文章作者：sudami [xiao_rui_119@163.com]

信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

/********************************************************************************************
* Name  : SDTrestore Version 0.2
* Author : Coded by Chew Keong TAN
* Learner: sudami [xiao_rui_119@163.com]
* Time  : 08/01/12
*
* Comment:
*
* 适用 XP 和 WIN2K
* SDT恢复是一个古老的技术了,这些天复习以前的知识,发现东西都忘了.正好找到了这份源码.
* 于是开始边注释边复习起来. 现在终于又把RING3下恢复SSDT的东西温习了一下,感觉很充实.
* 偶很菜,一开始看代码的时候,不知道如何下手,因为原作者的代码风格很乱,看得糊涂.于是偶
* 按照M$ 的代码风格重新注释了一遍,方便以后温习. 如果你还木有看过这份源码的话,在偶注释
* 的基础上应该会理解的更快些了.
*
* 搜索了下坛子,发现没有关于这份源码的相关细节.于是偶来补充下.
* 存档的主要目的是方便以后学习这些知识的同学更快的找到资源,少走弯路. 老鸟飘过~
*
* Description:
*
* 在RING3获得\device\physicalmemory 的读写权限(前提必须是Administrator). 从磁盘读取
* ntoskrnl.exe,对齐后映射进内存(这需要我们自己来做),在其EAT中得到KeServiceDescriptorTable
* 相对于ntoskrnl.exe的偏移.把系统高端加载的ntoskrnl.exe 的SSDT地址映射到进程的虚拟地址空间里
* 推算出ServiseTable的地址后,把其所有内容映射到进程的虚拟地址空间里. 得到了ServiseTable的地址
* 但它里面的函数是否被HOOK过,并不知道.所以需要参照我们自己映射的ntoskrnl.exe中的ServiseTable
* 里函数的偏移来作比较.不相同,则被HOOK了,然后恢复之.
*
* btw: 90210 的那个搜索SSDT的方法好像不行.得到的地址不正确.而且导致系统直接重启
*
*********************************************************************************************/

注释风格类似如下：

引用:

BOOL
LoadPE (
char *exePtr,
MZHeader *inMZ,
PE_Header *inPE,
PE_ExtHeader *inpeXH,
SectionHeader *inSecHdr,
LPVOID ptrLoc
)

/*++

学习者: sudami [xiao_rui_119@163.com]
时间 : 08/01/11

功能:
加载从磁盘读取的文件到内存,需要自己对齐

      <PE加载到内存对齐后的示意图>
   所有文件头   节   节  ...   节N
   ------------------------------------------------
  |aa...aa######| a...a##| a...a###| ... | a...a##|
   ------------------------------------------------
注: a 表示实际数据; # 表示空隙,是内存中对齐后留出的空隙

参数:
exePtr - PE文件在磁盘中时起始的地址.还没有经过对齐.所以需要把它映射到内存

modulePos - [IN] 将磁盘上的文件读出来后,映射到进程的虚拟地址空间中,对齐后得到其起始地址.

outMZ - [OUT] 保存MZ头 IMAGE_DOS_HEADER

outPE - [OUT] 保存PE头 IMAGE_FILE_HEADER

outpeXH - [OUT] 保存扩展PE头 IMAGE_OPTIONAL_HEADER

outSecHdr - [OUT] 2级指针,保存Section头 IMAGE_SECTION_HEADER

ptrLoc - 根据内存中PE的大小调用HeapAlloc而分配的一块空闲内存区域.

返回: TRUE

--*/
{
  char *outPtr = (char *)ptrLoc;

  // 把所有文件头的数据全部拷贝到ptrLoc指向的地址处
  // 然后地址按照PE在内存中的对齐方式往后挪
  memcpy (outPtr, exePtr, inpeXH->sizeOfHeaders);
  outPtr += GetAlignedSize (inpeXH->sizeOfHeaders, inpeXH->sectionAlignment);

  // 拷贝所有的节数据到新的地址处. 复制的时候要知道每个节在文件中的实际大小.而不是在内存在对齐后的大小
  for (int i = 0; i < inPE->numSections; i++) {

    if (inSecHdr.sizeOfRawData > 0) { // sizeOfRawData 是节对齐后的长度
      ULONG toRead = inSecHdr.sizeOfRawData;

      if (toRead > inSecHdr.virtualSize) {
        toRead = inSecHdr.virtualSize;
      }

      // 拷贝没个节的实际数据,然后把指针挪到每个节在内存中对齐后的位置处
      memcpy (outPtr, exePtr + inSecHdr.pointerToRawData, toRead);

      outPtr += GetAlignedSize (inSecHdr.virtualSize, inpeXH->sectionAlignment);
    }
  }

  return true;
}

希望偶们这样的菜鸟能一起共同成长~

认真学习的好孩子
真是很久没有看过代码了

ring3下还可以试试用ZwSystemDebugControl恢复SSDT

嗯，有这样一份代码。也帖出来吧。存档。
---------------------------------------------------------
汗，发完帖发现这份代码被删了。如果哪位牛牛还能在硬盘里找到，麻烦一起帖出来。方便大家学习~
懒得google了~

好東西,可惜我不懂VC,有Delphi的代碼嗎?

补充二楼：
https://www.xfocus.net/bbs/index.php?act=ST&f=3&t=65188
源代码及执行文件(37K)http://topmint.googlepages.com/ssdt2.zip

向sudami学习，同样是学生，差距呀！ 还请楼主以后有机会帮帮我呦