[求助]MmGetSystemRoutineAddress获取不了导出函数地址！-编程技术-看雪-安全社区|安全招聘|kanxue.com

[求助]MmGetSystemRoutineAddress获取不了导出函数地址！

发表于: 2012-7-23 17:04 6367

[求助]MmGetSystemRoutineAddress获取不了导出函数地址！

痴心绝对

活跃值

2012-7-23 17:04

6367

ULONG GetNt_OldAddr()
{
UNICODE_STRING OldNtOpenProcess;
ULONG SSDT_NtOpenProcess_Old_Addr;
RtlInitUnicodeString(&OldNtOpenProcess,L"NtReadVirtualMemory");
SSDT_NtOpenProcess_Old_Addr=(ULONG)MmGetSystemRoutineAddress(&OldNtOpenProcess);
DbgPrint("SSDT_NtOpenProcess_Old_Addr=%0x\n",SSDT_NtOpenProcess_Old_Addr);
return SSDT_NtOpenProcess_Old_Addr;
}

//SSDT_NtOpenProcess_Old_Addr=0，为什么获取不了原地址啊？
我用MmGetSystemRoutineAddress获取NtOpenThread，NtOpenProcess，都可以获取到原始地址。但是NtReadVirtualMemory，NtWriteVirtualMemory，为什么不能获取呀？

[注意]看雪招聘，专注安全领域的专业人才平台！

收藏・0

免费

支持

分享

最新回复 (7)
murrackde 雪币： 135 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 45 粉丝 0 关注私信	murrackde 2 楼很明显，因为NtReadVirtualMemory，NtWriteVirtualMemory不是导出函数看一下ntoskrnl.exe的导出表不就真相大白了 2012-7-23 18:21 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 3 楼从SSDT获取吧 2012-7-23 19:19 0
痴心绝对雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 11 粉丝 0 关注私信	痴心绝对 4 楼可否给一份ntoskrnl.exe的导出表。谢谢 2012-7-23 21:18 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 5 楼又在过哪家游戏的驱动保护吧？？？？？哎，这个都求。技术不过关就好好学习，不要老是搞挂~~会有人来查水表的。 2012-7-23 21:49 0
goddkiller 雪币： 485 活跃值： (108) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 6 楼顶！确实，这年头好多人基础都没学好就学驱动~~太浮躁了 2012-7-23 21:51 0
linziqingl 雪币： 267 活跃值： (438) 能力值： ( LV9，RANK：190 ) 在线值：发帖 54 回帖 339 粉丝 6 关注私信	linziqingl 4 7 楼 xp系统的ntoskrnl.exe没有输出符号NtReadVirtualMemory 2013-1-8 13:07 0
chengqiyan 雪币： 261 活跃值： (547) 能力值： ( LV4，RANK：50 ) 在线值：发帖 21 回帖 163 粉丝 18 关注私信	chengqiyan 8 楼论坛置顶帖有教程啊！枚举内核模块来找特侦码 2013-1-11 02:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

痴心绝对

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区