恢复SSDT的源代码资源-CSDN文库

共11个文件

dsw：1个

dsp：1个

opt：1个

4星 · 超过85%的资源需积分: 9 72 浏览量 2008-11-04 21:13:40 上传评论收藏 25KB RAR 举报

【SSDT恢复源代码解析】在Windows操作系统中，System Service Dispatch Table（SSDT）是一个关键的数据结构，它存储了系统服务函数的入口地址。这些服务是操作系统提供给应用程序调用的接口，涉及进程管理、内存管理、文件系统等多个核心功能。当SSDT遭到篡改或损坏时，可能会导致系统不稳定或安全问题。因此，了解如何恢复SSDT的源代码对于系统维护和安全研究具有重要意义。标题“恢复SSDT的源代码”指的是一个项目，旨在恢复已丢失或损坏的SSDT源代码，并在Visual C++（VC）环境下进行编译和链接。这通常涉及到逆向工程和系统编程的技术，需要深入理解Windows API和内核工作原理。描述中的"源代码里有详细的注释和说明"意味着这个项目提供了丰富的文档，帮助开发者理解代码逻辑，这对于学习和调试过程至关重要。良好的注释可以提高代码可读性，加快理解和修改的速度。从提供的文件列表来看： 1. `Script1.aps`：这是Visual Studio的一个旧版工程脚本文件，用于描述项目的设置和配置信息。 2. `main.cpp`：这是程序的主要源代码文件，包含主函数和可能的其他全局函数。在这个项目中，它很可能是实现SSDT恢复逻辑的核心部分。 3. `ssdt.dsp`和`ssdt.dsw`：这两个是Visual Studio的工作区和项目文件，它们包含了关于项目配置、编译设置和依赖关系的信息。 4. `resource.h`：这是一个包含资源定义的头文件，如窗口类、菜单、图标等。 5. `app.ico`：这是应用的图标文件，显示在程序的图标和窗口上。 6. `ssdt.manifest`：这是一个应用程序清单文件，用于描述程序的元数据，包括所需的运行时版本和UI权限等。 7. `ssdt.ncb`、`ssdt.opt`、`ssdt.plg`：这些都是Visual Studio的旧版编译和调试辅助文件，包含编译器的中间信息和调试数据。通过分析这些文件，我们可以了解到这个项目使用了Visual C++作为开发工具，并且可能使用了一些Windows API来操作SSDT。在`main.cpp`中，我们可能找到对SSDT的读取、分析和恢复的函数，而`resource.h`和`app.ico`则表明项目包含用户界面元素。通过编译和运行项目，开发者可以检查SSDT的状态，修复可能的问题，或者为安全研究提供基础。在实际操作中，恢复SSDT源代码可能涉及以下步骤： 1. 分析`main.cpp`和其他源代码，理解其恢复SSDT的算法和逻辑。 2. 使用`ssdt.dsp`和`ssdt.dsw`设置编译环境，确保所有必要的库和依赖项都已安装。 3. 编译和链接项目，检查是否存在编译错误或警告。 4. 运行程序，查看其如何与操作系统交互，以及如何识别和处理SSDT的异常情况。 5. 如果需要，根据源代码的注释和说明进行调试和优化。总体而言，这个项目为Windows系统程序员提供了一个学习和实践恢复SSDT功能的机会，同时也可能对系统安全研究者有参考价值。通过深入学习和实践，开发者可以提升在系统级编程、逆向工程和安全防护方面的能力。

