64位驱动SSDTHOOK教程

 位的  表的寻找



最近在独立团学习  位驱动，涉及到了  的知识，结果发现  位下的

 和  位下的  有所不同。

开始发现  位下的  是未导出的函数。首先要找到

 的地址。

方法 ：

读取   寄存器

- !"#./(.*$+..

- 0*$+1..

- ((((( ) .(( ..........,2..

- ((((( ) .3 43.$...5,"..21%6&7..

3- ((((( ) .3 3 .$...75,"..21%8 6&..

- ((((( ) 33............./6....96..

- ((((( ) 3.3((3./6....5,"..21%6&..

- ((((( ) 3(.3............/6......

4- ((((( ) ............./6....6..

- ((((( ) .3............../6....:..

- ((((( )  . 4" ..$.....5,"..%;+ 6&7"..

 - ((((( )  4. 43"..$.....5,"..%;6&7..

4- ((((( ) 4.3........$.....*..%336&7..

- ((((( ) 4.3 3 .$...:75,"..21% 6&..

- ((((( ) 4".(" " ..(6,.%:; 6&..

- ((((( ) .(3"........$:.","..%36&..

- ((((( )  .3(3 ."$:.","..21% 6&..

- ((((( ) . ........$.....*..%:;&7..

3- ((((( ) 3. 3 .$...,"..%; 6&7..

- ((((( ) .(  ....<......0*$+;:.((((( ) 3..

- ((((( ) 3. ( ............$....."7:..

- ((((( ) .(..........6....."7..

3- ((((( ) . .........."....."76..

- ((((( ) ".3(((......".....:7>>>6..

- ..

 - 0*$?1..

4- ((((( ) . "3.......7%0.((((( )

 &..

- ((((( ) 4. "".......7%06",.(((

(( ) &..

如上红色代码。在 KiSystemServiceRepeat 里面找到了

KeServiceDescriptorTable



方法 ：

打开 2

[cpp], * 

- !"#./.0@,...

- 0A,+1..

- ((((( )". ..........$.....:7..

- ((((( )".(................

3- ((((( )". ......../.....76..

- ((((( )" .3............../6....:..

- ((((( )"4.4............../6(5..

- ((((( )"............./6....6..

4- ((((( )". "34".......:7%0B!2.((((( )

&..

- ((((( )"".3............../6....:..



跟踪 nt!KiServiceInternal

[cpp], * 

- ((((( ) 3". 44"..$.....5,"..%;+6&7:..

- ((((( ) 3". 4" ..$.....5,"..%;+ 6&7"..

4- ((((( ) 3. 43"..$.....5,"..%;6&7..

- ((((( ) 34.(................

- ((((( ) 3.3 3 .$...:75,"..21% 6&..

- ((((( ) 3(.(" " ..(6,.%:; 6&..

- ((((( ) 3(.((..$@:..."7*..%:;>6&..

- ((((( ) . " ........$.....*..%3 6&7"..

3- ((((( ) 3. (..$.....*..%:;>6&7..

- ((((( ) . 4" ..$.....75,"..%:; 6&..

- 0*$+1..

- ((((( ) .(( ..........,2..