请教一下内核里怎么取函数地址-经典问答-看雪-安全社区|安全招聘|kanxue.com

aabbccd

2009-11-18 22:47

4024

windows 的api 可以用 LoadLibrary 和 GetProcAddress ，
内核里也应可以吧

WinDbg 用u nt!NtOpenProcess 就可以直接出现 nt!NtOpenProcess 的代码

收藏・0

免费・0

支持

最新回复 (2)
北极狐狸雪币： 2368 活跃值： (81) 能力值： (RANK：300 ) 在线值：发帖 46 回帖 1342 粉丝 0 关注私信	北极狐狸 7 2 楼 WinDbg 中有符号文件。所以有这个效果... 2009-11-18 23:11 0
scz 雪币： 4835 活跃值： (3837) 能力值： ( LV12，RANK：230 ) 在线值：发帖 14 回帖 252 粉丝 68 关注私信	scz 5 3 楼 DDK里查MmGetSystemRoutineAddress()，不过有限制，更通用的参这个: [27] Implementation of GetProcAddress and GetModuleHandle for Windows NT3.51/NT4/2000/XP/2003/Vista kernel mode, both 32 and 64 bit platforms http://alter.org.ua/en/docs/nt_kernel/procaddr/ 自己解析PE文件。 2009-11-19 09:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复