2))
    
14.         {
    
15.             b1 = *i;
    
16.             b2 = *(i + 1);
    
17.             b3 = *(i + 2);
    
18.             if (b1 == 0x4c && b2 == 0x8d && b3 == 0x15)  //4c8d15
    
19.             {
    
20.                 memcpy(&templong, i + 3, 4);
    
21.                 KeServiceDescriptorTable = (ULONGLONG)templong + (ULONGLONG)i + 7;
    
22.                 return KeServiceDescriptorTable;
    
23.                 //当前地址 + 长度 + 数值
    
24.                 //fffff800`03c8c772+7 + 002320c7 = FFFFF80003EBE840
    
25.                 /*
    
26.                 fffff800`03c8c772 4c8d15c7202300  lea     r10,[nt!KeServiceDescriptorTable (fffff800`03ebe840)]
    
27.                 fffff800`03c8c779 4c8d1d00212300  lea     r11,[nt!KeServiceDescriptorTableShadow (fffff800`03ebe880)]
    
28.                 */
    
29.             }
    
30.         }
    
31.     }
    
32.     return NULL;
    
33. }
    
34. 
    
35. //获取SSDT KeServiceDescriptorTable
    
36. ULONGLONG GetKeServiceDescriptorTable64()
    
37. {
    
38.     PUCHAR pKiSystemCall64 = (PUCHAR)__readmsr(0xc0000082);  //rdmsr c0000082   //定位KiSystemCall64
    
39.     PUCHAR EndSearchAddress = pKiSystemCall64 + 0x500;
    
40.     ULONGLONG KeServiceDescriptorTable = 0;
    
41. 
    
42.      
    
43.     KeServiceDescriptorTable=SearchforKeServiceDescriptorTable64(pKiSystemCall64, EndSearchAddress);
    
44.     if (KeServiceDescriptorTable)return  KeServiceDescriptorTable;
    
45. 
    
46.     //msr[0xc0000082]变成了KiSystemCall64Shadow函数
    
47.     //原来我们64位搜索KeServiceDescriptorTable是通过msr的0xc0000082获得KiSystemCall64字段, 但是现在msr[0xc0000082]变成了KiSystemCall64Shadow函数, 而且这个函数无法直接搜索到KeServiceDescriptorTable。
    
48.     ULONGLONG KiSystemServiceUser = 0;
    
49.     ULONGLONG templong = 0xffffffffffffffff;
    
50.     for (PUCHAR i = pKiSystemCall64; i < EndSearchAddress + 0xff; i++)
    
51.     {
    
52.         if (*(PUCHAR)i == 0xe9 && *(PUCHAR)(i + 5) == 0xc3)
    
53.         {
    
54.             //fffff803`23733383 e9631ae9ff      jmp     nt!KiSystemServiceUser(fffff803`235c4deb)
    
55.             //fffff803`23733388 c3              ret
    
56.             RtlCopyMemory(&templong, (PUCHAR)(i + 1), 4);
    
57.             KiSystemServiceUser = templong + 5 + i;//KiSystemServiceUser
    
58.             EndSearchAddress= KiSystemServiceUser +0x500;
    
59.             KeServiceDescriptorTable = SearchforKeServiceDescriptorTable64(KiSystemServiceUser, EndSearchAddress);
    
60.             return KeServiceDescriptorTable;
    
61.         }
    
62.     }
    
63.     return 0;
    
64. }

复制代码

tangptr@126.com

我差点就信了你的鬼，你这糟老头子坏得很。

85251201

tangptr@126.com 发表于 2019-3-8 00:53
我差点就信了你的鬼，你这糟老头子坏得很。

意思是 他不是这样的?