SSDT HOOK 框架设计思路

Windows内核分析索引目录:https://www.cnblogs.com/onetrainee/p/11675224.html

SSDT HOOK 框架设计思路

 

代码 3-4

1. 驱动中用户输入PID,通过一系列函数和遍历模块来确定对应的ntdll模块。

 

2. 在ntdll模块的导出表,通过遍历名字来获取函数导出序号。

  其Ntdll中Zw函数开头为 mov eax,序列号,因此我们从第二个字节后获取的就是对应的序列号。

 

3. 找到索引之后,直接从导出表 KeServiceDescriptorTable 中直接获取,如果记不住该导出变量,直接用IDA搜索 ntoskernl.exe 中的导出模块即可。

 注意,其修改时要关闭Cr0的写保护,这很简单。
  

 

4. Hook NtQuerySystemInforMation函数的效果

posted @ 2020-04-12 15:53  OneTrainee  阅读(405)  评论(0编辑  收藏  举报