当从Ring3进入Ring0的时候会将所需要的SSDT索引放入到寄存器EAX中去,所以我们这里通过EAX的内容得到函数在SSDT中的索引号,然后计算出它的地址首先打开WinDbug,我们以函数ZwQueryObject为例: 从mov eax 0F8h,知道我们的索引号是0F8h.来验证一下,看看是不是函数ZwQueryObject. 我们先获取到SSDT的地址: 第一个8488a43c是SSDT的基地址,我们知道函数的地址等于SSDT基地址+4*索引号,算出函数指针地址为8488a81c 最后

首先选择一个带界面的程序explorer.exe进行附加 kd> !process explorer.exe PROCESS ffff86893dd075c0 SessionId: Cid: 0d48 Peb: 00d50000 ParentCid: 0d30 DirBase: 42d9a000 ObjectTable: ffffe28598bb1800 HandleCount: . Image: explorer.exe 读取msr = 0xC0000082的值 kd> .process f

SSDT HOOK 的原理其实非常简单,我们先实际看看KeServiceDescriptorTable是什么样的.         lkd> dd KeServiceDescriptorTable     8055ab80  804e3d20 00000000 0000011c 804d9f48     8055ab90  00000000 00000000 00000000 00000000     8055aba0  00000000 00000000 00000000 00000000  

引入 我们在调试的过程中,经常会通过查看方法的输入与输出来确定这个方法是否异常.那么我们要怎么通过 WinDbg 来获取方法的参数值呢? WinDbg 中主要包含三种命令:标准命令.元命令(以 . 开始)和扩展命令(以 ! 开始). 通过标准命令获取参数值 k 命令可以获取栈回溯. 其中 kP 可以把参数和参数值都以函数原型格式显示出来,但是需要有符号.如下: 0:000> kP # Child-SP RetAddr Call Site 00 0000001b`7b0fdb78 00007ffc

经常有QT MFC程序调用动态库无法查看内部打印 解决办法: 文件头部定义: #define UseDebugView #ifdef UseDebugView char g_Debug[256]; #endif 在需要打印的地方使用: #ifdef UseDebugView sprintf_s(g_Debug, 256, "啊啊啊啊啊啊啊啊啊啊啊啊啊啊\n"); OutputDebugString(g_Debug); #endif 然后点击运行EXE. 1 在WINDBG下 点击左上角

根据堆栈对应的地址查找其对应的Module ID,然后将对应的Module保存. !IP2MD 命令从托管函数中获取 MethodDesc 结构地址. !dumpmodule 1caa50 下面的命令显示有关在地址 1caa50 处的模块的信息.   !SaveModule <基址> <文件名> 将加载到内存中指定地址的图像写入指定文件.   IP2MD帮助信息 :> !help IP2MD ------------------------------------------

一.获取ShadowSSDT 好吧,我们已经在R3获取SSDT的原始地址及SDT.SST.KiServiceTbale的关系里面提到:所有的SST都保存在系统服务描述表(SDT)中.系统中一共有两个SDT,一个是ServiceDescriptorTable,另一个是ServiceDescriptorTableShadow.ServiceDescriptor中只有指向KiServiceTable的SST,而ServiceDescriptorTableShadow则包含了所有的两个SST.SSDT是

一.效果图 二.分析 这里对NtCreateProcessEx做拦截,用WinDbg来定位该函数在SSDT中的记录地址: : kd> dd KeServiceDescriptorTable 8055d700 0000011c 805058c4 8055d710 8055d720 8055d730 8055d740 bf80c0b6 8055d750 f8399a80 f82ffb60 820f06b0 806f70c0 8055d760 071d8498 0b14f8a6 8055d770 01

SSDT表的知识目录: A.了解SSDT结构 B.由SSDT索引号获取当前函数地址        C.如何获取索引号 D.获取起源地址-判断SSDT是否被HOOK E.如何向内核地址写入自己代码 A.了解SSDT结构 SSDT的全称是 System  ServicesDescriptor Table--系统服务描述符表,是由 ntoskrnl.exe导出KeServiceDescriptorTable 这个表,是全局的,声明导出即可在编程中使用. typedef  struct  Service

#重要说明 (1) windbg命令分为标准命令,元命令和扩展命令. 标准命令提供最基本的调试功能,不区分大小写.如:bp  g  dt  dv  k等 元命令提供标准命令没有提供的功能,也内建在调试引擎中,以.开头.如.sympath  .reload等 扩展命令用于扩展某一方面的调试功能,实现在动态加载的扩展模块中,以!开头.如!analyze等 (2) 进入调试状态时,直接回车可重复执行上一条命令:按上下方向键可以浏览和选择以前输入过的命令 (3) 神奇的Tab键,进行命令补全:ESC清除

