[求助]要得到shadow SSDT的一些函数的地址,必须要跟GUI程序通信吗?-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[求助]要得到shadow SSDT的一些函数的地址,必须要跟GUI程序通信吗?

发表于: 2010-4-10 13:05 5008

[求助]要得到shadow SSDT的一些函数的地址,必须要跟GUI程序通信吗?

imdemon

2010-4-10 13:05

5008

VOID GetRoutineFromShadowSSDT()
{
KeServiceDescriptorTableShadow=(PSERVICE_DESCRIPTOR_TABLE)GetShadowTableAddress();

//这句蓝屏
OldMy =
(ULONG)KeServiceDescriptorTableShadow[1].ServiceTableBase[My_callnumber];

}

我搜索了网上的解释,说win32k.sys不是常在内存的...win32k.sys怎么会不是常在内存..win32k.sys是win32子系统的核心组件....不会不是常驻内存的吧?

我的理解上是不是有问题?哪位朋友能给一些资料让我补习一下?多谢了?

我希望最好能在DriverEntry里就得到shadow SSDT的一些函数的地址...能给一些帮助吗?

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

#系统底层

收藏・1

免费・0

支持

最新回复 (3)
loqich 雪币： 952 活跃值： (1821) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 642 粉丝 0 关注私信	loqich 2 楼 attch 到有窗口的进程空间 2010-4-10 13:58 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 3 楼非System,非smss进程即可。http://hi.baidu.com/%5Fachillis/blog/item/da88bb195b75ef0c34fa4173.html 2010-4-11 12:39 0
imdemon 雪币： 53 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 56 回帖 192 粉丝 0 关注私信	imdemon 4 楼谢谢哥~敬佩你在技术上的态度以及不吝赐教的友好... 2010-4-12 00:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

imdemon

发帖

192

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
loqich 雪币： 952 活跃值： (1821) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 642 粉丝 0 关注私信	loqich 2 楼 attch 到有窗口的进程空间 2010-4-10 13:58 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 3 楼非System,非smss进程即可。http://hi.baidu.com/%5Fachillis/blog/item/da88bb195b75ef0c34fa4173.html 2010-4-11 12:39 0
imdemon 雪币： 53 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 56 回帖 192 粉丝 0 关注私信	imdemon 4 楼谢谢哥~敬佩你在技术上的态度以及不吝赐教的友好... 2010-4-12 00:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复