VC++实现恢复SSDT - windows编程基础

TOP

VC++实现恢复SSDT(四)

2014-11-23 19:02:12 来源: 作者: 【大中小】浏览:68次

itializationOrderLinks;
PVOID DllBase;
PVOID EntryPoint;
ULONG SizeOfImage;
UNICODE_STRING FullDllName;
UNICODE_STRING BaseDllName;
ULONG Flags;
USHORT LoadCount;
USHORT TlsIndex;
union {
LIST_ENTRY HashLinks;
struct
{
PVOID SectionPointer;
ULONG CheckSum;
};
};
union {
struct
{
ULONG TimeDateStamp;
};
struct
{
PVOID LoadedImports;
};
};
struct _ACTIVATION_CONTEXT * EntryPointActivationContext;
PVOID PatchInformation;
}LDR_DATA_TABLE_ENTRY, *PLDR_DATA_TABLE_ENTRY;
//===================================================================================
NTKERNELAPI NTSTATUS
ZwQuerySystemInformation(
IN SYSTEM_INFORMATION_CLASS SystemInformationClass,
OUT PVOID SystemInformation,
IN ULONG SystemInformationLength,
OUT PULONG ReturnLength OPTIONAL
); //最终是通过遍历EPROCESS获取的

typedef NTSTATUS (*ZWQUERYSYSTEMINFORMATION)(
IN SYSTEM_INFORMATION_CLASS SystemInformationClass,
OUT PVOID SystemInformation,
IN ULONG SystemInformationLength,
OUT PULONG ReturnLength OPTIONAL
); //定义结构

NTSYSAPI BOOLEAN NTAPI KeAddSystemServiceTable(
ULONG lpAddressTable,
BOOLEAN bUnknown,
ULONG dwNumEntries,
ULONG lpParameterTable,
ULONG dwTableID
);

//****************************函数声明*************************************
//根据地址查找模块
void FindModuleByAddress( ULONG Address, PVOID buffer);
//根据RVA查找SSDT 文件偏移
ULONG FindFileOffsetByRva( ULONG ModuleAddress,ULONG Rva);
//路径解析出子进程名
void GetModuleName( char *ProcessPath, char *ProcessName);
//根据服务号得到当前的地址
ULONG FindOriAddress( ULONG index );
//得到SSDT Shadow表地址
ULONG GetSSDTShadowAddress2();

ULONG GetWin32Base2( PDRIVER_OBJECT driver);

ULONG FindShadowOriAddress( ULONG index );
/*****************************************************************************************
*
*函数名：FindModuleByAddress
*功能描述：根据函数地址查找所属模块
*
******************************************************************************************/
/*****************************************************************************************
*
* 原理：利用ZwQuerySystemInformation传入SystemModuleInformation（11）得到系统模块列表
* 得到每个模块的起始和结束地址
* 比对地址，在那个范围就属于哪个模块
* 得到模块名
*
******************************************************************************************/
#include "refresh.h"
voi

首页上一页 1 2 3 4 5 6 7 下一页尾页 4/8/8
【大中小】【打印】【繁体】【投稿】【收藏】【推荐】【举报】【评论】【关闭】【返回顶部】
分享到:
上一篇：VC6.0转VS2005问题及解决办法	下一篇：VC++实现枚举进程与模块

帐　　号:

密码: (新用户注册)

验证码:

表　　情:

内　　容: