首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 经典问答
    3. 发新帖
请教一下 内核里怎么取函数地址
发表于: 2009-11-18 22:47 4242

请教一下 内核里怎么取函数地址

aabbccd 活跃值
2009-11-18 22:47
4242
windows 的api 可以用 LoadLibrary  和 GetProcAddress ,
内核里也应可以吧

WinDbg 用u nt!NtOpenProcess 就可以直接出现 nt!NtOpenProcess 的代码

[培训]传播安全知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (2)
北极狐狸
雪    币: 2368
活跃值: (86)
能力值: (RANK:300 )
在线值:
发帖
回帖
粉丝
私信
2
WinDbg 中有符号文件。所以有这个效果...
2009-11-18 23:11
0
scz
雪    币: 6898
活跃值: (5517)
能力值: ( LV12,RANK:270 )
在线值:
发帖
回帖
粉丝
私信
3
DDK里查MmGetSystemRoutineAddress(),不过有限制,更通用的参这个:

[27] Implementation of GetProcAddress and GetModuleHandle for Windows NT3.51/NT4/2000/XP/2003/Vista kernel mode, both 32 and 64 bit platforms
     56bK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3q4D9N6r3g2J5i4K6u0W2L8%4u0Y4i4K6u0W2N6h3q4Q4x3V1k6W2L8W2)9J5c8X3c8G2j5%4y4Q4x3V1k6F1N6q4)9#2k6X3E0W2M7X3&6W2L8q4)9J5c8Y4m8J5L8$3y4S2k6r3c8J5i4K6u0r3

自己解析PE文件。
2009-11-19 09:42
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回