前面的驱动编程相关内容都是在32位环境下进行的，驱动程序与应用程序不同，32位的驱动只能运行在32位系统中，64位驱动只能在64位系统中运行，在WIN32环境下，我们可以各种Hook挂钩各种系统函数，而恶意程序也可以通过加载驱动进行内核层面的破坏(Rootkit)，大家都可以乱搞，把好端端 ...

编译环境Windows10 X64 首先通过 msr = (PUCHAR)__readmsr(0xC0000082);获取内核函数入口地址, msr在开启内核隔离模式下获取到的是KiSystemCall64Shadow函数地址,在未开启内核隔离模式下获取到的是KiSystemCall64 ...

x86 SSDT Hook 32位下进行SSDT Hook比较简单，通过修改SSDT表中需要hook的系统服务为自己的函数，在自己的函数中进行过滤判断达到hook的目的。 获取KeServiceDescriptorTable基地址 要想进行ssdt hook，首先需要获得SSDT表的基地 ...

目录 SSDt表与ShadowSSDT表的查看. 一丶SSDT表 1.什么是SSDT表 2.查看步骤 二丶ShadowSSDT表 1.什么是ShadowSSDT表 ...

以下内容参考黑客防线2012合订本第294页 其实没什么好说的,直接上代码: ssdt的结构,和win32差不多,但是要注意这里的指针类型不能用ULONG替代,如果要非要替代应该用ULONGLONG,原因就不说了. 获取上面的结构的地址的代码 ...

以下参考黑客防线2012合订本 339页 //下午调代码 搞了这个一天,总是蓝屏,不断检查代码,后来发现了很怪的现象. 自己写的代码不能读取shadow ssdt的偏移内容,但是通过和调试作者的代码输出发现地址确实是一模一样的,但是自己的读不出来,而作者的能 读出来,当直接使用 ...

Windows内核分析索引目录：https://www.cnblogs.com/onetrainee/p/11675224.html Windows系统调用中的系统服务表描述符(SSDT) 　　在前面，我们将解过 系统服务表。可是，我们有个疑问，系统服务表存储在哪里呢？ 　　答案 ...

　　对于windwos逆向人员来说，不论是写外挂、写病毒/木马，都需要打开其他内存的空间，改写某些关键数据，达到改变其原有执行流程的目的。那么日常的工作肯定涉及到openprocess、readprocessmemory、writeprocessmemory等函数；这些函数都是怎么被调用 ...