前面的驅動編程相關內容都是在32位環境下進行的，驅動程序與應用程序不同，32位的驅動只能運行在32位系統中，64位驅動只能在64位系統中運行，在WIN32環境下，我們可以各種Hook掛鈎各種系統函數，而惡意程序也可以通過加載驅動進行內核層面的破壞(Rootkit)，大家都可以亂搞，把好端端 ...

編譯環境Windows10 X64 首先通過 msr = (PUCHAR)__readmsr(0xC0000082);獲取內核函數入口地址, msr在開啟內核隔離模式下獲取到的是KiSystemCall64Shadow函數地址,在未開啟內核隔離模式下獲取到的是KiSystemCall64 ...

x86 SSDT Hook 32位下進行SSDT Hook比較簡單，通過修改SSDT表中需要hook的系統服務為自己的函數，在自己的函數中進行過濾判斷達到hook的目的。 獲取KeServiceDescriptorTable基地址 要想進行ssdt hook，首先需要獲得SSDT表的基地 ...

目錄 SSDt表與ShadowSSDT表的查看. 一丶SSDT表 1.什么是SSDT表 2.查看步驟 二丶ShadowSSDT表 1.什么是ShadowSSDT表 ...

以下內容參考黑客防線2012合訂本第294頁 其實沒什么好說的,直接上代碼: ssdt的結構,和win32差不多,但是要注意這里的指針類型不能用ULONG替代,如果要非要替代應該用ULONGLONG,原因就不說了. 獲取上面的結構的地址的代碼 ...

以下參考黑客防線2012合訂本 339頁 //下午調代碼 搞了這個一天,總是藍屏,不斷檢查代碼,后來發現了很怪的現象. 自己寫的代碼不能讀取shadow ssdt的偏移內容,但是通過和調試作者的代碼輸出發現地址確實是一模一樣的,但是自己的讀不出來,而作者的能 讀出來,當直接使用 ...

Windows內核分析索引目錄：https://www.cnblogs.com/onetrainee/p/11675224.html Windows系統調用中的系統服務表描述符(SSDT) 　　在前面，我們將解過 系統服務表。可是，我們有個疑問，系統服務表存儲在哪里呢？ 　　答案 ...

　　對於windwos逆向人員來說，不論是寫外掛、寫病毒/木馬，都需要打開其他內存的空間，改寫某些關鍵數據，達到改變其原有執行流程的目的。那么日常的工作肯定涉及到openprocess、readprocessmemory、writeprocessmemory等函數；這些函數都是怎么被調用 ...