gg526545 发表于 2013-5-9 09:29:45

获取任意NT*和NtUser*系列函数地址(SSDT表和SSDT影子表定位)

本贴是驱动编程贴。比较经典和实用。凡是驱动编程都要用到的。在驱动钩子编程上 使用频率很高。
也包括 恢复驱动钩子等。
-------------------------------------------------------------------------------------
影子表是未导出的,需要定位才能找到。由于过程麻烦所以本贴封装了一个函数给大家使用。。。
基于界面、找窗口、后台按键等消息函数 等全是 NtUser* 开头的,是在ssdt影子表上的。
而基于内存、进程方面的函数全是NT*开头的,是在ssdt表上的。
ssdt表是导出的可以,上面的函数地址很容易 获取。
但是 ssdt影子表是未导出的,上面得函数地址就很麻烦获取。。。
不过现在不用担心麻烦了,以下这个函数 帮你全部搞定。。。。。
封装了一个自定义的函数GetSSDTCurAddr ,参数只有2个
功能 可以获取任意NT*和NtUser*系列函数地址。
内核函数地址有啥用,我就不多说了。。。各种HOOK 保护全是从内核函数 地址开始的。

源码下载地址:
**** Hidden Message *****

福禄娃娃 发表于 2013-5-9 10:40:10

强烈支持楼主ing……

unhunk 发表于 2013-5-9 10:43:30

真是难得给力的帖子啊。

5403293 发表于 2013-5-9 11:20:33

貌似很强大额

仰望星空___脚踏 发表于 2013-5-9 11:26:19

激动人心,无法言表!

Nore 发表于 2013-5-25 09:15:45

楼主加油,鱼C加油!我们都看好你哦!

coffeemlx 发表于 2013-5-25 09:36:09

强烈支持楼主ing……

wjb8love_9c7c9c 发表于 2013-5-25 09:46:01

强烈支持楼主ing……
虽然现在可能还看不懂

nicho_Y 发表于 2013-5-25 09:46:57

淡定,淡定,淡定……我不得不说了……

寻水的鱼 发表于 2013-5-25 09:47:15

强烈支持楼主ing……

骗子死全家 发表于 2013-5-25 09:58:10

淡定,淡定,淡定……

竹林小溪 发表于 2013-5-25 10:01:25

真是难得给力的帖子啊。

颓废的青春 发表于 2013-5-25 10:03:49

驱动这块不太懂,不知道 SSDT 和 Shadow SSDT 之间有什么联系

为梦而生 发表于 2013-5-25 10:26:48

真是难得给力的帖子啊。

咖啡会上瘾 发表于 2013-5-25 12:40:27

强烈支持楼主ing……

czj_tao 发表于 2021-2-27 17:16:08

强烈支持楼主,学习ing

katar1024 发表于 2022-6-1 23:58:25

非常需要一个,谢谢,

davytitan 发表于 2023-8-10 18:28:27

这个需要用到了,谢谢分享
页: [1]
查看完整版本: 获取任意NT*和NtUser*系列函数地址(SSDT表和SSDT影子表定位)