[讨论]MmGetSystemRoutineAddress 得不到 NtReadVirtualMemory 地址-编程技术-看雪-安全社区|安全招聘|kanxue.com

最新回复 (12)
天涯一鸿雪币： 1050 活跃值： (1208) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 0 关注私信	天涯一鸿 2 楼 MmGetSystemRoutineAddress只能获取导出的函数啊……NtReadVirtualMemory的话，根据ZwReadVirtualMemory 的索引查SSDT咯…… 2011-10-14 17:18 0
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 3 楼楼上的兄弟啊回的速度好快感谢你这样不对啊，你这样不能得到 NtReadVirtualMemory的原始地址假如SSDT HOOK了这个函数那你这样得到的是别人HOOK过后的函数了比如XT像你这样做的话就不能正确显示原始地址了 2011-10-14 17:20 0
天涯一鸿雪币： 1050 活跃值： (1208) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 0 关注私信	天涯一鸿 4 楼 ~~~~内存里面被改了那只能从磁盘文件查啊~ 2011-10-14 17:36 0
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 5 楼磁盘文件查找还不知道研究下我晕好像这个函数得到的就是 ntkrnlpa.dll 导出的函数但是还是没有 NtReadVirtualMemory 2011-10-14 17:45 0
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 6 楼研究了下还是不知道怎么弄希望兄长指点指点小弟弟啊 2011-10-14 18:47 0
thisIs 雪币： 535 活跃值： (245) 能力值： ( LV12，RANK：400 ) 在线值：发帖 16 回帖 73 粉丝 9 关注私信	thisIs 9 7 楼非导出函数一般做法就是根据系统版本硬编码 2011-10-14 20:24 0
天涯一鸿雪币： 1050 活跃值： (1208) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 0 关注私信	天涯一鸿 8 楼 LoadLibrary("ntoskrnl.exe") ，GetProcAddress （拿SDT表地址）,算一下地址，算一下偏移~ 仅供参考，请大家多多耻笑…… 2011-10-14 22:17 0
honffx 雪币： 230 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 134 粉丝 0 关注私信	honffx 9 楼这样也可以啊。。。。？晕 2011-10-15 02:40 0
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 10 楼洪哥正解我正在组织这个代码不过PE结构绕过去绕过来的很老火谢谢你啦！ 2011-10-15 10:01 0
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 11 楼呵呵我真想硬编码啊。但是比如TP要改这个函数但是要在每个机器上运行这样就不行了吧纯技术研究 2011-10-15 10:05 0
天涯一鸿雪币： 1050 活跃值： (1208) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 0 关注私信	天涯一鸿 12 楼硬编码实在是……SDT索引在NTDLL全部可以拿到……不过要是shadow的就~~嘿嘿~ 2011-10-15 10:39 0
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 13 楼恩就是啊，SSDT还导出了 KeDescriptorServiceTable 但是SHADOW就没导出的了呼呼不过估计还是有方法吧暂时不用去考虑这个问题 2011-10-15 11:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (12)
天涯一鸿雪币： 1050 活跃值： (1208) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 0 关注私信	天涯一鸿 2 楼 MmGetSystemRoutineAddress只能获取导出的函数啊……NtReadVirtualMemory的话，根据ZwReadVirtualMemory 的索引查SSDT咯…… 2011-10-14 17:18 0
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 3 楼楼上的兄弟啊回的速度好快感谢你这样不对啊，你这样不能得到 NtReadVirtualMemory的原始地址假如SSDT HOOK了这个函数那你这样得到的是别人HOOK过后的函数了比如XT像你这样做的话就不能正确显示原始地址了 2011-10-14 17:20 0
天涯一鸿雪币： 1050 活跃值： (1208) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 0 关注私信	天涯一鸿 4 楼 ~~~~内存里面被改了那只能从磁盘文件查啊~ 2011-10-14 17:36 0
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 5 楼磁盘文件查找还不知道研究下我晕好像这个函数得到的就是 ntkrnlpa.dll 导出的函数但是还是没有 NtReadVirtualMemory 2011-10-14 17:45 0
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 6 楼研究了下还是不知道怎么弄希望兄长指点指点小弟弟啊 2011-10-14 18:47 0
thisIs 雪币： 535 活跃值： (245) 能力值： ( LV12，RANK：400 ) 在线值：发帖 16 回帖 73 粉丝 9 关注私信	thisIs 9 7 楼非导出函数一般做法就是根据系统版本硬编码 2011-10-14 20:24 0
天涯一鸿雪币： 1050 活跃值： (1208) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 0 关注私信	天涯一鸿 8 楼 LoadLibrary("ntoskrnl.exe") ，GetProcAddress （拿SDT表地址）,算一下地址，算一下偏移~ 仅供参考，请大家多多耻笑…… 2011-10-14 22:17 0
honffx 雪币： 230 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 134 粉丝 0 关注私信	honffx 9 楼这样也可以啊。。。。？晕 2011-10-15 02:40 0
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 10 楼洪哥正解我正在组织这个代码不过PE结构绕过去绕过来的很老火谢谢你啦！ 2011-10-15 10:01 0
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 11 楼呵呵我真想硬编码啊。但是比如TP要改这个函数但是要在每个机器上运行这样就不行了吧纯技术研究 2011-10-15 10:05 0
天涯一鸿雪币： 1050 活跃值： (1208) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 440 粉丝 0 关注私信	天涯一鸿 12 楼硬编码实在是……SDT索引在NTDLL全部可以拿到……不过要是shadow的就~~嘿嘿~ 2011-10-15 10:39 0
游戏蛀虫雪币： 204 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 41 回帖 531 粉丝 0 关注私信	游戏蛀虫 13 楼恩就是啊，SSDT还导出了 KeDescriptorServiceTable 但是SHADOW就没导出的了呼呼不过估计还是有方法吧暂时不用去考虑这个问题 2011-10-15 11:52 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复