[求助]通过KiServiceTable索引函数的一点疑问-《加密与解密(第4版)》-看雪-安全社区|安全招聘|kanxue.com

[求助]通过KiServiceTable索引函数的一点疑问

发表于: 2010-10-4 18:22 6681

[求助]通过KiServiceTable索引函数的一点疑问

IT小小鸟

2010-10-4 18:22

6681

加密与解密3第428页

lkd> dd KiServiceTable
80504940  805a4104  805f037e 805f3bcc  805f03b0
............... ................  ..............  ..............  ...............
书上说跟踪nt!ZwCreateFile设置的索引是25，通过这个表，就可以知道具体调用的内核函数，然后用了以下的命令,显示如下：
lkd> ln poi(KiServiceTable+25*4)
(80578ed2)    nt!NtCreateFile | (80578f0c)       nt!NtCreateNamedPipeFile
即nt!NtCreateFile的地址为80578ed2。但是我不是很明白，不管是16进制还是10进制，80504940+25*4都不等80578ed2啊。希望哪位知道的详细解释一下，谢谢！

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・0

免费・0

支持

最新回复 (2)
loqich 雪币： 952 活跃值： (1821) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 642 粉丝 0 关注私信	loqich 2 楼 KiServiceTable是一个数组 [80504940+25*4] = 80578ed2 2010-10-4 19:15 0
IT小小鸟雪币： 97 活跃值： (70) 能力值： ( LV4，RANK：40 ) 在线值：发帖 16 回帖 53 粉丝 0 关注私信	IT小小鸟 3 楼 [QUOTE=loqich;867061]KiServiceTable是一个数组 [80504940+25*4] = 80578ed2[/QUOTE] 是这个地址里的值等于80578ed2吗？好久用windbg看一下 2010-10-4 22:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

IT小小鸟

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区