[求助]获取Shadow SSDT 函数地址蓝屏？-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
swordmicro 雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 23 粉丝 0 关注私信	swordmicro 2 楼发错代码了 DbgPrint("addrFunc: %X", KeServiceDescriptorTableShadow[1].ServiceTableBase[1]);//←这句马上蓝屏是这句蓝屏了 2012-11-28 15:38 0
寻找遁甲雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	寻找遁甲 3 楼请问您用的什么操作系统？ 2012-11-28 16:15 0
swordmicro 雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 23 粉丝 0 关注私信	swordmicro 4 楼 Windows XP Kernel Version 2600 UP Free x86 compatible Built by: 2600.xpsp.080413-2111 2012-11-28 16:19 0
swordmicro 雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 23 粉丝 0 关注私信	swordmicro 5 楼根据我的调试，获取Shadow表的方式应该是正确的 kd> u KeAddSystemServiceTable + 0x1a nt!KeAddSystemServiceTable+0x1a: 8059779e 8d88603f5580 lea ecx,nt!KeServiceDescriptorTableShadow (80553f60)[eax] 805977a4 833900 cmp dword ptr [ecx],0 805977a7 7546 jne nt!KeAddSystemServiceTable+0x6b (805977ef) 805977a9 837d1801 cmp dword ptr [ebp+18h],1 805977ad 8b5508 mov edx,dword ptr [ebp+8] 805977b0 56 push esi 805977b1 8b7510 mov esi,dword ptr [ebp+10h] 805977b4 57 push edi 2012-11-28 16:29 0
swordmicro 雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 23 粉丝 0 关注私信	swordmicro 6 楼自己解决了，为了避免以后新手重走我的老路，说一下解决方法： http://bbs.pediy.com/showthread.php?t=95451 原因是：访问Shadow的时候，驱动要处于GUI线程中，否则会访问到空数据，只要发送控制码的程序有界面，在处理控制码的时候再取Shadow表就正常了！！！！！ 2012-11-28 18:19 0
vlks 雪币： 85 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 173 粉丝 0 关注私信	vlks 7 楼各位都是在进步啊。。。我还没动。。。 2012-11-29 18:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
swordmicro 雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 23 粉丝 0 关注私信	swordmicro 2 楼发错代码了 DbgPrint("addrFunc: %X", KeServiceDescriptorTableShadow[1].ServiceTableBase[1]);//←这句马上蓝屏是这句蓝屏了 2012-11-28 15:38 0
寻找遁甲雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	寻找遁甲 3 楼请问您用的什么操作系统？ 2012-11-28 16:15 0
swordmicro 雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 23 粉丝 0 关注私信	swordmicro 4 楼 Windows XP Kernel Version 2600 UP Free x86 compatible Built by: 2600.xpsp.080413-2111 2012-11-28 16:19 0
swordmicro 雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 23 粉丝 0 关注私信	swordmicro 5 楼根据我的调试，获取Shadow表的方式应该是正确的 kd> u KeAddSystemServiceTable + 0x1a nt!KeAddSystemServiceTable+0x1a: 8059779e 8d88603f5580 lea ecx,nt!KeServiceDescriptorTableShadow (80553f60)[eax] 805977a4 833900 cmp dword ptr [ecx],0 805977a7 7546 jne nt!KeAddSystemServiceTable+0x6b (805977ef) 805977a9 837d1801 cmp dword ptr [ebp+18h],1 805977ad 8b5508 mov edx,dword ptr [ebp+8] 805977b0 56 push esi 805977b1 8b7510 mov esi,dword ptr [ebp+10h] 805977b4 57 push edi 2012-11-28 16:29 0
swordmicro 雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 23 粉丝 0 关注私信	swordmicro 6 楼自己解决了，为了避免以后新手重走我的老路，说一下解决方法： http://bbs.pediy.com/showthread.php?t=95451 原因是：访问Shadow的时候，驱动要处于GUI线程中，否则会访问到空数据，只要发送控制码的程序有界面，在处理控制码的时候再取Shadow表就正常了！！！！！ 2012-11-28 18:19 0
vlks 雪币： 85 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 173 粉丝 0 关注私信	vlks 7 楼各位都是在进步啊。。。我还没动。。。 2012-11-29 18:19 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [求助]获取Shadow SSDT 函数地址蓝屏？ 0.00雪花