当前位置：易语言资源网 > 高级教程源码 > 帖子内容

【原创】x64，R3下读取SSDT和Shadow SSDT，无驱动 [复制链接]

高级教程源码

3058

前言：

众所周知，SSDT全称System Service Descriptor Table，即系统服务描述符表，它包括服务函数的个数，Ring0函数的基地址等数据。而Shadow SSDT和SSDT类似，不过保存的是GUI相关的函数信息。
很多人认为SSDT和Shadow SSDT只能通过驱动获取，其实不然，R3也可以导出这两个表上的函数信息。

程序使用到的模块：

x64_远程hook,x64_veh硬断hook 模块源码更新V2.6:2021/10/3（进行了部分精简）

正文：

效果图片：
导出SSDT函数地址（左为我的程序，右为Windows Kernel Explorer Master通过驱动获取的数据）：
导出Shadow SSDT函数地址（左为我的程序，右为Windows Kernel Explorer Master通过驱动获取的数据）：
怎么实现？
如果你仔细看win32k.sys导出的函数的话，你会发现W32pServiceLimit和W32pServiceTable居然是直接导出的：
然后直接将win32k.sys加载入内存，便可直接读出Shadow SSDT
SSDT略微麻烦，x64的ntoskrnl.exe不直接导出KeServiceDescriptorTable，需要自行寻址。
我用的方法是寻找KiInitializeKernel这个函数，然后便可直接找到KiServiceTable的地址（在win10和win11，x64环境测试成功，其他环境请自行测试，必须为x64系统才可使用！），接着便可直接读出SSDT
源码自行理解

点我下载（已有 145 次下载）

引用模块

源码文件名

模块文件名

R3 SSDT.e

eWOW64_hook.ec

引用支持库

源码文件名	支持库文件名	支持库标识
R3 SSDT.e	系统核心支持库 5.7	d09f2340818511d396f6aaf844c7e325
R3 SSDT.e	扩展界面支持库一 2.0	27bb20fdd3e145e4bee3db39ddd6e64c
wow64_hook_2.6模块源码_简化.e	系统核心支持库 5.7	d09f2340818511d396f6aaf844c7e325
wow64_hook_2.6模块源码_简化.e	特殊功能支持库 3.1	A512548E76954B6E92C21055517615B0

[错误报告] 上一篇：混沌小球下一篇：全自动备份正在运行的易语言中的源代码...

本站部分内容收集于互联网，如果有侵权内容、不妥之处，请联系我们删除。敬请谅解!
粤ICP备2025452707号-11
© 2025 易语言资源网

793400750 wp@125.la

友情链接