能力值:
( LV2,RANK:10 )
|
-
-
2 楼
MSDN中有这么一句话
If the function name can be resolved, the routine returns a pointer to the function. Otherwise, the routine returns NULL.
很显然错误也在这里了~
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
而且补充下,NTcreatthread 是否是导出函数你最好确认下!
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
这个没有导出。
|
能力值:
( LV9,RANK:140 )
|
-
-
5 楼
谢谢了。。难道只能通过SSDT获取吗。。
|
能力值:
![]()
(RANK:400 )
|
-
-
6 楼
此函数没有导出...
搜索特征码也可以.
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
有2种情况
1,大家经常忽视的,就是有些函数并没有导出。也就是说在PE的导出表里没有记录。而此函数的原理就是去导出表里找。很明显会失败
2,有些杀毒软件会使用EAT钩子。这样,你会获取一个假的函数地址。往往这样一个假的函数地址指向杀毒软件驱动中的某个函数。比如微点就通过这样的方式挂钩了KeInsertQueueApc函数来进行进程的自保护。
|
|
|
|
