首页
论坛
专栏
课程

[系统底层] [分享]win7 x64找SSDT

2019-3-29 22:54 820

[系统底层] [分享]win7 x64找SSDT

2019-3-29 22:54
820
原贴: https://bbs.pediy.com/thread-194447.htm

虽然本人是看雪10年老会员,但是一个新手,Java开发工程师,windows平台不是很熟。

最近在了解内核Hook技术 看了很多文章但是不清楚大佬们的  魔鬼数字都是怎么弄出来的( //特征码 0x4c 0x8d 0x15 ),
特意用windbg调试了一下 算是交代一下新手,前辈大佬们的思路。

1. bcdedit -debug on  开启内核调试

2. windbgx64  本地内核调试  详见百度其它方法

3. 首先原贴的思路是这样找KeServiceDescriptorTable的   

  __readmsr(0xC00000082)->KiSystemCall64->KeServiceDescriptorTable



u  KiSystemCall64 l50

l代表 反汇编行数 50行

然后截图




最终找到红色的 4c8d15 特征码


补充...



最后计算地址这个算法 依然不解  为什么会加上7   求大神仔细解答


[推荐]看雪企服平台,提供安全分析、定制项目开发、APP等级保护、渗透测试等安全服务!

最后于 2019-3-29 23:17 被anfly编辑 ,原因:
上一主题 下一主题
最新回复 (2)
Sprite雪碧 2019-3-29 23:49
2
0
因为相对偏移是从下一行代码开始计算的,+7取到的是下一行代码的起始地址
最后于 2019-3-29 23:49 被Sprite雪碧编辑 ,原因:
小艾 2019-3-30 01:29
3
0
就是 + IP 
游客
登录 | 注册 方可回帖
返回