读取SSDT表和原函数地址

读取当前地址代码(NtOpenProcess):
LONG *SSDT_Adr,t_addr,adr;
t_addr=(LONG)KeServiceDescriptorTable->ServiceTableBase;
SSDT_Adr=(PLONG)(t_addr+0x7a*4);
adr=*SSDT_Adr;

读取起源地址(NtOpenProcess):

UNICODE_STRING SysRoutineName;

LONG orgadr;

‍RtlInitUnicodeString(&SysRoutineName,L"NtOpenProcess");

‍orgadr=(LONG)MmGetSystemRoutineAddress(&SysRoutineName);

通过得到的地址可以判断改函数是否被hook

‍

自己读取的SSDT表:

SSDT 地址 | 起源地址.
NtOpenProcess->805751e0 | 805751e0

读取SSDT表和原函数地址相关推荐

驱动开发：内核读取SSDT表基址
在前面的章节<X86驱动:挂接SSDT内核钩子>我们通过代码的方式直接读取 KeServiceDescriptorTable 这个被导出的表结构从而可以直接读取到SSDT表的基址,而在Wi ...
X64驱动：读取SSDT表基址
前面的驱动编程相关内容都是在32位环境下进行的,驱动程序与应用程序不同,32位的驱动只能运行在32位系统中,64位驱动只能在64位系统中运行,在WIN32环境下,我们可以各种Hook挂钩各种系统函数, ...
SSDT表的遍历（源码）
//VS2005创建的工程,系统xp sp2 //+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ ...
驱动开发：如何枚举所有SSDT表地址
在前面的博文<驱动开发:Win10内核枚举SSDT表基址>中已经教大家如何寻找SSDT表基地址了,找到后我们可根据序号获取到指定SSDT函数的原始地址,而如果需要输出所有SSDT表信息,则 ...
Win7 64位的SSDTHOOK(1)---SSDT表的寻找
最近在学习64位驱动,涉及到了SSDT的知识,结果发现64位下的SSDT和32位下的SSDT有所不同. 开始发现64位下的KeServiceDescriptorTable是未导出的函数.首先要找到Ke ...
windbg查看SSDT表
SSDT,System Services Descriptor Table,系统服务描述符表. 见此 https://blog.csdn.net/bcbobo21cn/article/deta ...
ssdt 表结构及hook的一般理解
1 Ssdt表的基本结构 KeServiceDescriptorTable 首地址:8055D700 0: kd> dd KeServiceDescriptorTable 8055d ...
x86下windbg查看SSDT表与SHDOWSSDT
x64下这两个表是未导出的,不能用这种首先系统符号要加载 SSDT表: x nt!kes*des*table* kd> x nt!KeServiceDes* 83f74a00 nt!KeSer ...
Unity中安卓和IOS读取Excel表
**#Unity快速读取Excel表** 项目开发过程中,策划们可能会配置很多的数据放在不同的Excel当中,如商城物品等,那么我们程序就需要通过读取Excel的内容,已供程序使用. 下面是读取的Ex ...

读取SSDT表和原函数地址

读取SSDT表和原函数地址相关推荐

最新文章

热门文章