【转】读取SSDT表和原函数地址
2012-11-29 16:53
141 查看
读取当前地址代码(NtOpenProcess):
LONG *SSDT_Adr,t_addr,adr;
t_addr=(LONG)KeServiceDescriptorTable->ServiceTableBase;
SSDT_Adr=(PLONG)(t_addr+0x7a*4);
adr=*SSDT_Adr;
读取起源地址(NtOpenProcess):
UNICODE_STRING SysRoutineName;
LONG orgadr;
RtlInitUnicodeString(&SysRoutineName,L"NtOpenProcess");
orgadr=(LONG)MmGetSystemRoutineAddress(&SysRoutineName);
通过得到的地址 可以判断改函数是否被hook
自己读取的SSDT表:
SSDT 地址 | 起源地址.
NtOpenProcess->805751e0 | 805751e0
LONG *SSDT_Adr,t_addr,adr;
t_addr=(LONG)KeServiceDescriptorTable->ServiceTableBase;
SSDT_Adr=(PLONG)(t_addr+0x7a*4);
adr=*SSDT_Adr;
读取起源地址(NtOpenProcess):
UNICODE_STRING SysRoutineName;
LONG orgadr;
RtlInitUnicodeString(&SysRoutineName,L"NtOpenProcess");
orgadr=(LONG)MmGetSystemRoutineAddress(&SysRoutineName);
通过得到的地址 可以判断改函数是否被hook
自己读取的SSDT表:
SSDT 地址 | 起源地址.
NtOpenProcess->805751e0 | 805751e0
相关文章推荐
- 读取SSDT表和原函数地址
- 读取SSDT当前函数地址
- 读取SSDT当前函数地址
- xx_学驱动 -- 初识SSDT、读取内核API地址、、
- 019_读出原函数地址_恢复_ssdt_hook
- SSDT 系统描述符表 地址读取
- 读取无保护的SSDT表中的NtOpenProcess函数的当前地址
- 在Storm中读取zookeeper地址 java api
- 读取数据与地址对齐
- C# 读取MAC地址的方法
- 如何用VC++开发读取网卡MAC地址的程序
- C#读取网卡地址的几种方法
- abap--关于sap地址,传真,邮箱的地址读取
- 高鹏写的winform抓取页面,根据配置文件配置读取地址
- 关于对抗获取SSDT地址的一点想法
- spring mvc 读取绝对路径地址,显示出来
- linux下读取以太网mac地址:
- 关于JAVA读取远程文件,文件地址带有空格,%百分号时报空指针问题
- abap--关于sap地址,传真,邮箱的地址读取
- 按地址读取数据