枚举影子服务描述表...

原创于 2011-04-07 22:47:00 发布 · 422 阅读

0 ·

本内容遵循CC 4.0 BY-SA版权协议

标签

#server #xp

驱动同时被 2 个专栏收录

6 篇文章

订阅专栏

C++

6 篇文章

订阅专栏

本文介绍了一个简单的Windows内核版本检测方法，并通过枚举SSDT表来获取系统调用地址的方法。该文提供了获取当前系统版本号及根据版本号定位到不同Windows版本中SSDT表位置的代码实现。

#define VERSION_2K 50 #define VERSION_XP 51 #define VERSION_2K3 52 #define VERSION_XP64 52 #define VERSION_2K3_R2 52 #define VERSION_VISTA 60 #define VERSION_SERVER2008 60 #define VERSION_WIN7 61 #define VERSION_SERVER2008_R2 61 DWORD GetVersion() { DWORD ret = 0; ULONG MajVer,MinVer; PsGetVersion(&MajVer, //主版本 &MinVer, //次版本 0, 0); ret = MajVer; ret*=10; ret += MinVer; return ret; } DWORD GetKeSSDT_Shadow() { DWORD Ver = GetVersion(); DWORD KeShadowTable = 0; switch(Ver) { case VERSION_XP: KeShadowTable = (DWORD)KeServiceDescriptorTable - 0x40; break; default: break; } return KeShadowTable; } DWORD EnumSSDT_Shadow() { _asm int 3; DWORD TableBase = GetKeSSDT_Shadow(); DWORD* FunAddress; DWORD Count = 0; TableBase += 0x10; _asm { lea eax,Count mov ebx,TableBase mov ebx,[ebx + 0x8] mov [eax],ebx } KdPrint(("SSDT Shadow表有 %d 个函数",Count)); // DWORD* FunAddress = (DWORD *)TableBase; _asm { mov eax,TableBase mov FunAddress,eax mov ebx,FunAddress mov ebx,[ebx] mov FunAddress,ebx } // FunAddress=PDWORD(*FunAddress); for(DWORD i=0; i< Count; i++) { KdPrint(("/n %d :%x",i,*FunAddress)); FunAddress++; } }