能力值:
( LV2,RANK:10 )
|
-
-
2 楼
1、获取函数地址
2、枚举模块
3、if (函数地址 大于 模块基址 && 小于 模块基址 + 模块大小)
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
未导出的要解释pdb吧,或用硬编码搜吧。。有个更好的方法,,呵呵..百度,goole,搜看雪呀
|
能力值:
( LV5,RANK:60 )
|
-
-
4 楼
看功能啊,ke在哪,io在哪,Ex在哪,hal在哪,Mm在哪,Ob在哪,Ps在哪。。。。。。。。。。。。。。。
|
能力值:
( LV5,RANK:70 )
|
-
-
5 楼
这些缩写是什么意思?
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
可以去看看 WRK 的目录结构,里面对此有很详细的说明,这些缩写都是内核 API 的前缀,
不同的前缀代表不同的意思
|
能力值:
( LV5,RANK:66 )
|
-
-
7 楼
哥们你不看内核方面的书吗?Ke表示内核相关,Mm内存相关,Ps是进程相关等等
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
ntoskrnl
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
ntoskrnl ntoskrnl ntoskrnl
|
能力值:
( LV3,RANK:30 )
|
-
-
10 楼
ntdll
最简单的方法,看msdn
|
能力值:
( LV15,RANK:520 )
|
-
-
11 楼
最简单的方法是自己写个函数暴力搜索工具。经过鉴定。楼上几位大牛的方法都无效。至于函数暴力搜索可以查看一下论坛的KSSD库。
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
这个比较靠谱
|
能力值:
( LV7,RANK:100 )
|
-
-
13 楼
您是怎么鉴定的?
我觉得2F、3F的方法都可行.
|
能力值:
(RANK:400 )
|
-
-
14 楼
不要这么红果果的说穿嘛。
其实我倒是想知道他怎么个暴力搜索法,哈哈。
|
能力值:
( LV2,RANK:10 )
|
-
-
15 楼
笨奔说得有道理
我觉得
|
能力值:
( LV7,RANK:100 )
|
-
-
16 楼
灰灰牛~
同样好奇暴力搜索,求科普...
|
|
|