首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 编程技术
    3. 发新帖
[求助]MmGetSystemRoutineAddress获取不了导出函数地址!
发表于: 2012-7-23 17:04 6262

[求助]MmGetSystemRoutineAddress获取不了导出函数地址!

痴心绝对 活跃值
2012-7-23 17:04
6262
ULONG GetNt_OldAddr()
{
        UNICODE_STRING OldNtOpenProcess;
        ULONG SSDT_NtOpenProcess_Old_Addr;
        RtlInitUnicodeString(&OldNtOpenProcess,L"NtReadVirtualMemory");
        SSDT_NtOpenProcess_Old_Addr=(ULONG)MmGetSystemRoutineAddress(&OldNtOpenProcess);
        DbgPrint("SSDT_NtOpenProcess_Old_Addr=%0x\n",SSDT_NtOpenProcess_Old_Addr);
        return SSDT_NtOpenProcess_Old_Addr;
}

//SSDT_NtOpenProcess_Old_Addr=0,为什么获取不了原地址啊?
我用MmGetSystemRoutineAddress获取NtOpenThread,NtOpenProcess,都可以获取到原始地址。但是NtReadVirtualMemory,NtWriteVirtualMemory,为什么不能获取呀?

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (7)
murrackde
雪    币: 135
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
很明显,因为NtReadVirtualMemory,NtWriteVirtualMemory不是导出函数
看一下ntoskrnl.exe的导出表不就真相大白了
2012-7-23 18:21
0
Winker
雪    币: 796
活跃值: (370)
能力值: ( LV9,RANK:380 )
在线值:
发帖
回帖
粉丝
私信
3
从SSDT获取吧
2012-7-23 19:19
0
痴心绝对
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
可否给一份ntoskrnl.exe的导出表。谢谢
2012-7-23 21:18
0
Winker
雪    币: 796
活跃值: (370)
能力值: ( LV9,RANK:380 )
在线值:
发帖
回帖
粉丝
私信
5
又在过哪家游戏的驱动保护吧?????

哎,这个都求。

技术不过关就好好学习,不要老是搞挂~~会有人来查水表的。
2012-7-23 21:49
0
goddkiller
雪    币: 485
活跃值: (78)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
私信
6
顶!确实,这年头好多人基础都没学好就学驱动~~太浮躁了
2012-7-23 21:51
0
linziqingl
雪    币: 267
活跃值: (438)
能力值: ( LV9,RANK:190 )
在线值:
发帖
回帖
粉丝
私信
7
xp系统的ntoskrnl.exe没有输出符号NtReadVirtualMemory
2013-1-8 13:07
0
chengqiyan
雪    币: 261
活跃值: (547)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
8
论坛置顶帖有教程啊!枚举内核模块来找特侦码
2013-1-11 02:02
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//