开启辅助访问 切换到宽版

精易论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

用微信号发送消息登录论坛

新人指南 邀请好友注册 - 我关注人的新帖 教你赚取精币 - 每日签到


求职/招聘- 论坛接单- 开发者大厅

论坛版规 总版规 - 建议/投诉 - 应聘版主 - 精华帖总集 积分说明 - 禁言标准 - 有奖举报

精易论坛»论坛 技术专区 更多子版块 汇编学习资料区 WIN7 X64 SSDT函数获得
返回列表 发新帖
查看: 3599|回复: 0
收起左侧

[其它] WIN7 X64 SSDT函数获得

[复制链接]
殇桀
结帖率:53% (9/17)
发表于 2013-3-23 21:49:16 | 显示全部楼层 |阅读模式   广东省深圳市
曾经在网上看到一片文章,

在早期64位系统,内核函数开头地址的低四位一般是0,形如:xxxxxxxx`xxxxxxx0,这一特征在SSDT表中有很强大的引用,SSDT表在64位系统于32位系统有较大的差别。以下是在64位系统下的KeServiceDescriptorTable:
  1. <li>nt!KiSystemServiceStart+0x7:

  3. </li><li>fffff800`03cc7fe5 8bf8            mov     edi,eax ; copy system service
  4. number

  6. </li><li>kd> p

  8. </li><li>nt!KiSystemServiceStart+0x9:

  10. </li><li>fffff800`03cc7fe7 c1ef07          shr     edi,7   ; isolate service table
  11. number(SERVICE_TABLE_SHIFT)

  13. </li><li>kd> p

  15. </li><li>nt!KiSystemServiceStart+0xc:

  17. </li><li>fffff800`03cc7fea 83e720          and     edi,20h ;(SERVICE_TABLE_MASK)

  19. </li><li>kd> p

  21. </li><li>nt!KiSystemServiceStart+0xf:

  23. </li><li>fffff800`03cc7fed 25ff0f0000      and     eax,0FFFh ;(SERVICE_NUMBER_MASK
  24. )isolate service table offset 0fffh

  26. </li><li>kd> r

  28. </li><li>rax=0000000000000138 rbx=fffffa800edc0100 rcx=0000000000000084

  30. </li><li>rdx=0000000000000000 rsi=00000000002a8490 rdi=0000000000000000

  32. </li><li>rip=fffff80003cc7fed rsp=fffff8800245dc20 rbp=fffff8800245dca0

  34. </li><li>r8=0000000000000001  r9=0000000000000001 r10=0000000000000084

  36. </li><li>r11=0000000000000206 r12=00000000772c4420 r13=0000000000000000

  38. </li><li>r14=00000000772c4400 r15=00000000772c4498

  40. </li><li>iopl=0         nv up ei pl zr na po nc

  42. </li><li>cs=0010  ss=0018  ds=002b  es=002b  fs=0053  gs=002b            
  43. efl=00000246

  45. </li><li>nt!KiSystemServiceStart+0xf:

  47. </li><li>fffff800`03cc7fed 25ff0f0000      and     eax,0FFFh

  49. </li><li>kd> p

  51. </li><li>nt!KiSystemServiceRepeat:

  53. </li><li>fffff800`03cc7ff2 4c8d1547782300  lea     r10,[nt!KeServiceDescriptorTable
  54. (fffff800`03eff840)]

  56. </li><li>kd> r

  58. </li><li>rax=0000000000000138 rbx=fffffa800edc0100 rcx=0000000000000084

  60. </li><li>rdx=0000000000000000 rsi=00000000002a8490 rdi=0000000000000000

  62. </li><li>rip=fffff80003cc7ff2 rsp=fffff8800245dc20 rbp=fffff8800245dca0

  64. </li><li>r8=0000000000000001  r9=0000000000000001 r10=0000000000000084

  66. </li><li>r11=0000000000000206 r12=00000000772c4420 r13=0000000000000000

  68. </li><li>r14=00000000772c4400 r15=00000000772c4498

  70. </li><li>iopl=0         nv up ei pl nz na pe nc

  72. </li><li>cs=0010  ss=0018  ds=002b  es=002b  fs=0053  gs=002b            
  73. efl=00000202

  75. </li><li>nt!KiSystemServiceRepeat:

  77. </li><li>fffff800`03cc7ff2 4c8d1547782300  lea     r10,[nt!KeServiceDescriptorTable
  78. (fffff800`03eff840)]

  80. </li><li>kd> p

  82. </li><li>nt!KiSystemServiceRepeat+0x7:

