SSDT HOOK 框架设计思路

Windows内核分析索引目录：https://www.cnblogs.com/onetrainee/p/11675224.html

SSDT HOOK 框架设计思路

 

代码 3-4

1. 驱动中用户输入PID，通过一系列函数和遍历模块来确定对应的ntdll模块。

 

2. 在ntdll模块的导出表，通过遍历名字来获取函数导出序号。

　　其Ntdll中Zw函数开头为 mov eax,序列号，因此我们从第二个字节后获取的就是对应的序列号。

　

3. 找到索引之后，直接从导出表 KeServiceDescriptorTable 中直接获取，如果记不住该导出变量，直接用IDA搜索 ntoskernl.exe 中的导出模块即可。

　注意，其修改时要关闭Cr0的写保护，这很简单。
　　

 

4. Hook NtQuerySystemInforMation函数的效果