64位内核开发第四讲,查看SSDT表与showSSDT表

目录

• SSDt表与ShadowSSDT表的查看.
  • 一丶SSDT表
    • 1.什么是SSDT表
    • 2.查看步骤
  • 二丶ShadowSSDT表
    • 1.什么是ShadowSSDT表
    • 2.如何查看.
  • 三丶工具介绍

SSDt表与ShadowSSDT表的查看.

一丶SSDT表

1.什么是SSDT表

SSDT表示系统服务表,咱们ring3调用的不少函数都会调用这个SSDT表

2.查看步骤

1.使用 x命令

前提须要加载好符号.

x nt!kes*des*table*

KeServiceDescriptorTableShadow是ShadowSSDT表
KeServiceDescriptorTable是SSDT表.

2.查看地址的值

使用dd命令能够查看这个地址里面值.以下.

首先能够看选中的位置.这个是SSDT表的起始地址. 后面*0x11C
是这个表的个数

咱们可使用dds命令来查看这个表.
dds命令能够看第三讲.关于windbg调试命令

dds Address L11C

这个命令的意思就是显示地址里面值指向的地址. 以4个字节显示.
显示以下:

若是你有符号.则能够看到这些地址里面后面指向的函数名

可使用 uf 来反汇编这个函数的全部汇编

二丶ShadowSSDT表

1.什么是ShadowSSDT表

ring3的全部GUI会调用的到这个表格中.

2.如何查看.

System系统进程是没有加载ShadowSSDT表的.因此咱们必须切换到调用GUI的进程空间中查看.

1.在系统中运行 mspaint 画图工具
2.在windbg中中断.
3.输入命令.查看系统全部简要信息

!process 0 0

4.找到mspaint的EPROCESS结构.切换到这个进程上下文

.process /p EPROCESSADDRESS

5.使用x命令查找ShadowsSSDT

x nt!*kes*des*table*

以下:

6.查看shodowSSDT

shodowSSDT 跟SSDT挨着.上面查看SSDT的时候 shodowSSDT没有加载
因此没有.因此如今看一看下.如上图. 有起始地址.跟大小.

无论是SSDT仍是shodowSSDT表.都是有这个表的大小.
在32位下.函数地址是4个字节. 因此用表的大小 / 4 = 函数个数.

这个表中的函数都是作绘图用的.

三丶工具介绍

Process Monitor
工具是进程监控工具.能够监视全部进程活动.
如今的火绒剑也是能够.
以下图;
微软下载地址:
https://docs.microsoft.com/zh-cn/sysinternals/downloads/procmon
工具界面

能够设置过滤器.进行过滤.好比我只想看进程建立.如何操做.

Process Explorer

微软下载地址:
https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer

这个工具则能够实时查看进程.而且能够挂起进程.等操做进程.