sherwood5 发表于 2011-9-4 10:56:12

【笔记】KeAddSystemServiceTable的简单分析



环境是:Wndwos XP SP3
         上个星期一直在学习Shadow SSDT HOOK,学一点东西真的是不容易啊!光是定位KeServiceDescriptorTableShadow就遇到不了不少问题。最后还是挺过去了~~~,同时也学到了不少系统内核的知识~~~~,这个才是最重要的~~~。
         就在定位KeServiceDescriptorTableShadow的方法中,zhuwg兄的笔记中提到通过搜索KeAddSystemServiceTable这个函数来找到KeServiceDescriptorTableShadow的偏移,原理是这个函数含有对KeServiceDescriptorTableShadow的引用,就是在这句指令中:
                                        lea   ecx,nt!KeServiceDescriptorTableShadow (80554060);
         当时看到KeAddSystemServiceTable这个函数的时候,以为是能够添加什么系统服务之类的函数~~,如果是的话,难么这个函数就很强大了~~,随意添加系统服务~,在RING3层修改调用服务号,干点坏事情~~~(偏题了)。网上搜索了一番,发现这个是没有文档化的函数,但是有在ntoskrnl中有导出。在网上对这个函数的说明没有太多,都是提到利用这个函数来定位KeServiceDescriptorTableShadow。
         一时心血来潮,就想逆向一下这个函数~~,最后是非常失望的,其实函数的作用只是添加系统服务表~(完全可以自己实现的),不是系统服务~,为什么没有注意到函数名KeAddSystemServiceTable中的Table这个单词呢?

**** Hidden Message *****

超人rocky 发表于 2011-9-4 13:51:37

【笔记】KeAddSystemServiceTable的简单分析

louis333 发表于 2011-9-5 06:56:23

继续看。。。

waizl1986 发表于 2011-9-8 19:47:08

继续看。。。

zhangchenggu 发表于 2012-8-30 15:01:09

看看大侠的分析

305566804 发表于 2013-1-3 14:21:21

继续看。。。

cooby 发表于 2013-9-28 09:06:55

来学习了不是沙发呀,呵呵!辛苦了。

cooby 发表于 2013-9-28 15:07:52

骑白马的不一定是王子,他可能是唐僧;带翅膀的也不一定是天使,妈妈说,那是鸟人。

qq412158094 发表于 2019-3-28 15:49:01

支持楼主,支持看流星社区,以后我会经常来!

qq412158094 发表于 2019-3-28 16:01:27

支持楼主,支持看流星社区,以后我会经常来!
页: [1] 2
查看完整版本: 【笔记】KeAddSystemServiceTable的简单分析