XP获取SSDT表

原创

friendan 2023-01-15 23:41:02 博主文章分类：Win驱动 ©著作权

文章标签 SSDT XP 驱动系统服务描述表 #define 文章分类 虚拟化云计算

©著作权归作者所有：来自51CTO博客作者friendan的原创作品，请联系作者获取转载授权，否则将追究法律责任

SSDT表已经是老生常谈了，为了方便操作，我封装了一个类CSSDT。

SSDT.h头文件代码如下：

#ifndef _SSDT_H_
#define _SSDT_H_

// NT操作系统有多张服务表，SSDT就是其中一张
// NT操作系统使用如下结构描述一张服务表
typedef struct _KSERVICE_TABLE_DESCRIPTOR { 
  PULONG_PTR Base;  // 服务表地址
  PULONG Count;     // 服务表中服务被调用次数的计数器
  ULONG Limit;    // 服务个数，即有多少个函数了
  PUCHAR Number;    // 服务参数表
} KSERVICE_TABLE_DESCRIPTOR, *PKSERVICE_TABLE_DESCRIPTOR; 

// 流传NT使用下面的代码在模块ntoskrnel.exe中导出KeServiceDescriptorTable
//#define NUMBER_SERVICE_TABLES 4 
//extern KSERVICE_TABLE_DESCRIPTOR KeServiceDescriptorTable[NUMBER_SERVICE_TABLES]; 
//extern KSERVICE_TABLE_DESCRIPTOR KeServiceDescriptorTableShadow[NUMBER_SERVICE_TABLES];

// 根据流传，我们直接声明KeServiceDescriptorTable，就可使用它了
__declspec(dllimport) extern "C" PKSERVICE_TABLE_DESCRIPTOR KeServiceDescriptorTable;

class CSSDT
{
public:
  CSSDT(void);
  ~CSSDT(void);

  void Show_SSDT(void); // 查看SSDT表
};

#endif  // _SSDT_H_

-------------------------------------------------------

SSDT.cpp内容如下：

#include "stdafx.h"
#include "SSDT.h"


CSSDT::CSSDT(void)
{

}


CSSDT::~CSSDT(void)
{

}


/**
@Name:    Show_SSDT
@Brief    查看SSDT表   
@Param:   void
@Return:  void
*/
void CSSDT::Show_SSDT(void)
{
  KSERVICE_TABLE_DESCRIPTOR ssdt = KeServiceDescriptorTable[0];

  KdPrint(("[Show_SSDT] KeServiceDescriptorTable=0x%X \n", KeServiceDescriptorTable));

  ssdt.Limit = ssdt.Limit > 0x11C ? 0x11C : ssdt.Limit;
  for (int i = 0; i < ssdt.Limit; i++)
  {
    KdPrint(("[Show_SSDT %d] 0x%X \n", i, ssdt.Base[i]));
  }
}