У меня есть вопрос о вызове подпрограммы ZwReadVirtualMemory из моего драйвера. Я заметил, что ntokskrnl не экспортирует его после сброса EAT. Как и где я могу найти виртуальный адрес для этой процедуры?
Он находится в ssdt? если да, то не мешает ли мне patchguard читать там все равно? Или это только для письма.
Кроме того, это для Windows 7 x64.
Спасибо!
ZwReadVirtualMemory не экспортируется из ядра. Но вы можете найти его в SSDT. Используйте трюк с ntdll. Не беспокойтесь о PatchGuard. Это предотвращает только изменение кода, чтение в порядке.
Также примите во внимание, что ZwReadVirtualMemory — не единственный способ чтения виртуальной памяти.
ntdll.dll, разобрать его заголовки и найти адрес NtReadVirtualMemory, посмотреть в начало функции, там должна быть инструкция mov eax, index, взять индекс из нее. Надеюсь, у вас есть идея.
- person Sergey Podobry; 04.01.2014
Имейте в виду, что SSDT на win 64 не содержит указателей на функции. Он содержит смещения относительно начала nt!KiServiceTable. Также одним из жизнеспособных способов обнаружения SSDT является выполнение своего рода сканирования шаблонов для определения местоположения. В основном для 64-битных просто забудьте о том, чтобы свободно возиться с SSDT. Для получения дополнительной информации прочитайте это.
Кроме того, patchguard предназначен только для модификации системно-критичных компонентов.