  84. </li><li>fffff800`03cc7ff9 4c8d1d80782300  lea  
  85.    r11,[nt!KeServiceDescriptorTableShadow (fffff800`03eff880)]

  87. </li><li>kd> p

  89. </li><li>nt!KiSystemServiceRepeat+0xe:

  91. </li><li>fffff800`03cc8000 f7830001000080000000 test dword ptr [rbx+100h],80h

  93. </li><li>kd> r

  95. </li><li>rax=0000000000000138 rbx=fffffa800edc0100 rcx=0000000000000084

  97. </li><li>rdx=0000000000000000 rsi=00000000002a8490 rdi=0000000000000000

  99. </li><li>rip=fffff80003cc8000 rsp=fffff8800245dc20 rbp=fffff8800245dca0

  101. </li><li>r8=0000000000000001  r9=0000000000000001 r10=fffff80003eff840

  103. </li><li>r11=fffff80003eff880 r12=00000000772c4420 r13=0000000000000000

  105. </li><li>r14=00000000772c4400 r15=00000000772c4498

  107. </li><li>iopl=0         nv up ei pl nz na pe nc

  109. </li><li>cs=0010  ss=0018  ds=002b  es=002b  fs=0053  gs=002b            
  110. efl=00000202

  112. </li><li>nt!KiSystemServiceRepeat+0xe:

  114. </li><li>fffff800`03cc8000 f7830001000080000000 test dword ptr [rbx+100h],80h
  115. ds:002b:fffffa80`0edc0200=00000060

  117. </li><li>kd> db fffff800`03eff840

  119. </li><li>fffff800`03eff840  00 9b cc 03 00 f8 ff ff-00 00 00 00 00 00 00
  120. 00  ................

  122. </li><li>fffff800`03eff850  91 01 00 00 00 00 00 00-8c a7 cc 03 00 f8 ff
  123. ff  ................

  125. </li><li>fffff800`03eff860  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00
  126. 00  ................

  128. </li><li>fffff800`03eff870  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00
  129. 00  ................

  131. </li><li>fffff800`03eff880  00 9b cc 03 00 f8 ff ff-00 00 00 00 00 00 00
  132. 00  ................

  134. </li><li>fffff800`03eff890  91 01 00 00 00 00 00 00-8c a7 cc 03 00 f8 ff
  135. ff  ................

  137. </li><li>fffff800`03eff8a0  00 1c 0e 00 60 f9 ff ff-00 00 00 00 00 00 00
  138. 00  ....`...........

  140. </li><li>fffff800`03eff8b0  3b 03 00 00 00 00 00 00-1c 39 0e 00 60 f9 ff
  141. ff  ;........9..`...

  143. </li><li>kd> p

  145. </li><li>nt!KiSystemServiceRepeat+0x18:

  147. </li><li>fffff800`03cc800a 4d0f45d3        cmovne  r10,r11

  149. </li><li>kd> p

  151. </li><li>nt!KiSystemServiceRepeat+0x1c:

  153. </li><li>fffff800`03cc800e 423b441710      cmp     eax,dword ptr [rdi+r10+10h] ;check
  154. if valid service

  156. </li><li>kd> r

  158. </li><li>rax=0000000000000138 rbx=fffffa800edc0100 rcx=0000000000000084

  160. </li><li>rdx=0000000000000000 rsi=00000000002a8490 rdi=0000000000000000

  162. </li><li>rip=fffff80003cc800e rsp=fffff8800245dc20 rbp=fffff8800245dca0

  164. </li><li>r8=0000000000000001  r9=0000000000000001 r10=fffff80003eff840

  166. </li><li>r11=fffff80003eff880 r12=00000000772c4420 r13=0000000000000000

  168. </li><li>r14=00000000772c4400 r15=00000000772c4498

  170. </li><li>iopl=0         nv up ei pl zr na po nc

  172. </li><li>cs=0010  ss=0018  ds=002b  es=002b  fs=0053  gs=002b            
  173. efl=00000246

  175. </li><li>nt!KiSystemServiceRepeat+0x1c:

  177. </li><li>fffff800`03cc800e 423b441710      cmp     eax,dword ptr [rdi+r10+10h]
  178. ds:002b:fffff800`03eff850=00000191

  180. </li><li>kd> p

  182. </li><li>nt!KiSystemServiceRepeat+0x21:

  184. </li><li>fffff800`03cc8013 0f83e9020000    jae     nt!KiSystemServiceExit+0x1a7
  185. (fffff800`03cc8302)

  187. </li><li>kd> p

  189. </li><li>nt!KiSystemServiceRepeat+0x27:

