[求助]学习rootkit遇到的问题-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
evilkis 雪币： 596 活跃值： (449) 能力值： ( LV12，RANK：320 ) 在线值：发帖 15 回帖 509 粉丝 8 关注私信	evilkis 7 2 楼原理:B8 3E 00 00 00 mov eax, 3Eh 2011-6-4 20:22 0
hawkish 雪币： 258 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 137 粉丝 0 关注私信	hawkish 1 3 楼这个式子是通过ntoskerl.exe导出的Zw函数的地址来获得相应的在SSDT表中Nt函数的地址所有Zw函数都是以mov EAX,ULONG开始的，ULONG为对应在SSDT表中的索引号 (PUCHAR)FuncName是该Zw函数在内存中的地址 (PUCHAR)FuncName+1就是那个对应的ULONG索引在内存中的地址 (PULONG)((PUCHAR)FuncName+1)就是取出这个ULONG索引值，假设等于index KeServiceDescriptorTable.ServiceTableBase[index]就是对应的SSDT表中对应的Nt函数的地址 2011-6-4 20:30 0
heyuehui 雪币： 211 活跃值： (77) 能力值： ( LV7，RANK：110 ) 在线值：发帖 16 回帖 65 粉丝 1 关注私信	heyuehui 2 4 楼要是这样的话FuncName不就应该是地址了吗，可是rootkit里面传入的好像不是地址啊。。 2011-6-4 21:03 0
wulongxian 雪币： 242 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 51 粉丝 0 关注私信	wulongxian 5 楼 [URL="http://bbs.pediy.com/showthread.php?t=42422&highlight=%E5%BF%85%E5%A4%87+%E5%A4%87%E7%BB%9D+%E7%BB%9D%E6%8A%80"][URL="http://bbs.pediy.com/showthread.php?t=62843"]http://bbs.pediy.com/showthread.php?t=62843[/URL][/URL]看看这里你就会明白了 2011-6-4 21:34 0
hawkish 雪币： 258 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 137 粉丝 0 关注私信	hawkish 1 6 楼传入的是地址，你声明了一个导出函数Zw*,例如是 //导出函数声明 NTSYSAPI NTSTATUS NTAPI ZwQuerySystemInformation( IN ULONG SystemInformationClass, // 该值为5时代表系统中所有的进程信息 IN PVOID SystemInformation, // 最终列举的信息 IN ULONG SystemInformationLength, // 大小 OUT PULONG ReturnLength); 声明之后你在程序中使用ZwQuerySystemInformation作为变量，他代表的就是系统中该函数的地址 2011-6-5 10:29 0
heyuehui 雪币： 211 活跃值： (77) 能力值： ( LV7，RANK：110 ) 在线值：发帖 16 回帖 65 粉丝 1 关注私信	heyuehui 2 7 楼谢谢各位热心的帮助，结贴了。。 2011-6-5 12:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
evilkis 雪币： 596 活跃值： (449) 能力值： ( LV12，RANK：320 ) 在线值：发帖 15 回帖 509 粉丝 8 关注私信	evilkis 7 2 楼原理:B8 3E 00 00 00 mov eax, 3Eh 2011-6-4 20:22 0
hawkish 雪币： 258 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 137 粉丝 0 关注私信	hawkish 1 3 楼这个式子是通过ntoskerl.exe导出的Zw函数的地址来获得相应的在SSDT表中Nt函数的地址所有Zw函数都是以mov EAX,ULONG开始的，ULONG为对应在SSDT表中的索引号 (PUCHAR)FuncName是该Zw函数在内存中的地址 (PUCHAR)FuncName+1就是那个对应的ULONG索引在内存中的地址 (PULONG)((PUCHAR)FuncName+1)就是取出这个ULONG索引值，假设等于index KeServiceDescriptorTable.ServiceTableBase[index]就是对应的SSDT表中对应的Nt函数的地址 2011-6-4 20:30 0
heyuehui 雪币： 211 活跃值： (77) 能力值： ( LV7，RANK：110 ) 在线值：发帖 16 回帖 65 粉丝 1 关注私信	heyuehui 2 4 楼要是这样的话FuncName不就应该是地址了吗，可是rootkit里面传入的好像不是地址啊。。 2011-6-4 21:03 0
wulongxian 雪币： 242 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 51 粉丝 0 关注私信	wulongxian 5 楼 [URL="http://bbs.pediy.com/showthread.php?t=42422&highlight=%E5%BF%85%E5%A4%87+%E5%A4%87%E7%BB%9D+%E7%BB%9D%E6%8A%80"][URL="http://bbs.pediy.com/showthread.php?t=62843"]http://bbs.pediy.com/showthread.php?t=62843[/URL][/URL]看看这里你就会明白了 2011-6-4 21:34 0
hawkish 雪币： 258 活跃值： (40) 能力值： ( LV4，RANK：50 ) 在线值：发帖 6 回帖 137 粉丝 0 关注私信	hawkish 1 6 楼传入的是地址，你声明了一个导出函数Zw*,例如是 //导出函数声明 NTSYSAPI NTSTATUS NTAPI ZwQuerySystemInformation( IN ULONG SystemInformationClass, // 该值为5时代表系统中所有的进程信息 IN PVOID SystemInformation, // 最终列举的信息 IN ULONG SystemInformationLength, // 大小 OUT PULONG ReturnLength); 声明之后你在程序中使用ZwQuerySystemInformation作为变量，他代表的就是系统中该函数的地址 2011-6-5 10:29 0
heyuehui 雪币： 211 活跃值： (77) 能力值： ( LV7，RANK：110 ) 在线值：发帖 16 回帖 65 粉丝 1 关注私信	heyuehui 2 7 楼谢谢各位热心的帮助，结贴了。。 2011-6-5 12:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复