Windows下如何获得KeServiceDescriptorTableShadow地址

Windows下如何获得KeServiceDescriptorTableShadow地址

 

总结网上文章的观点，主要有下面几种：

1.根据操作系统分类。在WIN2K下KeServiceDescriptorTableShadow接跟着keServiceDescriptorTable;而在XP下，顺序正好相反，KeServiceDescriptorTable紧跟着KeServiceDescriptorTableShadow。于是根据操作系统类型就可以判断。参考文章：http://www.codeproject.com/KB/tips/SDTShadow.aspx

 

2.从KTHREAD结构中取。在XP下+e0是ServiceTable,当应用程序时console时，则此地址为KeServiceDescriptorTable;若为GUI应用程序时，则为KeServiceDescriptorTableShadow.所以我们可以顺着线程的链表，比较+E0字段，若不为KeServiceDescriptorTable则是KeServiceDescriptorTableShadow.

 

3.从使用函数中取出。系统中有许多函数都会引用KeServiceDescriptorTableShadow地址，我们可以从某个引出的函数着手搜出KeServiceDescriptorTableShadow地址。 此方法比较多的函数是KeAddSystemServiceTable.

参考文章：http://www.volynkin.com/sdts.htm  OR  http://blog.ednchina.com/bluehacker/110733/message.aspx