-
-
[求助]要得到shadow SSDT的一些函数的地址,必须要跟GUI程序通信吗?
-
发表于:
2010-4-10 13:05
5009
-
[求助]要得到shadow SSDT的一些函数的地址,必须要跟GUI程序通信吗?
VOID GetRoutineFromShadowSSDT()
{
KeServiceDescriptorTableShadow=(PSERVICE_DESCRIPTOR_TABLE)GetShadowTableAddress();
//这句蓝屏
OldMy =
(ULONG)KeServiceDescriptorTableShadow[1].ServiceTableBase[My_callnumber];
}
我搜索了网上的解释,说win32k.sys不是常在内存的...win32k.sys怎么会不是常在内存..win32k.sys是win32子系统的核心组件....不会不是常驻内存的吧?
我的理解上是不是有问题?哪位朋友能给一些资料让我补习一下?多谢了?
我希望最好能在DriverEntry里就得到shadow SSDT的一些函数的地址...能给一些帮助吗?
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)