获取任意NT*和NtUser*系列函数地址（SSDT表和SSDT影子表定位）

gg526545 · 发表于 2013-5-9 09:29:45

马上注册，结交更多好友，享用更多功能^_^

您需要登录才可以下载或查看，没有账号？立即注册

x

本贴是驱动编程贴。比较经典和实用。凡是驱动编程都要用到的。在  驱动钩子编程上使用频率很高。
也包括恢复驱动钩子等。
-------------------------------------------------------------------------------------
影子表是未导出的，需要定位才能找到。由于过程麻烦所以本贴封装了一个函数给大家使用。。。
基于界面、找窗口、后台按键等消息函数等全是 NtUser* 开头的，是在ssdt影子表上的。
而基于内存、进程方面的函数全是NT*  开头的，是在ssdt表上的。
ssdt表是导出的可以，上面的函数地址很容易获取。
但是 ssdt影子表是未导出的，上面得函数地址就很麻烦获取。。。
不过现在不用担心麻烦了，以下这个函数帮你全部搞定。。。。。
封装了一个自定义的函数  GetSSDTCurAddr ，参数只有2个
功能 可以获取任意NT*和NtUser*系列函数地址。
内核函数地址有啥用，我就不多说了。。。各种HOOK 保护全是从内核函数地址开始的。

源码下载地址：

游客，如果您要查看本帖隐藏内容请回复

福禄娃娃 · 发表于 2013-5-9 10:40:10

强烈支持楼主ing……

unhunk · 发表于 2013-5-9 10:43:30

真是难得给力的帖子啊。

5403293 · 发表于 2013-5-9 11:20:33

貌似很强大额

仰望星空___脚踏 · 发表于 2013-5-9 11:26:19

激动人心，无法言表！

Nore · 发表于 2013-5-25 09:15:45

楼主加油，鱼C加油！我们都看好你哦！

coffeemlx · 发表于 2013-5-25 09:36:09

强烈支持楼主ing……

wjb8love_9c7c9c · 发表于 2013-5-25 09:46:01

强烈支持楼主ing……
虽然现在可能还看不懂

nicho_Y · 发表于 2013-5-25 09:46:57

淡定，淡定，淡定……我不得不说了……

寻水的鱼 · 发表于 2013-5-25 09:47:15

强烈支持楼主ing……

骗子死全家 · 发表于 2013-5-25 09:58:10

淡定，淡定，淡定……

竹林小溪 · 发表于 2013-5-25 10:01:25

真是难得给力的帖子啊。

颓废的青春 · 发表于 2013-5-25 10:03:49

驱动这块不太懂，不知道 SSDT 和 Shadow SSDT 之间有什么联系

为梦而生 · 发表于 2013-5-25 10:26:48

真是难得给力的帖子啊。

咖啡会上瘾 · 发表于 2013-5-25 12:40:27

强烈支持楼主ing……

czj_tao · 发表于 2021-2-27 17:16:08

强烈支持楼主,学习ing

katar1024 · 发表于 2022-6-1 23:58:25

非常需要一个，谢谢，

davytitan · 发表于 2023-8-10 18:28:27

这个需要用到了，谢谢分享

账号		自动登录	找回密码
密码			立即注册

[技术交流] 获取任意NT*和NtUser*系列函数地址（SSDT表和SSDT影子表定位）

马上注册，结交更多好友，享用更多功能^_^

[技术交流] 获取任意NT和NtUser系列函数地址（SSDT表和SSDT影子表定位）