用symbol來獲得ShadowSSDT的原始地址和函式名

whatday發表於2013-08-14
Symbol函式
在網上看了下,獲得ShadowSSDT的函式名和原始地址的方法和文章不是很多。比較簡單的應該算是設計張函式名錶和用symbol的方法。

個人覺得用symbol來獲得ShadowSSDT還是比較方便的,而且自己也不用去建立一張表,何樂而不為。^_^

這辦法簡單的原因是我只需要一個win32.sys,win32.pdb,以及呼叫不到10個的API就能完成工作。

好,來看看怎麼呼叫這些函式。

1.呼叫SymInitialize初始化Dbghelp這系列的函式。
2.呼叫ImageLoad讀取檔案win32.sys。
3.呼叫SymLoadModule來讀取pdb檔案。
4.呼叫SymEnumSymbols列舉符號,其中一個引數是回撥函式SymEnumSymbolsProc,that's the key。
SymEnumSymbolsProc中有一個系統會幫忙填充一個為PSYMBOL_INFO結構的引數。在這個結構中我主要用到的是Name和Address。
5.呼叫ImageUnload和SymCleanup做一些清理工作。

OK,看一下我的思路。

首先是獲得W32pServiceTable的地址。熟悉ShadowSSDT都知道,W32pServiceTable是在核心初始化用來填充ShadowSSDT的表。
然後,知道了W32pServiceTable的地址,後面的事情也很容易。用SymEnumSymbolsProc把ShadowSSDT每個函式的地址和函式名儲存下來。

說起來有點複雜,但程式碼很簡單的。

#include <windows.h>
#include <stdio.h>
#include <Dbghelp.h>

#pragma comment(lib, "Dbghelp.lib")
#pragma comment(lib, "Imagehlp.lib")

extern "C" {

  PLOADED_IMAGE
    IMAGEAPI
    ImageLoad(
    PCSTR DllName,
    PCSTR DllPath
    );

  BOOL 
    IMAGEAPI 
    ImageUnload(
    PLOADED_IMAGE LoadedImage  
    );

}

//
//用於存放得到的ShadowSSDT的函式和函式名
//
typedef struct _SHADOWFUNC
{
  CHAR FuncName[100];
  DWORD FuncAddr;

}SHADOWFUNC, *PSHADOWFUNC;

DWORD    g_W32pServiceTable = 0;
SHADOWFUNC  g_ShadowFunc[667] = {0};

//
//回撥函式,用於獲得ShadowSSDT的函式和函式名
//
BOOL CALLBACK SymEnumSymbolsProc(
                 PSYMBOL_INFO  pSymInfo,
                 ULONG  SymbolSize,
                 PVOID  UserContext
                 )
{
  PDWORD  pW32pServiceTable = NULL;
  INT    i = 0;
  if (!UserContext)
  {
    if (strstr(pSymInfo->Name, "W32pServiceTable"))
    {
      printf("%s, %#x\n", pSymInfo->Name, pSymInfo->Address);
      g_W32pServiceTable = (DWORD)pSymInfo->Address;
    }
  }
  else
  {
    pW32pServiceTable = (PDWORD)UserContext;
    for (i = 0; i < 667; i++)
    {
      if (*(pW32pServiceTable + i) == (DWORD)pSymInfo->Address)
      {
        g_ShadowFunc[i].FuncAddr = (DWORD)pSymInfo->Address;
        lstrcpyn(g_ShadowFunc[i].FuncName, pSymInfo->Name, 100);        
      }
    }
  }

  return TRUE;
}




void main()
{
  INT        i = 0;
  PDWORD      pW32pServiceTable = 0;
  HANDLE      hHandle = 0;
  PLOADED_IMAGE  ploadImage = {0};
  DWORD      dwload = 0;

  hHandle = GetCurrentProcess();
  SymInitialize(hHandle, NULL, TRUE);

  ploadImage = ImageLoad("win32k.sys", NULL);

  dwload = SymLoadModule (hHandle, ploadImage->hFile, 
    "win32k.sys", "win32k.pdb", 
    0, ploadImage->SizeOfImage);


  SymEnumSymbols(hHandle, dwload, NULL, SymEnumSymbolsProc, NULL);
  if (g_W32pServiceTable)
  {
    pW32pServiceTable = (PDWORD)(g_W32pServiceTable - dwload 
      + (DWORD)ploadImage->MappedAddress);
    SymEnumSymbols(hHandle, dwload, NULL, SymEnumSymbolsProc, pW32pServiceTable);
  }

  for (i = 0; i < 667; i++)
  {
    printf("%03d, 0x%08X, %s\n", i, g_ShadowFunc[i].FuncAddr, g_ShadowFunc[i].FuncName);
  }

  ImageUnload(ploadImage);
  SymCleanup(hHandle);
}
效果如下:


相關文章