首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[求助]MmGetSystemRoutineAddress获取不到函数地址
发表于: 2011-6-28 11:36 6247

[求助]MmGetSystemRoutineAddress获取不到函数地址

Kael 活跃值
2011-6-28 11:36
6247
RtlInitUnicodeString(&name,L"NtCreateThread");
DbgPrint("name: %wZ",&name);
Address = (ULONG)MmGetSystemRoutineAddress(&name);
DbgPrint("address: %d",Address);

地址一直是0,不知道为什么。。。

[课程]Linux pwn 探索篇!

收藏
免费 0
支持
分享
最新回复 (6)
gezz
雪    币: 88
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
MSDN中有这么一句话
If the function name can be resolved, the routine returns a pointer to the function. Otherwise, the routine returns NULL.

很显然错误也在这里了~
2011-6-28 11:52
0
gezz
雪    币: 88
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
而且补充下,NTcreatthread 是否是导出函数你最好确认下!
2011-6-28 11:56
0
五德转移
雪    币: 6857
活跃值: (3348)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
这个没有导出。
2011-6-28 12:13
0
Kael
雪    币: 2422
活跃值: (3578)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
私信
5
谢谢了。。难道只能通过SSDT获取吗。。
2011-6-28 12:23
0
莫灰灰
雪    币: 2177
活跃值: (2045)
能力值: (RANK:400 )
在线值:
发帖
回帖
粉丝
私信
6
此函数没有导出...
搜索特征码也可以.
2011-6-28 12:54
0
kxyankai
雪    币: 103
活跃值: (56)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
有2种情况
1,大家经常忽视的,就是有些函数并没有导出。也就是说在PE的导出表里没有记录。而此函数的原理就是去导出表里找。很明显会失败
2,有些杀毒软件会使用EAT钩子。这样,你会获取一个假的函数地址。往往这样一个假的函数地址指向杀毒软件驱动中的某个函数。比如微点就通过这样的方式挂钩了KeInsertQueueApc函数来进行进程的自保护。
2011-6-28 15:11
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//