刚接触ssdt有几个小问题还望大伙帮忙-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (2)
blueqt 雪币： 95 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	blueqt 2 楼可以明显的看出是你的地址计算错了因为ntoskrnl.exe位于内存的核心区域内存地址一定是高于0x80000000的不可能是这么小的地址 Winhex这个软件好像也看不好核心区域的内存 97480+　(8b520- 7c000) = 88920 这个计算我没看懂说实话 - - 我查了PE格式的手册好像edata的表中的值直接是RVA 我用的是Peditor这个软件直接就可以看到 KeServiceDiscriptorTable的RVA地址也就是相对于这个ntoskrnl在内存基址的相对偏移地址然后或者用Windbg内核调试的u nt命令或者用冰刃的内核模块查看都可以看到 ntoskrnl在内存中的基址我的电脑上市0x008D8000 RAV是 0x83120 Base+RAV = 0x80556120 在Windbg上可以验证计算结果可以看到大小的值是合理的 lkd> dd KeServiceDescriptorTable 8055b120 804e36b8 00000000 0000011c 80513f38 8055b130 00000000 00000000 00000000 00000000 8055b140 00000000 00000000 00000000 00000000 查看SSDL表 lkd> dd 804e36b8 804e36b8 8058163c 80572f62 8058cc0e 8058b183 以及相应的函数 lkd> u 8058163c nt!NtAcceptConnectPort: 8058163c 689c000000 push 9Ch 2010-2-23 11:45 0
skypismire 雪币： 75 活跃值： (803) 能力值： ( LV6，RANK：90 ) 在线值：发帖 95 回帖 706 粉丝 1 关注私信	skypismire 1 3 楼多谢楼上兄台热心帮助我直接打开ntoskrnl.exe磁盘文件那么来找原始的ssdt表是不对的 2010-2-23 22:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (2)
blueqt 雪币： 95 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	blueqt 2 楼可以明显的看出是你的地址计算错了因为ntoskrnl.exe位于内存的核心区域内存地址一定是高于0x80000000的不可能是这么小的地址 Winhex这个软件好像也看不好核心区域的内存 97480+　(8b520- 7c000) = 88920 这个计算我没看懂说实话 - - 我查了PE格式的手册好像edata的表中的值直接是RVA 我用的是Peditor这个软件直接就可以看到 KeServiceDiscriptorTable的RVA地址也就是相对于这个ntoskrnl在内存基址的相对偏移地址然后或者用Windbg内核调试的u nt命令或者用冰刃的内核模块查看都可以看到 ntoskrnl在内存中的基址我的电脑上市0x008D8000 RAV是 0x83120 Base+RAV = 0x80556120 在Windbg上可以验证计算结果可以看到大小的值是合理的 lkd> dd KeServiceDescriptorTable 8055b120 804e36b8 00000000 0000011c 80513f38 8055b130 00000000 00000000 00000000 00000000 8055b140 00000000 00000000 00000000 00000000 查看SSDL表 lkd> dd 804e36b8 804e36b8 8058163c 80572f62 8058cc0e 8058b183 以及相应的函数 lkd> u 8058163c nt!NtAcceptConnectPort: 8058163c 689c000000 push 9Ch 2010-2-23 11:45 0
skypismire 雪币： 75 活跃值： (803) 能力值： ( LV6，RANK：90 ) 在线值：发帖 95 回帖 706 粉丝 1 关注私信	skypismire 1 3 楼多谢楼上兄台热心帮助我直接打开ntoskrnl.exe磁盘文件那么来找原始的ssdt表是不对的 2010-2-23 22:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复