SDT

Осваиваюсь с внутреним устройством Windows, вот, набросал кодес для получения данных из SDT. Например получим номер функции NtCreateProcessEx которая в Windows Vista SP1 находиться по адрессу 0x826a8fea, а в Windows XP SP2 - 0x805c5c32:

#include <ntddk.h>

extern PUSHORT NtBuildNumber;
extern PVOID KeServiceDescriptorTable;

NTSTATUS DriverEntry(IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRING RegPath)
{
 unsigned long t, t2, p, pNtCreateProcessEx;
 int i,j;
 
 switch(*NtBuildNumber){
  case 2600: //winxp
  pNtCreateProcessEx = 0x805c5c32;
  break;

  case 6001: //vista (at least sp1)
  pNtCreateProcessEx = 0x826a8fea;
  break;
 }

 DbgPrint("[+] Driver successfuly loaded\n");
 DbgPrint("SDT addr: %x\n", KeServiceDescriptorTable);

 t = *((PULONG)KeServiceDescriptorTable);
 for (i=j=0;j<=391;i+=4,j++){ 
  t2 = *((PULONG)(t+i));
  if(t2 == pNtCreateProcessEx){
   DbgPrint("NtCreateProcess index: %d addr:%x\n", j,t2);
  }
 }
 return STATUS_DEVICE_CONFIGURATION_ERROR;
}