S.l.e!ep.￠%

[資料] http://m.shnenglu.com/sleepwom/archive/2009/10/24/99375.html

What is SSDT?
SSDT的全稱是System Services Descriptor Table，系統(tǒng)服務(wù)描述符表。這個表就是一個把ring3的Win32 API和ring0的內(nèi)核API聯(lián)系起來。SSDT并不僅僅只包含一個龐大的地址索引表，它還包含著一些其它有用的信息，諸如地址索引的基地址、服務(wù)函數(shù)個數(shù)等。

How to use?
在頭文件如此定義即可

#pragma? pack(1)

typedef struct _SSDT_TABLE
{
? PVOID?? ServiceTableBase;
? PULONG? ServiceCounterTableBase;
? ULONG?? NumberOfService;
? ULONG?? ParamTableBase;
}SSDT_TABLE,* PSSDT_TABLE;

#pragma pack()

extern "C" extern PSSDT_TABLE??KeServiceDescriptorTable;

why?
KeServiceDescriptorTable是ntoskrnl.exe導(dǎo)出的（Win下所有PE都可以導(dǎo)出接口或變量）
用 vc 自帶的 dependency.exe 工具查看 ntoskrnl.exe 就可以看到
609(0x0261) 594(0x0252) KeServiceDescriptorTable??? 0x0008B520?
（另外可以看到? Nt開頭的是ntdll.dll導(dǎo)出的，ntoskrnl.exe導(dǎo)出的是Zw開頭的函數(shù) ）

可以參考以下這篇文章,里面提到系統(tǒng)服務(wù)號101h,NtTerminateProcess和ZwTerminateProcess的關(guān)系:
內(nèi)核下，ZwXxx函數(shù)還是會走int?2e這條路，為的是把PreviousMode變?yōu)镵ernelMode。NtXxx是真正實現(xiàn)的地方。SSDT里面放的是NtXxx的函數(shù)地址。

標(biāo)?題:?【原創(chuàng)】內(nèi)核態(tài)進(jìn)程管理器Intercessor和實現(xiàn)細(xì)節(jié)
作?者:?greatcsk
時?間:?2007-09-05,20:20
鏈?接:?http://bbs.pediy.com/showthread.php?t=51157?

try it;
寫一個Exe程序

.h 加上
#pragma comment(linker, "/EXPORT:_Add,@1,NONAME")

#ifdef __cplusplus
extern "C" {
#endif

__declspec(dllexport) int Add(int a, int b);

#ifdef __cplusplus
}
#endif? /* __cplusplus */

.cpp 加上
#ifdef __cplusplus
extern "C" {
#endif

?? int Add(int a, int b)
?? {
???? return (a + b);
?? }

#ifdef __cplusplus
}
#endif? /* __cplusplus */

最后加上 .def
EXPORTS
?? Add??????? @1??

生成后，發(fā)現(xiàn)有 *.lib
用 dependency.exe 一看，確實導(dǎo)出了
調(diào)用時，跟調(diào)用DLL的函數(shù)是一樣的

void CTestexeexportDlg::OnButton1()
{
?HMODULE moudule = ::LoadLibrary("C:\\\\exeexport.exe");

?typedef int(*MyFuncProc)(int a, int b);

?MyFuncProc pFun;

?pFun = (MyFuncProc)GetProcAddress(moudule, "Add");

?int i = pFun(10, 20);

}