  191. </li><li>fffff800`03cc8019 4e8b1417        mov     r10,qword ptr [rdi+r10] ;table
  192. base

  194. </li><li>kd> p

  196. </li><li>nt!KiSystemServiceRepeat+0x2b:

  198. </li><li>fffff800`03cc801d 4d631c82        movsxd  r11,dword ptr [r10+rax*4] ; get
  199. system service offset

  201. </li><li>kd> r

  203. </li><li>rax=0000000000000138 rbx=fffffa800edc0100 rcx=0000000000000084

  205. </li><li>rdx=0000000000000000 rsi=00000000002a8490 rdi=0000000000000000

  207. </li><li>rip=fffff80003cc801d rsp=fffff8800245dc20 rbp=fffff8800245dca0

  209. </li><li>r8=0000000000000001  r9=0000000000000001 r10=fffff80003cc9b00

  211. </li><li>r11=fffff80003eff880 r12=00000000772c4420 r13=0000000000000000

  213. </li><li>r14=00000000772c4400 r15=00000000772c4498

  215. </li><li>iopl=0         nv up ei ng nz na pe cy

  217. </li><li>cs=0010  ss=0018  ds=002b  es=002b  fs=0053  gs=002b            
  218. efl=00000283

  220. </li><li>nt!KiSystemServiceRepeat+0x2b:

  222. </li><li>fffff800`03cc801d 4d631c82        movsxd  r11,dword ptr [r10+rax*4]
  223. ds:002b:fffff800`03cc9fe0=000f3080

  225. </li><li>kd> p

  227. </li><li>nt!KiSystemServiceRepeat+0x2f:

  229. </li><li>fffff800`03cc8021 498bc3          mov     rax,r11 ; system service
  230. offset

  232. </li><li>kd> r

  234. </li><li>rax=0000000000000138 rbx=fffffa800edc0100 rcx=0000000000000084

  236. </li><li>rdx=0000000000000000 rsi=00000000002a8490 rdi=0000000000000000

  238. </li><li>rip=fffff80003cc8021 rsp=fffff8800245dc20 rbp=fffff8800245dca0

  240. </li><li>r8=0000000000000001  r9=0000000000000001 r10=fffff80003cc9b00

  242. </li><li>r11=00000000000f3080 r12=00000000772c4420 r13=0000000000000000

  244. </li><li>r14=00000000772c4400 r15=00000000772c4498

  246. </li><li>iopl=0         nv up ei ng nz na pe cy

  248. </li><li>cs=0010  ss=0018  ds=002b  es=002b  fs=0053  gs=002b            
  249. efl=00000283

  251. </li><li>nt!KiSystemServiceRepeat+0x2f:

  253. </li><li>fffff800`03cc8021 498bc3          mov     rax,r11

  255. </li><li>kd> p

  257. </li><li>nt!KiSystemServiceRepeat+0x32:

  259. </li><li>fffff800`03cc8024 49c1fb04        sar     r11,4 ;关键所在 ,还得再右移4位

  261. </li><li>kd> p

  263. </li><li>nt!KiSystemServiceRepeat+0x36:

  265. </li><li>fffff800`03cc8028 4d03d3          add     r10,r11 ;; add table base to
  266. 获得真正的函数地址

  268. </li><li>kd> r

  270. </li><li>rax=00000000000f3080 rbx=fffffa800edc0100 rcx=0000000000000084

  272. </li><li>rdx=0000000000000000 rsi=00000000002a8490 rdi=0000000000000000

  274. </li><li>rip=fffff80003cc8028 rsp=fffff8800245dc20 rbp=fffff8800245dca0

  276. </li><li>r8=0000000000000001  r9=0000000000000001 r10=fffff80003cc9b00

  278. </li><li>r11=000000000000f308 r12=00000000772c4420 r13=0000000000000000

  280. </li><li>r14=00000000772c4400 r15=00000000772c4498

  282. </li><li>iopl=0         nv up ei pl nz na pe nc

  284. </li><li>cs=0010  ss=0018  ds=002b  es=002b  fs=0053  gs=002b            
  285. efl=00000202

  287. </li><li>nt!KiSystemServiceRepeat+0x36:

  289. </li><li>fffff800`03cc8028 4d03d3          add     r10,r11

  291. </li><li>kd> p

  293. </li><li>nt!KiSystemServiceRepeat+0x39:

