XP取SSDT表中指定索引号的函数地址

原创

friendan 2023-01-15 23:40:53 博主文章分类：Win驱动 ©著作权

文章标签 SSDT 驱动 XP 内核 #define 文章分类 虚拟化云计算

©著作权归作者所有：来自51CTO博客作者friendan的原创作品，请联系作者获取转载授权，否则将追究法律责任

SSDT.h头文件

#ifndef _SSDT_H_
#define _SSDT_H_

// NT操作系统有多张服务表，SSDT就是其中一张
// NT操作系统使用如下结构描述一张服务表
typedef struct _KSERVICE_TABLE_DESCRIPTOR { 
  PULONG_PTR Base;  // 服务表地址
  PULONG Count;     // 服务表中服务被调用次数的计数器
  ULONG Limit;    // 服务个数，即有多少个函数了
  PUCHAR Number;    // 服务参数表
} KSERVICE_TABLE_DESCRIPTOR, *PKSERVICE_TABLE_DESCRIPTOR; 

// 流传NT使用下面的代码在模块ntoskrnl.exe中导出KeServiceDescriptorTable
//#define NUMBER_SERVICE_TABLES 4 
//extern KSERVICE_TABLE_DESCRIPTOR KeServiceDescriptorTable[NUMBER_SERVICE_TABLES]; 
//extern KSERVICE_TABLE_DESCRIPTOR KeServiceDescriptorTableShadow[NUMBER_SERVICE_TABLES];

// 根据流传，我们直接声明KeServiceDescriptorTable，就可使用它了
__declspec(dllimport) extern "C" PKSERVICE_TABLE_DESCRIPTOR KeServiceDescriptorTable;

class CSSDT
{
public:
  CSSDT(void);
  ~CSSDT(void);

  void Show_SSDT(void); // 查看SSDT表
  ULONG_PTR GetFunctionAddr(int iFunIndex);   // 取SSDT表中指定索引号的函数地址
};

#endif  // _SSDT_H_

-----------------------------------------

SSDT.cpp文件内容：

#include "stdafx.h"
#include "SSDT.h"


CSSDT::CSSDT(void)
{

}


CSSDT::~CSSDT(void)
{

}


/**
@Name:    Show_SSDT
@Brief    查看SSDT表   
@Param:   void
@Return:  void
*/
void CSSDT::Show_SSDT(void)
{
  KSERVICE_TABLE_DESCRIPTOR ssdt = KeServiceDescriptorTable[0];

  KdPrint(("[Show_SSDT] KeServiceDescriptorTable=0x%X \n", KeServiceDescriptorTable));

  ssdt.Limit = ssdt.Limit > 0x11C ? 0x11C : ssdt.Limit;
  for (int i = 0; i < ssdt.Limit; i++)
  {
    KdPrint(("[Show_SSDT %d] 0x%X \n", i, ssdt.Base[i]));
  }
}


/**
@Name:    GetFunctionAddr
@Brief    取SSDT表中指定索引号的函数地址   
@Param:   int iFunIndex
@Return:  成功返回指定索引号的函数地址，失败返回NULL
*/
ULONG_PTR CSSDT::GetFunctionAddr(int iFunIndex)
{
  KSERVICE_TABLE_DESCRIPTOR ssdt = KeServiceDescriptorTable[0];
  if (iFunIndex > ssdt.Limit)
  {
    KdPrint(("[GetFunctionAddr] failed: 索引超出范围  iFunIndex=%d > %d \n", iFunIndex, ssdt.Limit));
    return NULL;
  }
  return ssdt.Base[iFunIndex];
}

---------------------------------------------------------------

// 驱动入口
  #pragma INITCODE
  NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING  RegistryPath)
  {
    DriverObject->DriverUnload = DriverUnload;
    KdPrint(("hello DriverEntry \r\n"));

    CSSDT objSSDT;
    //objSSDT.Show_SSDT();

    KdPrint(("ssdt 0号函数地址：0x%X", objSSDT.GetFunctionAddr(0)));
    KdPrint(("ssdt 122号函数地址：0x%X", objSSDT.GetFunctionAddr(122)));
    KdPrint(("ssdt 123号函数地址：0x%X", objSSDT.GetFunctionAddr(123)));

    return STATUS_SUCCESS;
  }

-------------------------------------

效果截图：

XP取SSDT表中指定索引号的函数地址_内核