其实 SSDT Hook 的原理是很简单的,我们可以知道在 SSDT 这个数组中呢,保存了系统服务的地址,比如对于 Ring0 下的 NtQuerySystemInformation 这个系统服务的地址,就保存在 KeServiceDescriptorTable[105h] 中(计算公式 address = SSDT首地址+服务号*4) lkd> u 84647e3e nt!NtQuerySystemInformation: 84647e3e 8bff            mov     ed

//VS2005创建的工程,系统xp sp2 //++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ //stdafx.h文件 #ifndef _WIN32_WINNT // Allow use of features specific to Windows XP or later. #define _WIN32_WINNT 0x0501 // Change this to

目录 CVE-2018-8120 分析 1.实验环境 1.1.操作系统 1.2.用到的分析工具 2.假如 2.1.我想提权 2.2. 有一个处于内核空间,极少被调用的函数 2.3.R3任意修改R0地址空间内存 3.由WIN32K!SetImeInfoEx()引发的漏洞 3.1.分析 3.2.验证漏洞POC 4.windows 7分配零页内存 5.Bitmap GDI函数实现内核任意地址读/写 6.漏洞利用 6.1.先写出"利用环境" 6.2.写一段获取System进程令牌的shellc

SSDT 的全称是 System Services Descriptor Table,系统服务描述符表.这个表就是一个把 Ring3 的 Win32 API 和 Ring0 的内核 API 联系起来.SSDT 并不仅仅只包含一个庞大的地址索引表,它还包含着一些其它有用的信息,诸如地址索引的基地址.服务函数个数等.通过修改此表的函数地址可以对常用 Windows 函数及 API 进行 Hook,从而实现对一些关心的系统动作进行过滤.监控的目的.一些 HIPS.防毒软件.系统监控.注册表监控软件往往

近日有在写一个小东西 需要在内核态中运行一个WIN32程序 之前提到的插入APC可以满足部分要求 但是一到WIN7 x86平台下就崩溃了WIN7下只能插入第三方的进程 一插入系统进程就崩溃,但是这样满足不了我们猥琐的想法- - 后来找到了一段代码 是注入RING3线程的 基本流程就是  查找系统中某个进程 比如explorer.exe然后遍历线程链表,判断线程是否是RING3的线程, 而且不是被挂起的.(这个无所谓的)... 找到符合要求的线程之后在对方进程中申请一段内存来存放我们自己的Shel

首先要知道Ring3层调用OpenProcess的流程 //当Ring3调用OpenProcess //1从自己的模块(.exe)的导入表中取值 //2Ntdll.dll模块的导出表中执行ZwOpenProcess(取索引 进入Ring0层) //3进入Ring0 从Ntoskernel.exe模块的导出表中执行ZwOpenProcess(取索引 获得SSDT服务地址) //4通过索引在SSDT表中取值(NtOpenProcess的地址) //5真正调用NtOpenProcess函数 我们可以通

Tencent的实习生招聘投了简历.然后,万万没想到昨晚腾讯IEG直接给我电话了.当时就惊呆了,我都没有找人内推,就直接电话面试了. 就为昨晚的电话面试写写感想吧!问的挺多的,基本上简历上写了的都问到了,重点还问了很多很多关于OD的问题.桑心,近段时间在准备实习生招聘的事,然后每天都是在看 <算法导论>和<剑指Offer>,在九度oj上刷算法题.谁知腾讯都不按常理出牌,直接电话面试了,笔试都还没开始呢!  /泪 近一个多月没有碰过驱动和OD ,昨晚真的是措手不及.回答的也挺糟吧!回

本节接前方,对 exploitme.sys 进行利用. exploitme.sys 存在任意地址写任意内容的内核漏洞,现在采用执行 Ring0 Shellcode 的方式进行利用. 获取 HalDispatchTable 表地址 x HalDispatchTable 是由内核模块导出的,要得到 HalDispatchTable 在内核中的准确地址,先要得到内核模块的基址,再加上 HalDispatchTable 与内核模块的偏移: NTSATUS NtSataus = STATUS_UNSUCC

CMStepCounter Class Refernce https://developer.apple.com/library/ios/documentation/CoreMotion/Reference/CMStepCounter_class/CMStepCounter_class.pdf 因为个人英语能力有限,对翻译的程度心知肚明.英文文档也非常简单,希望大家看原文. 由于不是土豪,没有设备是支持CMStepCounter的,利用升级后的4S也只是能尝试了一下 [CMStepCounter

    获取ssdt表中所有函数的地址 for (int i = 0; i < KeServiceDescriptorTable->NumberOfServices; i++) {     KdPrint(("NumberOfService[%d]-------%X\n", i, KeServiceDescriptorTable->ServiceTableBase[i])); }   需要这样定义 typedef struct _ServiceDescriptorTa