Windows C++ 中如何不依赖函数获取系统时间？

2024-03-04 01:40:26

如何在 Windows C++ 中直接获取系统时间的绝对内存地址

在某些场景中，我们可能需要在不依赖任何函数或系统调用的情况下获取系统时间。例如，在嵌入式系统或安全关键型应用程序中，减少代码依赖性和漏洞风险至关重要。本文将探讨 Windows C++ 中是否存在一个绝对内存地址，用于存储不断更新的系统信息，包括时间。

是否存在绝对内存地址？

经调查发现，Windows C++ 中确实存在一个绝对内存地址，其中存储着一个庞大的结构，包含各种系统信息，包括时间。此结构被称为 系统服务符表 (SSDT) 。

SSDT 的结构和位置

SSDT 位于内存中的固定地址：0xFFFFF680 。它是一个包含系统服务指针的表，这些指针指向内核模式函数，可用于执行各种系统操作。

除了系统服务指针之外，SSDT 还包含其他信息，包括：

_KEVENT Event ：一个用于同步内核事件的事件对象。
_KTIMER Timer ：一个用于管理定时器的计时器对象。
_KWAIT_BLOCK WaitBlock ：一个用于管理线程等待状态的等待块。

从 SSDT 获取系统时间

要从 SSDT 获取系统时间，可以执行以下步骤：

将 SSDT 的地址（0xFFFFF680）转换为指针。
偏移指针到 Event 字段（偏移量为 0x110）。
解引用 Event 字段以获取 Event 对象。
访问 Event 对象的 TimeStamp 字段（偏移量为 0x50）以获取 64 位整数时间戳。

示例代码

以下示例代码演示了如何从 SSDT 获取系统时间：

#include <iostream>

using namespace std;

int main() {
  // 将 SSDT 的地址转换为指针
  volatile unsigned long* ssdt = (volatile unsigned long*)0xFFFFF680;

  // 偏移到 Event 字段
  ssdt += 0x110;

  // 解引用 Event 字段以获取 Event 对象
  volatile KEVENT* event = (volatile KEVENT*)*ssdt;

  // 访问 TimeStamp 字段以获取时间戳
  __int64 timestamp = event->TimeStamp;

  // 将时间戳转换为可读格式
  SYSTEMTIME systemTime;
  FileTimeToSystemTime((FILETIME*)&timestamp, &systemTime);

  cout << "系统时间：" << endl;
  cout << "  年：" << systemTime.wYear << endl;
  cout << "  月：" << systemTime.wMonth << endl;
  cout << "  日：" << systemTime.wDay << endl;
  cout << "  时：" << systemTime.wHour << endl;
  cout << "  分：" << systemTime.wMinute << endl;
  cout << "  秒：" << systemTime.wSecond << endl;

  return 0;
}