资源推荐

资源详情

资源评论

收起资源包目录

ReSSDT.rar （11个子文件）

main.cpp 16KB

resource.h 824B

ssdt.opt 48KB

ssdt.ncb 49KB

ssdt.manifest 558B

Script1.aps 37KB

app.ico 4KB

ssdt.dsw 531B

ssdt.dsp 4KB

ssdt.plg 1KB

Script1.rc 2KB

// *************************************************************** // main version: 1.0 ? date: 09/16/2008 // ------------------------------------------------------------- // SSDT // *************************************************************** // // *************************************************************** #include <windows.h> #include <winnt.h> #include <WindowsX.h> #include <commctrl.h> #include <stdio.h> #include "resource.h" #define ibaseDD *(PDWORD)&ibase HINSTANCE g_hInst; HWND hWinMain,hList; #define ID_LISTVIEW 104 #pragma comment(lib,"comctl32") typedef ULONG NTSTATUS; #define RVATOVA(base,offset) ((PVOID)((DWORD)(base)+(DWORD)(offset))) #define ibaseDD *(PDWORD)&ibase #define STATUS_INFO_LENGTH_MISMATCH ((NTSTATUS)0xC0000004L) #define NT_SUCCESS(Status) ((NTSTATUS)(Status) >= 0) typedef struct { WORD offset:12; WORD type:4; } IMAGE_FIXUP_ENTRY, *PIMAGE_FIXUP_ENTRY; typedef ULONG (WINAPI *ZWQUERYSYSTEMINFORMATION)( DWORD SystemInformationClass, PVOID SystemInformation, ULONG SystemInformationLength, PULONG ReturnLength); ZWQUERYSYSTEMINFORMATION ZwQuerySystemInformation = NULL; typedef enum _SYSDBG_COMMAND { // 以下是NT 5.1 新增的 //从内核空间拷贝到用户空间，或者从用户空间拷贝到用户空间 //但是不能从用户空间拷贝到内核空间 SysDbgReadVirtualMemory = 8, //从用户空间拷贝到内核空间，或者从用户空间拷贝到用户空间 //但是不能从内核空间拷贝到用户空间 SysDbgWriteVirtualMemory = 9, } SYSDBG_COMMAND, *PSYSDBG_COMMAND; typedef struct _MEMORY_CHUNKS { ULONG Address; PVOID Data; ULONG Length; }MEMORY_CHUNKS, *PMEMORY_CHUNKS; typedef NTSTATUS (NTAPI * ZWSYSTEMDEBUGCONTROL) ( SYSDBG_COMMAND ControlCode, PVOID InputBuffer, ULONG InputBufferLength, PVOID OutputBuffer, ULONG OutputBufferLength, PULONG ReturnLength ); ZWSYSTEMDEBUGCONTROL ZwSystemDebugControl = NULL; typedef struct _SYSTEM_MODULE_INFORMATION { //Information Class 11 ULONG Reserved[2]; PVOID Base; ULONG Size; ULONG Flags; USHORT Index; USHORT Unknown; USHORT LoadCount; USHORT ModuleNameOffset; CHAR ImageName[256]; }SYSTEM_MODULE_INFORMATION,*PSYSTEM_MODULE_INFORMATION; #define SystemModuleInformation 11 typedef struct { CHAR fname[100]; ULONG address1; ULONG address2; } SSDT_LIST_ENTRY; SSDT_LIST_ENTRY *ssdt_list; ///////////////////////////////////////////////////////////////////////// BOOL LocateNtdllEntry() { HMODULE ntdll_dll = NULL; if (!(ntdll_dll = GetModuleHandle("ntdll.dll"))) return FALSE; if ( !( ZwQuerySystemInformation = (ZWQUERYSYSTEMINFORMATION)GetProcAddress(ntdll_dll, "ZwQuerySystemInformation" ))) return FALSE; if ( !( ZwSystemDebugControl = (ZWSYSTEMDEBUGCONTROL)GetProcAddress(ntdll_dll, "ZwSystemDebugControl" ))) return FALSE; return TRUE; } ////////////////////////////////////////////////////////////////////////// BOOL DebugPrivilege(TCHAR *PName,BOOL bEnable) { BOOL fOk = FALSE; HANDLE hToken; TOKEN_PRIVILEGES tp; if(OpenProcessToken(GetCurrentProcess(),TOKEN_QUERY | TOKEN_ADJUST_PRIVILEGES,&hToken)) { tp.PrivilegeCount = 1; tp.Privileges[0].Attributes = bEnable ? SE_PRIVILEGE_ENABLED : 0; LookupPrivilegeValue(NULL,PName,&tp.Privileges[0].Luid); AdjustTokenPrivileges(hToken,FALSE,&tp,sizeof(TOKEN_PRIVILEGES),NULL,NULL); fOk=(GetLastError() == ERROR_SUCCESS); CloseHandle(hToken); } return fOk; } ////////////////////////////////////////////////////////////////////////// DWORD GetHeaders(PCHAR ibase, PIMAGE_FILE_HEADER *pfh, PIMAGE_OPTIONAL_HEADER *poh, PIMAGE_SECTION_HEADER *psh) { PIMAGE_DOS_HEADER mzhead=(PIMAGE_DOS_HEADER)ibase; if ((mzhead->e_magic!