|
关于VS2013驱动开发虚拟机串行调试
我们都是急于求成的,想走捷径的人。思路就错了!基础不牢地动山摇!还是要打基础,一步一步来才能学好!网上各种速成教程都有点儿下猛药的嫌疑! |
|
内核模式读取,导出表函数传地址问题
[QUOTE=h辉;1357766]functionOrdinal = arrayOfFunctionOrdinals[x] + Base - 1; 这行后面参与计算的 arrayOfFunctionOrdinals[x] 和 Base 至少有一个参数前面要加强制声名 (PVOID) 或者 (ULONGLONG) 或 (size_t)...[/QUOTE] 感谢你的回复我尝试一下,同样的代码在应用层执行是没有问题的!但是到了内核层就不对了!那个地址高位不知道怎么了! |
|
内核模式读取,导出表函数传地址问题
感谢瀚海云烟!这两个结构体都可以输出正确信息,64位系统下好像前面那是个ULONG型的成员是几个时间信息.这个不是关键,刚才我的代码有错误. |
|
内核模式读取,导出表函数传地址问题
显示ZwQuerySystemInformation函数返回的值c0000004 返回的模块信息字节数8bf0 基本堆栈分配是否成功FFFFFA800361C000 二次调用ZwQuerySystemInformation返回的缓冲区字节数8bf0 模块数量121 名字和路径\SystemRoot\system32\ntoskrnl.exe [I]基地址FFFFF80004A0F000[/I] //这是读出来的ntoskrnl.exe基地址 大小5e5000 pModuleList对应的地址FFFFFA800361C000 \SystemRoot\system32\ntoskrnl.exe \SystemRoot\system32\hal.dll \SystemRoot\system32\kdcom.dll \SystemRoot\system32\mcupdate_GenuineIntel.dll \SystemRoot\system32\PSHED.dll \SystemRoot\system32\CLFS.SYS \SystemRoot\system32\CI.dll \SystemRoot\system32\drivers\Wdf01000.sys \SystemRoot\system32\drivers\WDFLDR.SYS \SystemRoot\system32\drivers\ACPI.sys \SystemRoot\system32\drivers\WMILIB.SYS \SystemRoot\system32\drivers\msisadrv.sys \SystemRoot\system32\drivers\pci.sys \SystemRoot\system32\drivers\vdrvroot.sys \SystemRoot\System32\drivers\partmgr.sys \SystemRoot\system32\drivers\compbatt.sys \SystemRoot\system32\drivers\BATTC.SYS \SystemRoot\system32\drivers\volmgr.sys \SystemRoot\System32\drivers\volmgrx.sys \SystemRoot\system32\drivers\intelide.sys \SystemRoot\system32\drivers\PCIIDEX.SYS \SystemRoot\system32\DRIVERS\vmci.sys \SystemRoot\System32\drivers\mountmgr.sys \SystemRoot\system32\drivers\nvraid.sys \SystemRoot\system32\drivers\CLASSPNP.SYS \SystemRoot\system32\drivers\vsock.sys \SystemRoot\system32\drivers\atapi.sys \SystemRoot\system32\drivers\ataport.SYS \SystemRoot\system32\drivers\lsi_sas.sys \SystemRoot\system32\drivers\storport.sys \SystemRoot\system32\drivers\amdsata.sys \SystemRoot\system32\drivers\amdxata.sys \SystemRoot\system32\drivers\amd_xata.sys \SystemRoot\system32\drivers\fltmgr.sys \SystemRoot\system32\drivers\fileinfo.sys \SystemRoot\System32\Drivers\Ntfs.sys \SystemRoot\System32\Drivers\msrpc.sys \SystemRoot\System32\Drivers\ksecdd.sys \SystemRoot\System32\Drivers\cng.sys \SystemRoot\System32\drivers\pcw.sys \SystemRoot\System32\Drivers\Fs_Rec.sys \SystemRoot\system32\drivers\ndis.sys \SystemRoot\system32\drivers\NETIO.SYS \SystemRoot\System32\Drivers\ksecpkg.sys \SystemRoot\System32\drivers\tcpip.sys \SystemRoot\System32\drivers\fwpkclnt.sys \SystemRoot\system32\drivers\vmstorfl.sys \SystemRoot\system32\drivers\volsnap.sys \SystemRoot\System32\Drivers\spldr.sys \SystemRoot\System32\drivers\rdyboost.sys \SystemRoot\System32\Drivers\mup.sys \SystemRoot\system32\drivers\iaStorF.sys \SystemRoot\System32\drivers\hwpolicy.sys \SystemRoot\System32\DRIVERS\fvevol.sys \SystemRoot\system32\drivers\disk.sys \SystemRoot\system32\DRIVERS\cdrom.sys \SystemRoot\System32\Drivers\Null.SYS \SystemRoot\System32\Drivers\Beep.SYS \??\C:\Program Files\VMware\VMware Tools\vmrawdsk.sys \SystemRoot\System32\drivers\vga.sys \SystemRoot\System32\drivers\VIDEOPRT.SYS \SystemRoot\System32\drivers\watchdog.sys \SystemRoot\System32\DRIVERS\RDPCDD.sys \SystemRoot\system32\drivers\rdpencdd.sys \SystemRoot\system32\drivers\rdprefmp.sys \SystemRoot\System32\Drivers\Msfs.SYS \SystemRoot\System32\Drivers\Npfs.SYS \SystemRoot\system32\DRIVERS\tdx.sys \SystemRoot\system32\DRIVERS\TDI.SYS \SystemRoot\system32\drivers\afd.sys \SystemRoot\System32\DRIVERS\netbt.sys \SystemRoot\system32\drivers\ws2ifsl.sys \SystemRoot\system32\DRIVERS\wfplwf.sys \SystemRoot\system32\DRIVERS\pacer.sys \SystemRoot\system32\DRIVERS\netbios.sys \SystemRoot\system32\drivers\vmhgfs.sys \SystemRoot\system32\DRIVERS\serial.sys \SystemRoot\system32\DRIVERS\wanarp.sys \SystemRoot\system32\DRIVERS\termdd.sys \SystemRoot\system32\DRIVERS\rdbss.sys \SystemRoot\system32\drivers\nsiproxy.sys \SystemRoot\system32\DRIVERS\mssmbios.sys \SystemRoot\System32\drivers\discache.sys \SystemRoot\system32\drivers\csc.sys \SystemRoot\System32\Drivers\dfsc.sys \SystemRoot\system32\DRIVERS\blbdrive.sys \SystemRoot\system32\DRIVERS\tunnel.sys \SystemRoot\system32\DRIVERS\i8042prt.sys \SystemRoot\system32\DRIVERS\kbdclass.sys \SystemRoot\system32\DRIVERS\vmmouse.sys \SystemRoot\system32\DRIVERS\mouclass.sys \SystemRoot\system32\DRIVERS\parport.sys \SystemRoot\system32\DRIVERS\serenum.sys \SystemRoot\system32\DRIVERS\vm3dmp.sys \SystemRoot\System32\drivers\dxgkrnl.sys \SystemRoot\System32\drivers\dxgmms1.sys \SystemRoot\system32\DRIVERS\usbuhci.sys \SystemRoot\system32\DRIVERS\USBPORT.SYS \SystemRoot\system32\DRIVERS\E1G6032E.sys \SystemRoot\system32\DRIVERS\HDAudBus.sys \SystemRoot\system32\DRIVERS\CmBatt.sys \SystemRoot\system32\DRIVERS\intelppm.sys \SystemRoot\system32\DRIVERS\pnpmem.sys \SystemRoot\system32\DRIVERS\CompositeBus.sys \SystemRoot\system32\DRIVERS\AgileVpn.sys \SystemRoot\system32\DRIVERS\rasl2tp.sys \SystemRoot\system32\DRIVERS\ndistapi.sys \SystemRoot\system32\DRIVERS\ndiswan.sys \SystemRoot\system32\DRIVERS\raspppoe.sys \SystemRoot\system32\DRIVERS\raspptp.sys \SystemRoot\system32\DRIVERS\rassstp.sys \SystemRoot\system32\DRIVERS\swenum.sys \SystemRoot\system32\DRIVERS\ks.sys \SystemRoot\system32\DRIVERS\umbus.sys \SystemRoot\system32\DRIVERS\EATTable.sys \Windows\System32\ntdll.dll \Windows\System32\smss.exe \Windows\System32\apisetschema.dll \Windows\System32\autochk.exe \Windows\System32\advapi32.dll \Windows\System32\wininet.dll GetKernelModuleInfo返回值为真 [I]ulModuleBase的值0000000004A0F000[/I] //高位不见了 [I]pDosHeader的地址FFFFF880045B9F68[/I] //偏了好远,不知是个什么值 错误依然如此,不过你用这个32位的结构体竟然能打印正确信息,俺要学习一下,不对错误更严重了,传递至把64位地址的高位给丢了!直接连PE标志位的什么信息都没有读出来 |
|
内核模式读取,导出表函数传地址问题
哥们你还停留在32位时代,你说的那个代码64位什么都读不出来! |
|
关于VS2013驱动开发虚拟机串行调试
这帖子要沉呀,估计没几个人试过 |
|
关于VS2013驱动开发虚拟机串行调试
告诉大牛一个非常不好的消息,VS2013已经把驱动编译的工作全部接收了,WDK8.1木有WDD工具了,只能在VS2013中进行,而且2013编译是提供免费签名整数的,是测试证书允许个人和小公司运行! |
|
关于VS2013驱动开发虚拟机串行调试
大神能提供相关调试教程吗? |
|
关于VS2013驱动开发虚拟机串行调试
调试模式已经开始winDBG是可以正常运行的,但是驱动还是不能启动,都是可以加载成功的,不能启动驱动服务,软件签名后点启动,虚拟机就直接崩溃了! |
|
关于64位win7系统读取PE文件函数导出表的问题,求大牛帮忙
代码本身没有问题,只要把那两个结构体改回去就完事大吉了 |
|
关于64位win7系统读取PE文件函数导出表的问题,求大牛帮忙
一切都是我自作聪明惹得祸!!!明明直到k32是32为的dll,却把 PIMAGE_NT_HEADERS64 NtDllHeader; //nt结构头 IMAGE_OPTIONAL_HEADER64 opthdr; //可选镜像头部 这两个结构体改成64位的结构体,驴唇不对马嘴,当人读出来都是0 |
|
关于64位win7系统读取PE文件函数导出表的问题,求大牛帮忙
[QUOTE=风间仁;1355324]ULONG_PTR理解有问题 int _tmain(int argc, _TCHAR* argv[]) { printf("%d\n", sizeof(DWORD)); ULONG_PTR ulModuleBase; ulModuleBase = (ULONG_PTR)GetModuleH...[/QUOTE] 大神能不能具体指导一下,让我偷个懒 |
|
关于64位win7系统读取PE文件函数导出表的问题,求大牛帮忙
[QUOTE=风间仁;1355324]ULONG_PTR理解有问题 int _tmain(int argc, _TCHAR* argv[]) { printf("%d\n", sizeof(DWORD)); ULONG_PTR ulModuleBase; ulModuleBase = (ULONG_PTR)GetModuleH...[/QUOTE] 还是位数的问题,通过了,谢谢 |
|
关于64位win7系统读取PE文件函数导出表的问题,求大牛帮忙
教程本身是在32为上演示的一点儿问题都没有,上面的大哥说的应该有道理,为问题本身应该和位数是有关系的,突出反应的两个本来不该为0的成员值都是0,然后就是内存不能读.咋改能通过,谁指教一下啊! |
|
关于64位win7系统读取PE文件函数导出表的问题,求大牛帮忙
用了无数printf函数,问题关键不在位数上面,关键问题所有的结构体的成员都能正常读取,但是哪两个都是0,这个很严重,网上说是符号加载失败,但是本质上为什么没有说,有大牛帮忙改改这个代码也行! ULONG_PTR我查阅相关资料,是32位的,64为就会报警,几个相关的数组都没有超过32位,也许我认识不足!!! |
|
关于64位win7系统读取PE文件函数导出表的问题,求大牛帮忙
C:\Windows\SysWOW64,用xuetu查看运行中的k32在这里,编译连接过程中也是去这个地方加载的 |
|
关于64位win7系统读取PE文件函数导出表的问题,求大牛帮忙
有大神能解决,觉得金币不足联系我,知识无价,急求大牛帮忙 |
操作理由
RANk
{{ user_info.golds == '' ? 0 : user_info.golds }}
雪币
{{ experience }}
课程经验
{{ score }}
学习收益
{{study_duration_fmt}}
学习时长
基本信息
荣誉称号:
{{ honorary_title }}
能力排名:
No.{{ rank_num }}
等 级:
LV{{ rank_lv-100 }}
活跃值:
在线值:
浏览人数:{{ visits }}
最近活跃:{{ last_active_time }}
注册时间:{{ user_info.create_date_jsonfmt }}
勋章
兑换勋章
证书
证书查询 >
能力值