[求助]通过KiServiceTable索引函数的一点疑问-《加密与解密(第4版)》-看雪-安全社区|安全招聘|kanxue.com

[求助]通过KiServiceTable索引函数的一点疑问

2010-10-4 18:22 6583

[求助]通过KiServiceTable索引函数的一点疑问

IT小小鸟

2010-10-4 18:22

6583

加密与解密3第428页

lkd> dd KiServiceTable
80504940  805a4104  805f037e 805f3bcc  805f03b0
............... ................  ..............  ..............  ...............
书上说跟踪nt!ZwCreateFile设置的索引是25，通过这个表，就可以知道具体调用的内核函数，然后用了以下的命令,显示如下：
lkd> ln poi(KiServiceTable+25*4)
(80578ed2)    nt!NtCreateFile | (80578f0c)       nt!NtCreateNamedPipeFile
即nt!NtCreateFile的地址为80578ed2。但是我不是很明白，不管是16进制还是10进制，80504940+25*4都不等80578ed2啊。希望哪位知道的详细解释一下，谢谢！

阿里云助力开发者！2核2G 3M带宽不限流量！6.18限时价，开发者可享99元/年，续费同价！

收藏・0

点赞・0

打赏

最新回复 (2)
loqich 雪币： 962 活跃值： (1541) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 643 粉丝 0 关注私信	loqich 2010-10-4 19:15 2 楼 0 KiServiceTable是一个数组 [80504940+25*4] = 80578ed2
IT小小鸟雪币： 97 活跃值： (70) 能力值： ( LV4，RANK：40 ) 在线值：发帖 16 回帖 53 粉丝 0 关注私信	IT小小鸟 2010-10-4 22:51 3 楼 0 [QUOTE=loqich;867061]KiServiceTable是一个数组 [80504940+25*4] = 80578ed2[/QUOTE] 是这个地址里的值等于80578ed2吗？好久用windbg看一下
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复