首页
课程
问答
CTF
社区
招聘
看雪峰会
发现
排行榜
知识库
工具下载
看雪20年
看雪商城
证书查询
登录
注册
首页
社区
课程
招聘
发现
问答
CTF
排行榜
知识库
工具下载
看雪峰会
看雪商城
证书查询
社区
付费问答
发新帖
0
0
[旧帖]
关于SSDT函数的索引号
0.00雪花
发表于: 2012-4-15 00:50
5400
[旧帖]
关于SSDT函数的索引号
0.00雪花
Nekoxiaoji
2012-4-15 00:50
5400
关于SSDT函数的索引号,比如NtOpenProcess这个函数的索引是0x7A(122),我想问一下在所有系统都是同样索引号吗?如果不是,如何动态获取此函数的SSDT函数索引呢??
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
收藏
・
0
免费
・
0
支持
分享
分享到微信
分享到QQ
分享到微博
赞赏记录
参与人
雪币
留言
时间
查看更多
赞赏
×
1 雪花
5 雪花
10 雪花
20 雪花
50 雪花
80 雪花
100 雪花
150 雪花
200 雪花
支付方式:
微信支付
赞赏留言:
快捷留言
感谢分享~
精品文章~
原创内容~
精彩转帖~
助人为乐~
最新回复
(
8
)
sierra
雪 币:
238
活跃值:
(55)
能力值:
( LV5,RANK:70 )
在线值:
发帖
11
回帖
518
粉丝
0
关注
私信
sierra
1
2
楼
不是,从函数体中读取
2012-4-15 01:05
0
哇咔咔zs
雪 币:
130
活跃值:
(1005)
能力值:
( LV2,RANK:10 )
在线值:
发帖
70
回帖
443
粉丝
3
关注
私信
哇咔咔zs
3
楼
for (ULONG i=0;i<ServiceNumber;i++)
if(KeSSDT ->ServiceBase + i*4 == MmGetSystemRoutineAddress (L"NtOpenProcess"))
2012-4-15 04:05
0
evilor
雪 币:
297
活跃值:
(235)
能力值:
( LV4,RANK:55 )
在线值:
发帖
34
回帖
660
粉丝
2
关注
私信
evilor
4
楼
不同版本的操作系统不一样,可以判断操作系统版本指定索引
2012-4-15 09:41
0
Nekoxiaoji
雪 币:
788
活跃值:
(60)
能力值:
( LV2,RANK:10 )
在线值:
发帖
42
回帖
223
粉丝
0
关注
私信
Nekoxiaoji
5
楼
如果是获取NtReadVirtualMemory 这个地址呢??MmGetSystemRoutineAddress 这个函数只能获取导出的函数地址哦,否则返回为0
2012-4-15 11:12
0
冒险呆呆
雪 币:
33
活跃值:
(10)
能力值:
( LV2,RANK:10 )
在线值:
发帖
0
回帖
17
粉丝
0
关注
私信
冒险呆呆
6
楼
我是这么想的。。
就是不是掏出函数 和上一个套出函数的距离是不会变的 能得到上一个 套出函数的地址 再加上你先算好的距离 不就行了。。当然我不知道是不是函数距离也会变
2012-4-15 12:54
0
z许
雪 币:
1905
活跃值:
(1537)
能力值:
( LV5,RANK:60 )
在线值:
发帖
13
回帖
266
粉丝
4
关注
私信
z许
7
楼
我想知道怎么得到函数名字。。。不是解析ida,而是直接重定位ntdll。然后,怎么才能像xuetr那样和服务id相对应。。
2012-4-15 13:07
0
天法道
雪 币:
506
活跃值:
(65)
能力值:
( LV2,RANK:10 )
在线值:
发帖
3
回帖
311
粉丝
0
关注
私信
天法道
8
楼
获得函数指针,
函数体开头,会传个参数,mov eax,XXX
这个XXX就是
2012-4-18 08:18
0
Himylive
雪 币:
48
活跃值:
(11)
能力值:
( LV2,RANK:10 )
在线值:
发帖
4
回帖
30
粉丝
0
关注
私信
Himylive
9
楼
每个系统的牵引号不一定一样。
2012-4-20 09:49
0
游客
登录
|
注册
方可回帖
回帖
表情
雪币赚取及消费
高级回复
返回
Nekoxiaoji
42
发帖
223
回帖
10
RANK
关注
私信
他的文章
[求助]如何查看一个DLL是unicode编译还是ansic编译?
2610
[求助]请问如何查看一个lib文件或者dll文件是哪种运行库(runtime library)的编译类型哦,如:MT(Multi-threaded ),MD(Multi-threaded DLL )
3305
[原创]永远忘不了那天
7311
关于QQ注册手机验证问题
16763
关于我们
联系我们
企业服务
看雪公众号
专注于PC、移动、智能设备安全研究及逆向工程的开发者社区
看原图
赞赏
×
雪币:
+
留言:
快捷留言
返回
顶部