Номер системного вызова по имени в ядре

Как можно определить номер системного вызова по имени функции в ядре?

Например, у нас есть имя:

LPWSTR lpFuncName = L"ZwOpenProcess";

Нужно нечто вроде:

DWORD dwZwOpenProcessSysCall = GetSysCallByName(lpFuncName);

 

#define INDEXEG(functionk) *(PULONG)((PUCHAR)functionk+1)

 

Что есть номер? Ординал в экспорте? Номер в SST? Первое для этой ф-ии есть, второго нет (только для Nt*).
Первое - разбором директории экспорта. Второе - пробовать читать dword по адресу ZwOpenProcess+1, сравнивать адрес ZwOpenProcess с адресом в таблице SST, при условии незахучености ф-ии.

 

Второй способ знаю. Но мне нужно именно для имени, т.е. есть строка с именем функции, а не адрес этой функции.

Например, для функции ZwOpenProcess
таким номером будет являться 0x7A в Windows XP или 0x80 в Windows 2003

 

Заменяешь Nt* на Zw* префикс, делаешь MmGetSystemRoutineAddress, читаешь дворд по адресу, возвращенному ей, +1

 

Crash
ntdll разбери, там в самом начале ф-ии есть номер.

 

Спасибо! Думаю, это как раз то, что нужно.

 

ничего разбирать не нужно грейт правильно всё сказал

 

не для всех функций из SDT есть экспортируемый аналог. Наиболее правильным способом будет как раз разбор ntdll.

 

Crash
Не так давно я дизасмил драйвер ms-rem'a от HideToolz 1.6
Там есть как раз то, что тебе нужно -т.е. способ №2 + разбор ntdll. Ну еще можно воспользоваться предложением Great.
Вообщем, если нужно, то завтра могу принести idb-файл.

 

Частное решение. Все то хорошо, но если функцию кто-то вздумает сплайсом похукать? да и

n0name

правду говорит, разбор при том нужно делать файла на диске

 

Если я правильно понял, нужно разбирать таблицу экспорта ntdll.dll с тем, чтобы определить реальный адрес требуемой функции?

 

Дизасм начала функции в ntdll на поиск момента передачи номера сервиса.

 

Crash

Также как и с Zw** функциями в ядре

 

Нафига мапить себе ntdll, если в Zw* функциях ядра номер тоже есть

 

Great
Берем пример - ZwWriteVirtualMemory - гды ты в ядре номер найдешь?
Второй пример - ZwWriteFileGather. Таких функций хватает.

 

читать ntdll с диска

 

Deyton

Номерто есть..

Правда они неэкспортируемые.
Это уже другой вопрос)

 

На страничке http://twister.orgfree.com/other возьми файл hidetoolz1.6_driver_dis0.1.rar

Тебе понадобятся функции Get_EntryNumber_By_FuncName и GetProcAddress. В принципе, я могу дать и исходный код этих функций...

 

Давай