-
-
[求助]通过KiServiceTable索引函数的一点疑问
-
2010-10-4 18:22
6564
-
[求助]通过KiServiceTable索引函数的一点疑问
加密与解密3第428页
lkd> dd KiServiceTable
80504940 805a4104 805f037e 805f3bcc 805f03b0
............... ................ .............. .............. ...............
书上说跟踪nt!ZwCreateFile设置的索引是25,通过这个表,就可以知道具体调用的内核函数,然后用了以下的命令,显示如下:
lkd> ln poi(KiServiceTable+25*4)
(80578ed2) nt!NtCreateFile | (80578f0c) nt!NtCreateNamedPipeFile
即nt!NtCreateFile的地址为80578ed2。但是我不是很明白,不管是16进制还是10进制,80504940+25*4都不等80578ed2啊。希望哪位知道的详细解释一下,谢谢!
[培训]二进制漏洞攻防(第3期);满10人开班;模糊测试与工具使用二次开发;网络协议漏洞挖掘;Linux内核漏洞挖掘与利用;AOSP漏洞挖掘与利用;代码审计。