  295. </li><li>fffff800`03cc802b 83ff20          cmp     edi,20h

  297. </li><li>kd> r

  299. </li><li>rax=00000000000f3080 rbx=fffffa800edc0100 rcx=0000000000000084

  301. </li><li>rdx=0000000000000000 rsi=00000000002a8490 rdi=0000000000000000

  303. </li><li>rip=fffff80003cc802b rsp=fffff8800245dc20 rbp=fffff8800245dca0

  305. </li><li>r8=0000000000000001  r9=0000000000000001 r10=fffff80003cd8e08

  307. </li><li>r11=000000000000f308 r12=00000000772c4420 r13=0000000000000000

  309. </li><li>r14=00000000772c4400 r15=00000000772c4498

  311. </li><li>iopl=0         nv up ei ng nz na pe nc

  313. </li><li>cs=0010  ss=0018  ds=002b  es=002b  fs=0053  gs=002b            
  314. efl=00000282

  316. </li><li>nt!KiSystemServiceRepeat+0x39:

  318. </li><li>fffff800`03cc802b 83ff20          cmp     edi,20h

  320. </li><li>kd> u fffff80003cd8e08

  322. </li><li>nt!NtReleaseWorkerFactoryWorker:

  324. </li><li>fffff800`03cd8e08 4c8bdc          mov     r11,rsp

  326. </li><li>fffff800`03cd8e0b 49895b08        mov     qword ptr [r11+8],rbx

  328. </li><li>fffff800`03cd8e0f 49896b18        mov     qword ptr [r11+18h],rbp

  330. </li><li>fffff800`03cd8e13 49897320        mov     qword ptr [r11+20h],rsi

  332. </li><li>fffff800`03cd8e17 57              push    rdi

  334. </li><li>fffff800`03cd8e18 4154            push    r12

  336. </li><li>fffff800`03cd8e1a 4155            push    r13

  338. </li><li>fffff800`03cd8e1c 4883ec60        sub     rsp,60h

  340. </li><li>kd> p

  342. </li><li>nt!KiSystemServiceRepeat+0x3c:

  344. </li><li>fffff800`03cc802e 7550            jne  
  345.    nt!KiSystemServiceGdiTebAccess+0x49 (fffff800`03cc8080)

  347. </li><li>kd> p

  349. </li><li>nt!KiSystemServiceGdiTebAccess+0x49:

  351. </li><li>fffff800`03cc8080 83e00f          and     eax,0Fh

  353. </li><li>kd> p

  355. </li><li>nt!KiSystemServiceGdiTebAccess+0x4c:

  357. </li><li>fffff800`03cc8083 0f84b7000000    je      nt!KiSystemServiceCopyEnd
  358. (fffff800`03cc8140)

  360. </li><li>kd> p

  362. </li><li>nt!KiSystemServiceCopyEnd:

  364. </li><li>fffff800`03cc8140 f705fee4180040000000 test dword ptr
  365. [nt!PerfGlobalGroupMask+0x8 (fffff800`03e56648)],40h

  367. </li><li>kd> p

  369. </li><li>nt!KiSystemServiceCopyEnd+0xa:

  371. </li><li>fffff800`03cc814a 0f8550020000    jne     nt!KiSystemServiceExit+0x245
  372. (fffff800`03cc83a0)

  374. </li><li>kd> p

  376. </li><li>nt!KiSystemServiceCopyEnd+0x10:

  378. </li><li>fffff800`03cc8150 41ffd2          call    r10 ; ; call system
  379. service</li>
复制代码
所以WIN7 X64下应该是:
  • FuncAddr=([KeServiceDescriptortable+index*4] >>4 +KeServiceDescriptortable)&0xFFFFFFF0.




而且和以前不同的是原来是从ETHREAD里取TABLE 地址,但现在通过 lea     r10,[nt!KeServiceDescriptorTable (fffff800`03eff840)]
,扑灭了ROOTKITER们的最后一线HOOK 希望。
回复

使用道具 举报

返回列表 发新帖
  高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 致发广告者

发布主题 收藏帖子 返回列表

sitemap| 易语言源码| 易语言教程| 易语言论坛| 易语言模块| 手机版| 广告投放| 精易论坛
拒绝任何人以任何形式在本论坛发表与中华人民共和国法律相抵触的言论,本站内容均为会员发表,并不代表精易立场!
论坛帖子内容仅用于技术交流学习和研究的目的,严禁用于非法目的,否则造成一切后果自负!如帖子内容侵害到你的权益,请联系我们!
防范网络诈骗,远离网络犯罪 违法和不良信息举报电话0663-3422125,QQ: 793400750,邮箱:wp@125.la
Powered by Discuz! X3.4 揭阳市揭东区精易科技有限公司 ( 粤ICP备12094385号-1) 粤公网安备 44522102000125 增值电信业务经营许可证 粤B2-20192173

快速回复 返回顶部 返回列表