- 注册时间
- 2011-3-6
- 最后登录
- 1970-1-1
该用户从未签到
|
获取SSDT函数(导出和未导出)地址相信大家都会,但是相对于我们这些不喜欢常规代码的人,当然不仅限于一种方法,下面是我在A盾电脑防护0.2.6 里面用的一种通用的方法,写出来给大家分享:
PVOID MmQuerySSDTFunction(CHAR *FunctionName)
{
int Index;
ULONG ulSearchStart;
GetFunctionIndexByName(FunctionName,&Index);
if (Index){
ulSearchStart = (ULONG)ZwClose;
for (i=ulSearchStart;i < ulSearchStart + KernelSize;i++)
{
if (MmIsAddressValid(i))
{
if (*i == Index){
FunctionAddress = i - 1;
if (DebugOn)
KdPrint(("FunctionAddress:%08x\n",FunctionAddress));
break;
}
}
}
}
return FunctionAddress;
}
上面的代码是阐述原理的,当然部分代码需要你自己动手补全~~ |
|
发表于 2013-4-15 09:41:16
