Win64 驱动内核编程-22.SHADOW SSDT HOOK（宋孖健）

SHADOW SSDT HOOK

    HOOK 和 UNHOOK SHADOW SSDT 跟之前的 HOOK/UNHOOK SSDT 类似，区别是查找SSSDT的特征码，以及根据索引计算函数地址的公式，还有一个就是吧跳转函数写在什么位置，SSDT的时候是写在蓝屏函数里了。

一、获得 w KeServiceDescriptorTableShadow的地址

    这个跟获得 KeServiceDescriptorTable 差不多，唯一不同就是特征码：

ULONGLONG GetKeServiceDescriptorTableShadow64()
{
PUCHAR StartSearchAddress = (PUCHAR)__readmsr(0xC0000082);
    PUCHAR EndSearchAddress = StartSearchAddress + 0x500;
PUCHAR i = NULL;
UCHAR b1=0,b2=0,b3=0;
ULONG templong=0;
ULONGLONG addr=0;
for(i=StartSearchAddress;i<EndSearchAddress;i++)
{
if( MmIsAddressValid(i) && MmIsAddressValid(i+1) && MmIsAddressValid(i+2) )
{
b1=*i;
b2=*(i+1);
b3=*(i+2);
if( b1==0x4c && b2==0x8d && b3==0x1d ) //4c8d1d
{
memcpy(&templong,i+3,4);
addr = (ULONGLONG)templong + (ULONGLONG)i + 7;
return addr;
}
}
}
return 0;
}

二、根据 X INDEX  获得 T SSSDT  函数在内核里的地址

    原理跟获得 SSDT 函数在在内核里的地址差不多，先获得 W32pServiceTable的地址，然后再获得每个函数的偏移地址，在把偏移地址与 W32pServiceTable相加。为什么下面的计算公式是 W32pServiceTable + 4 * (index-0x1000)呢？其实这只是个理解上的问题。SSDT 函数的起始 INDEX 是 0x0，SSSDT 函数的起始 INDEX 是 0x1000，但函数地址在 W32pServiceTable 是从基址开始记录

的（假设 W32pServiceTable 的地址是 0xfffff800~80000000，第 0 个函数的地址就记录在 0xfffff800~80000000，第 1 个函