一种通用的Shadow SSDT原始地址获取新方式

挂钩恢复是一项重要的安全技术。对Shadow系统服务描述表(SSDT)挂钩检测以及恢复方法进行分析,传统方法中的原始地址获取方式不仅存在Windows操作系统版本兼容性问题,而且代码逻辑复杂。针对该问题,提出一种通用算法,对Shadow SSDT原始地址获取方法进行改进,并设计了基址重定位方法,减少了代码量,有效提高了稳定性和兼容性。

一种获取Shadow SSDT服务函数原始地址的思路

随着Hook SSDT的泛滥，Hook Shadow SSDT估计也已经是Windows驱动入门都要学的了。既然有Hook，对应的就要有恢复。要做恢复．第一个要做的就是需要知道SSDT或者Shadow SSDT服务函数原始地址。而获取服务函数原始地址．就需要读取SSDT或者Shadow SSDT对应的内核文件ntoskrnl．exe（这个根据自己机器而定）以及win32k．sys。