=IMAGE_DOS_SIGNATURE) || (ibaseDD[mzhead->e_lfanew]!=IMAGE_NT_SIGNATURE)) return FALSE; *pfh=(PIMAGE_FILE_HEADER)&ibase[mzhead->e_lfanew]; if (((PIMAGE_NT_HEADERS)*pfh)->Signature!=IMAGE_NT_SIGNATURE) return FALSE; *pfh=(PIMAGE_FILE_HEADER)((PBYTE)*pfh+sizeof(IMAGE_NT_SIGNATURE)); *poh=(PIMAGE_OPTIONAL_HEADER)((PBYTE)*pfh+sizeof(IMAGE_FILE_HEADER)); if ((*poh)->Magic!=IMAGE_NT_OPTIONAL_HDR32_MAGIC) return FALSE; *psh=(PIMAGE_SECTION_HEADER)((PBYTE)*poh+sizeof(IMAGE_OPTIONAL_HEADER)); return TRUE; } ////////////////////////////////////////////////////////////////////////// // Search the Export function name. ////////////////////////////////////////////////////////////////////////// void FindExport() { PIMAGE_FILE_HEADER pfh; PIMAGE_OPTIONAL_HEADER poh; PIMAGE_SECTION_HEADER psh; PIMAGE_EXPORT_DIRECTORY ped; DWORD *arrayOfFunctionNames; DWORD* arrayOfFunctionAddresses; WORD* arrayOfFunctionOrdinals; DWORD functionOrdinal,functionAddress; HMODULE hNtdll=GetModuleHandle(TEXT("ntdll.dll")); GetHeaders((PCHAR)hNtdll,&pfh,&poh,&psh); if (poh->DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress) { ped=(PIMAGE_EXPORT_DIRECTORY)(poh->DataDirectory[IMAGE_DIRECTORY_ENTRY_EXPORT].VirtualAddress+(BYTE*)hNtdll); arrayOfFunctionNames=(DWORD*)(ped->AddressOfNames+(BYTE*)hNtdll); arrayOfFunctionAddresses = (DWORD*)( (BYTE*)hNtdll + ped->AddressOfFunctions); arrayOfFunctionNames = (DWORD*)( (BYTE*)hNtdll + ped->AddressOfNames); arrayOfFunctionOrdinals = (WORD*)( (BYTE*)hNtdll + ped->AddressOfNameOrdinals); for (unsigned int i=0;i<ped->NumberOfNames;i++) { char* fun_name= (char*)((BYTE*)hNtdll + arrayOfFunctionNames[i]); functionOrdinal = arrayOfFunctionOrdinals[i] + ped->Base - 1; functionAddress = (DWORD)( (BYTE*)hNtdll + arrayOfFunctionAddresses[functionOrdinal]); if (fun_name[0]=='N'&&fun_name[1]=='t') { WORD number=*((WORD*)(functionAddress+1)); if (number>ped->NumberOfNames) continue; lstrcpy(ssdt_list[number].fname,fun_name); } } } } DWORD FindKiServiceTable(HMODULE hModule,DWORD dwKSDT) { PIMAGE_FILE_HEADER pfh; PIMAGE_OPTIONAL_HEADER poh; PIMAGE_SECTION_HEADER psh; PIMAGE_BASE_RELOCATION pbr; PIMAGE_FIXUP_ENTRY pfe; DWORD dwFixups=0,i,dwPointerRva,dwPointsToRva,dwKiServiceTable; BOOL bFirstChunk; GetHeaders((PCHAR)hModule,&pfh,&poh,&psh); // loop through relocs to speed up the search if ((poh->DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress) && (!((pfh->Characteristics)&IMAGE_FILE_RELOCS_STRIPPED))) { pbr=(PIMAGE_BASE_RELOCATION)RVATOVA(poh->DataDirectory[IMAGE_DIRECTORY_ENTRY_BASERELOC].VirtualAddress,hModule); bFirstChunk=TRUE; // 1st IMAGE_BASE_RELOCATION.VirtualAddress of ntoskrnl is 0 while (bFirstChunk || pbr->VirtualAddress) { bFirstChunk=FALSE; pfe=(PIMAGE_FIXUP_ENTRY)((DWORD)pbr+sizeof(IMAGE_BASE_RELOCATION)); for (i=0;i<(pbr->SizeOfBlock-sizeof(IMAGE_BASE_RELOCATION))>>1;i++,pfe++) { if (pfe->type==IMAGE_REL_BASED_HIGHLOW) { dwFixups++; dwPointerRva=pbr->VirtualAddress+pfe->offset; // DONT_RESOLVE_DLL_REFERENCES flag means relocs aren't fixed dwPointsToRva=*(PDWORD)((DWORD)hModule+dwPointerRva)-(DWORD)poh->ImageBase; // does this reloc point to KeServiceDescriptorTable.Base? if (dwPointsToRva==dwKSDT) { // check for mov [mem32],imm32. we are trying to find // "mov ds:_KeServiceDescriptorTable.Base, offset _KiServiceTable" // from the KiInitSystem. if (*(PWORD)((DWORD)hModule+dwPointerRva-2)==0x05c7) { // should check for a reloc presence on KiServiceTabl

评论收藏

内容反馈