[求助]HOOK SSDT中常用SYSTEMSERVICE宏的原理-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (4)
鹿剑雪币： 284 活跃值： (106) 能力值： ( LV9，RANK：160 ) 在线值：发帖 24 回帖 187 粉丝 1 关注私信	鹿剑 3 2 楼并不是所有SSDT函数都是导出的，使用那个宏的前提就是函数已经被内核导出了，而以ZwCreateFile为例： 8042fa70 b820000000 mov eax,0x20 8042fa75 8d542404 lea edx,[esp+0x4] 8042fa79 cd2e int 2e 8042fa7b c22c00 ret 0x2c ((PUCHAR)_func+1)的值是8042fa71所以*((PUCHAR)_func+1)是0x20 2010-6-5 14:50 0
gzsmhf 雪币： 247 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 154 粉丝 0 关注私信	gzsmhf 3 楼只要zw的函数导出了，就能获取到nt的地址第一句mov eax,0x20 0x20就是SSDT表中NtCreateFile的索引号 2010-6-5 18:34 0
superhard 雪币： 183 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 11 粉丝 0 关注私信	superhard 4 楼谢谢！ 2010-6-5 18:59 0
gotiger 雪币： 243 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 54 粉丝 0 关注私信	gotiger 5 楼这个问题老帖子很多人问，自己搜索下也比问方便哦。学习方法很重要 2010-6-5 19:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (4)
鹿剑雪币： 284 活跃值： (106) 能力值： ( LV9，RANK：160 ) 在线值：发帖 24 回帖 187 粉丝 1 关注私信	鹿剑 3 2 楼并不是所有SSDT函数都是导出的，使用那个宏的前提就是函数已经被内核导出了，而以ZwCreateFile为例： 8042fa70 b820000000 mov eax,0x20 8042fa75 8d542404 lea edx,[esp+0x4] 8042fa79 cd2e int 2e 8042fa7b c22c00 ret 0x2c ((PUCHAR)_func+1)的值是8042fa71所以*((PUCHAR)_func+1)是0x20 2010-6-5 14:50 0
gzsmhf 雪币： 247 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 36 回帖 154 粉丝 0 关注私信	gzsmhf 3 楼只要zw的函数导出了，就能获取到nt的地址第一句mov eax,0x20 0x20就是SSDT表中NtCreateFile的索引号 2010-6-5 18:34 0
superhard 雪币： 183 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 11 粉丝 0 关注私信	superhard 4 楼谢谢！ 2010-6-5 18:59 0
gotiger 雪币： 243 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 54 粉丝 0 关注私信	gotiger 5 楼这个问题老帖子很多人问，自己搜索下也比问方便哦。学习方法很重要 2010-6-5 19:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复