首页
论坛
专栏
课程

[系统底层] [分享]win7 x64找SSDT

2019-3-29 22:54 1535

[系统底层] [分享]win7 x64找SSDT

2019-3-29 22:54
1535
原贴: https://bbs.pediy.com/thread-194447.htm

虽然本人是看雪10年老会员,但是一个新手,Java开发工程师,windows平台不是很熟。

最近在了解内核Hook技术 看了很多文章但是不清楚大佬们的  魔鬼数字都是怎么弄出来的( //特征码 0x4c 0x8d 0x15 ),
特意用windbg调试了一下 算是交代一下新手,前辈大佬们的思路。

1. bcdedit -debug on  开启内核调试

2. windbgx64  本地内核调试  详见百度其它方法

3. 首先原贴的思路是这样找KeServiceDescriptorTable的   

  __readmsr(0xC00000082)->KiSystemCall64->KeServiceDescriptorTable



u  KiSystemCall64 l50

l代表 反汇编行数 50行

然后截图




最终找到红色的 4c8d15 特征码


补充...



最后计算地址这个算法 依然不解  为什么会加上7   求大神仔细解答


[招聘]欢迎市场人员加入看雪学院团队!

最后于 2019-3-29 23:17 被anfly编辑 ,原因:
最新回复 (4)
Sprite雪碧 1 2019-3-29 23:49
2
0
因为相对偏移是从下一行代码开始计算的,+7取到的是下一行代码的起始地址
最后于 2019-3-29 23:49 被Sprite雪碧编辑 ,原因:
小艾 1 2019-3-30 01:29
3
0
就是 + IP 
五德转移 2019-6-12 14:53
4
0
‭FFFF F800 03ED 4572‬  + ‭0023E387‬ + 7 = ‭FFFF F800 0411 2900‬
脚本灬丨小子 2019-6-13 10:06
5
0
这顺带的shadow ssdt也找到了,而且KiSystemCall64的地址竟然在MSR寄存器里边。。。
游客
登录 | 注册 方可回帖
返回