64位內核開發第四講,查看SSDT表與showSSDT表

目錄

• SSDt表與ShadowSSDT表的查看.
  • 一丶SSDT表
    • 1.什麼是SSDT表
    • 2.查看步驟
  • 二丶ShadowSSDT表
    • 1.什麼是ShadowSSDT表
    • 2.如何查看.
  • 三丶工具介紹

SSDt表與ShadowSSDT表的查看.

一丶SSDT表

1.什麼是SSDT表

SSDT表示系統服務表,咱們ring3調用的不少函數都會調用這個SSDT表

2.查看步驟

1.使用 x命令

前提須要加載好符號.

x nt!kes*des*table*

KeServiceDescriptorTableShadow是ShadowSSDT表
KeServiceDescriptorTable是SSDT表.

2.查看地址的值

使用dd命令能夠查看這個地址裏面值.以下.

首先能夠看選中的位置.這個是SSDT表的起始地址. 後面*0x11C
是這個表的個數

咱們可使用dds命令來查看這個表.
dds命令能夠看第三講.關於windbg調試命令

dds Address L11C

這個命令的意思就是顯示地址裏面值指向的地址. 以4個字節顯示.
顯示以下:

若是你有符號.則能夠看到這些地址裏面後面指向的函數名

可使用 uf 來反彙編這個函數的全部彙編

二丶ShadowSSDT表

1.什麼是ShadowSSDT表

ring3的全部GUI會調用的到這個表格中.

2.如何查看.

System系統進程是沒有加載ShadowSSDT表的.因此咱們必須切換到調用GUI的進程空間中查看.

1.在系統中運行 mspaint 畫圖工具
2.在windbg中中斷.
3.輸入命令.查看系統全部簡要信息

!process 0 0

4.找到mspaint的EPROCESS結構.切換到這個進程上下文

.process /p EPROCESSADDRESS

5.使用x命令查找ShadowsSSDT

x nt!*kes*des*table*

以下:

6.查看shodowSSDT

shodowSSDT 跟SSDT挨着.上面查看SSDT的時候 shodowSSDT沒有加載
因此沒有.因此如今看一看下.如上圖. 有起始地址.跟大小.

無論是SSDT仍是shodowSSDT表.都是有這個表的大小.
在32位下.函數地址是4個字節. 因此用表的大小 / 4 = 函數個數.

這個表中的函數都是作繪圖用的.

三丶工具介紹

Process Monitor
工具是進程監控工具.能夠監視全部進程活動.
如今的火絨劍也是能夠.
以下圖;
微軟下載地址:
https://docs.microsoft.com/zh-cn/sysinternals/downloads/procmon
工具界面

能夠設置過濾器.進行過濾.好比我只想看進程建立.如何操做.

Process Explorer

微軟下載地址:
https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer

這個工具則能夠實時查看進程.而且能夠掛起進程.等操做進程.