[Wow64_Syscall_List]一份方便调用x64.Zw*/Nt*直接进入内核的玩意

树上的鱼儿 · 发表于 2023-7-17 13:08:03

本帖最后由树上的鱼儿于 2023-7-17 17:29 编辑

许久没有来发帖了,其实这个东西没啥好讲的

Wow64_Syscall_List 是我自己随便起的名字,请不要纠结

Wow64_Syscall_List 采用自构建的Syscall,允许易语言程序在64位系统中直接调用x64内核功能号进入内核
源码中已内置大量Zw*/Nt*相关函数,可快速调用且直接进入内核,*注意:请不要在32位系统上使用
调用一个函数本来是这样的:
QQ图片20230717150817.png

Wow64_Syscall_List 就把它变成了这样而已:

借用了SysWhispers2开源库获取内核功能号的思维,并改造为适合易语言使用的ShellCode

说起SysWhispers其1代SysWhispers1通过事先定义各系统大量的功能号存根,使用时在通过系统版本号搜寻相应功能号,这种方法现在看来着实臃肿不堪

SysWhispers2 某天一觉睡醒突发奇想,换了一种办法,就是根据PEB取出导出表中 Zw*相关导出函数,并对其函数名哈希,把这个哈希后的值和函数入口RVA存根,并根据其RVA对其进行冒泡排序从小到大排列存根,那么排在最前面的函数就是功能号0,依次递增,cha询时根据函数名哈希值即可准确获得表中位置,返回其位置即为功能号

神奇的事情就此发生,这种获得功能号的方法貌似非常不错,用一张图表示的话:

感觉做了一件傻不楞登的事情

回复可见附件:

Wow64_Syscall_List.e (1008.95 KB, 下载次数: 230)

树上的鱼儿 · 发表于 2023-9-1 23:07:07

本帖最后由树上的鱼儿于 2023-9-1 23:50 编辑

由于不能修改本帖子,补充一下附件,修正一个问题
Wow64_Syscall_List 2.0 修正在windows11下获取ssdt功能号有错误的问题,目前未发现其他系统的兼容性问题

Wow64_Syscall_List 2.0.e (1005.81 KB, 下载次数: 94)

yenfenwo · 发表于 2024-9-25 09:07:41

感觉做了一件傻不楞登的事情

cxzyt0012520 · 发表于 2024-9-25 00:04:08

大佬牛逼，

网络注册网员 · 发表于 2024-9-6 16:40:23

学习一下

ligang1996 · 发表于 2024-9-6 16:39:06

啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊啊

614430887 · 发表于 2024-7-20 00:12:04

学习下感谢大佬分享

odetetjy · 发表于 2024-3-17 20:00:04

感谢分享

九霜 · 发表于 2024-2-7 20:57:38

感谢分享

尐觅风 · 发表于 2024-1-24 00:34:47

厉害了！！！！！！！！

金宇2023 · 发表于 2024-1-9 10:02:39

Wow64_Syscall_List

		自动登录	找回密码
密码			注册

[易语言纯源码] [Wow64_Syscall_List]一份方便调用x64.Zw/Nt直接进入内核的玩意

点评

评分

本帖被以下淘专辑推荐:

浏览过的版块

[易语言纯源码] [Wow64_Syscall_List]一份方便调用x64.Zw*/Nt*直接进入内核的玩意

点评

评分

本帖被以下淘专辑推荐:

浏览过的版块

[易语言纯源码] [Wow64_Syscall_List]一份方便调用x64.Zw/Nt直接进入内核的玩意