首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. ¥付费问答
    3. 发新帖
[旧帖] [求助]KeAttachProcess与KiAttachProcess的区别和联系 0.00雪花
2012-2-11 10:29 4852

[旧帖] [求助]KeAttachProcess与KiAttachProcess的区别和联系 0.00雪花

yuanwujia 活跃值
2012-2-11 10:29
4852
KeAttachProcess和KiAttachProcess这两个函数有什么区别吗?
我看过KeAttachProcess的反汇编,它先后两次调用过KiAttachProcess。
当我使用MmGetSystemRoutineAddress时,无法获取KiAttachProcess的地址。
而同样的函数却可以获取KeAttachProcess的地址。这是为什么呢?
我后来查MSDN,发现有这样一行说明
” It can only be used for routines exported by the kernel or HAL, not for any driver-defined routine.“
这是不是说明 KeAttachProcess exported by kernel or HAL,while KiAttachProcess didn't?
这里HAL是什么啊?KiAttachProcess 是由谁exports的呢?

小弟新手,先在这拜谢各位了。谢谢!!!

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》,视频+靶场+题目!助力进入CTF世界

收藏
点赞0
打赏
分享
最新回复 (3)
笨奔
雪    币: 415
活跃值: (34)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
私信
笨奔 1 2012-2-11 10:45
2
0
KeAttachProcess() 函数只是进行了一些相关参数的设置和系统环
境的判断后简单的调用了 KiAttachProcess() 函数
yuanwujia
雪    币: 2
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
yuanwujia 2012-2-15 20:35
3
0
谢谢!
不过使用MmGetSystemRoutineAddress时,无法获取KiAttachProcess的地址。
KiAttachProcess 是由谁exports的呢?
DreamForest
雪    币: 37
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
DreamForest 2022-7-29 07:22
4
0
yuanwujia 谢谢! 不过使用MmGetSystemRoutineAddress时,无法获取KiAttachProcess的地址。 KiAttachProcess 是由谁exports的呢?
Ki开头的函数都不导出
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回